摘要：互联网的发展虽然带动了行业的自动化发展，也促进了互联网病毒及安全漏洞的发展，工业控制领域出现了越来越多的不安全因素，对工业控制系统造成不利影响，使得工业控制系统中的上位机和下位机出现安全漏洞，影响工业控制系统的正常运行。技术人员可以应用可信计算技术进行上位机安全检测系统的设计，应用模块化设计理论进行下位机安全检测系统的设计，从整体上保障工业环境控制系统的稳定运行。

关键词：工业环境；安全防护技术；

在互联网领域，病毒更新和传播的速度非常快，工业环境控制系统需要加强对安全防护的重视，在系统内应用先进可靠的安全防护技术，保障系统的稳定运行。根据国家信息安全漏洞共享平台发布的数据可知，我国工控安全事故发展的概率逐年降低，但是工业环境控制系统的安全性会对国家基础设施建设产生直接的影响，仍旧需要加强对工业环境控制系统的安全防护，保障社会的稳定发展。

一、 工业环境控制信息风险来源

通常情况下，工业控制主站系统属于专用网络，环境较为封闭，利用专用隔离装置与外界联系。在工业信息化不断深入的基础上，工控系统中通用协议、硬件、软件、操作系统不断增加，无线设备越来越多，在为整个系统的设备互连提供便利的同时，也导致木马、蠕虫、病毒等借机侵入系统中，使工控系统的信息安全现状不容乐观，主要的风险来源如下。

在数据采集方面中，工控系统终端设备长时间暴露在恶劣