沈世侨+林炜+张创勋
[摘 要]近年来,工业自动化控制系统信息安全问题得到了业内的广泛关注,研究其相关课题有着重要意义。本文首先对工业自动化控制技术相关内容做了概述,分析了工业自动化控制系统的安全隐患,并结合相关实践经验,分别从多个角度与方面提出了建立工业控制系统安全的防范对策,阐述了个人对此的几点看法与认识,望有助于相关工作的实践。
[关键词]工业自动化;控制系统;信息;安全
中图分类号:F407.67 文献标识码:A 文章编号:1009-914X(2018)05-0002-01
1、前言
作为一项实际要求较高的实践性工作,工业自动化控制系统信息安全的特殊性不言而喻。该项课题的研究,将会更好地提升对工业自动化控制系统的分析与掌控力度,从而通过合理化的措施与途径,进一步优化其信息安全工作的最终整体效果。
2、工业自动化控制技术概述
工业自动化控制技术就是指利用微电子技术、电气技术、机械技术以及计算机软件技术来对工业生产过程进行控制,而无需使用人工操作机械来控制生产进度。也就是说,在工业自动化控制下的工业生产机械设备是利用各种仪器、仪表和控制器,按照预先设定的流程进行机械自动调节来进行生产运行的。因此在自动化控制系统中,必须要对所有涉及到生产调节的仪器都进行精准的参数设置,以确保其在生产中能够充分发挥职能作用,确保生产顺利进行的目的。目前我国的工业自动化控制技术已经得到了很大的发展,自动化控制系统也逐渐趋于完善。但尽管如此,工业自动化控制技术仍然具有很大的发展应用空间。就目前来看,较为常用的自动化控制产品主要有PLC与工控PC两种,这两种自动化控制产品的应用代表了我国的工业自动化控制水平已经有了很大的发展。
3、工业自动化控制系统中应用计算机技术的优势
首先,计算机技术的应用可使自动化控制系统具有交互性及可操作性特点。所以,在整个系统中不同设备之间可实现相互代替以及替换。
其次,计算机技术的应用可使自动化控制系统具备开放性特点。在工业自动化系统中,通过对计算机技术进行运用,可使其具备开放性及公开性特点,其中对于开放性特点而言,其表现主要为能够使全部设备与系统连接,从而使各个相关设备均能够保证运转正常。在实际操作过程中,相关工作人员可依据实际工作需求,对接入设备及系统进行合理选择,具有较强灵活性及便捷性。
第三,应用计算机技术可使自动化控制系统具有智能化特点。在工业自动化控制系统中,通过对计算机技术进行应用,可使系统总线具备智能化特点,在实际工作过程中,在利用传感设备的基础上,对于现场各个相关设备,现场总线可进行分析及监控,同时在此基础上可实现自动化控制设备,从而可对设备运行状态实行实时监测,对于系统运行过程中所出现故障可及时进行处理。
第四,应用计算机技术可使自动化控制系统具有较高精确性。相比于普通调节器而言,在工业自动化控制系统中,通过对计算机技术进行运用,由于计算机具有较强数值运算能力,可对偏差最大程度地进行缩小及控制,从而保证在元件老化及噪音等因素不会对控制精度产生影响,可使系统精确性得到较好保证。
4、工業自动化控制系统的安全隐患分析
4.1 操作系统的隐患
当前大多数工业自控系统都是Windows平台的,考虑到操作系统与控制系统的兼容性,对Windows平台往往不安装补丁。因此系统就存在被攻击的可能,有很大的安全隐患。
4.2 通信协议的隐患
信息化和工业化的高层次的深度结合,使得TCP/IP等通用协议和技术越来越广泛地应用在工业自控网络中,这就减弱了控制系统与外界的隔离。病毒、木马向控制网扩散,工业自控系统的安全隐患问题日益严峻。
4.3 杀毒软件的隐患
杀毒软件的病毒库需要不断的更新,这一要求不适合工业控制环境,许多工控系统通常不会安装杀毒软件。即使安装了杀毒软件,由于软件对新病毒的处理总是滞后的,在使用过程中也有很大的局限性。
4.4 工业自控软件的隐患
工业自控软件面向网络应用时,就必须开放其应用端口,而常规的IT防火墙很难保障其安全性,针对组态软件的攻击会从根本上破坏工控系统。黑客很可能会利用一些工业自控软件的安全隐患获取如大型设备的开、停等控制权,一旦这些控制权被黑客所掌握,可能造成相关企业的设备运行异常,甚至造成停工、停产等严重事故。
5、建立工业控制系统安全的防范对策
5.1 基于终端的工业系统安全防御体系
工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,对其防御的策略和保障措施应该按照等级进行划分,实施分层次的纵深防御体系。按照业务职能和安全需求的不同,工业网络可划分为:满足办公终端业务需要的办公区域;满足在线业务需要DMZ区域;满足ICS管理与监控需要的管理区域;满足自动化作业需要的控制区域。
5.2 办公网络终端的安全防御
办公网络相对于工业控制网络是开放的,其安全防御的核心是确保各种办公业务终端的安全性和可用性,以及基于终端使用者的角色实施访问控制策略。办公网络也是最容易受到攻击者攻击并实施进一步定向攻击的桥头堡,实施有效的办公网络终端安全策略可最大限度的抵御针对ICS系统的破坏。办公网络通用终端安全防御能力建设包括:木马等病毒威胁系统正常运行恶意软件防御能力;基于白名单的恶意行为发现与检测能力;终端应用控制与审计能力;基于角色的访问控制能力;系统漏洞的检测与修复能力;基于系统异常的恢复能力。
5.3 工业控制网络终端的安全防御
工业控制网络具有明显的独有特性,其安全防御的核心是确保控制系统与监控系统的可用性,以及针对ICS系统与管理员、ICS系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时,能够在不影响系统可用性的情况下,帮助管理员快速定位安全故障点。
同时,在确保控制系统可用性的前提下,工业控制网络终端安全防御能力建设需要做到如下几个方面:基于行业最佳实践标准的合规保证能力;基于白名单策略的控制终端恶意软件防御能力;基于白名单的恶意未知行为发现与检测能力;基于ICS协议的内容监测能力;基于控制系统的漏洞及威胁防御能力;基于可用性的最小威胁容忍模型建设能力;基于事件与行为的审计能力;基于可用性的系统补丁修复能力;终端安全的应急响应能力。
5.4 工业网络终端安全管控平台建设
充分了解控制终端与业务终端的安全能力建设规范与功能,是构建高性能安全事件审计与管理运维平台模型的前提,也是实现工业网络中对分布式控制系统、数据采集系统、监控系统的统一监控、预警和安全响应的基础平台。安全管控平台不仅是实施工业数据采集和监控内容的汇聚中心,基于ICS安全威胁的知识库仿真模块,更可实时对检测到的异常或未授权访问进行核查评估,并将风险通过短信、邮件等方式对管理员告警。
为确保安管平台的可用性和时效性,可基于云计算与虚拟化技术对管理平台进行建设,目前较成熟的私有云安全技术、虚拟终端管理技术、数据灾备技术,都可为ICS系统统一管理提供良性的技术支撑。在客户端系统资源优化方面,先进的私有云平台可将信息终端繁重的功能负载迁移到云端执行,为系统的关键应用提供宝贵的计算资源,实现工业系统调度与计算资源的最大利用。
6、结束语
综上所述,加强对工业自动化控制系统信息安全问题的研究分析,对于其良好实践效果的取得有着十分重要的意义,因此在今后的工业自动化控制系统应用过程中,应该加强对信息安全关键环节与重点要素的重视程度,并注重其具体实施措施与方法的科学性。
参考文献
[1] 卢庆芳.论计算机控制在工业自动化控制中的应用[J].现代工业经济和信息化.2016(10):60-62.endprint
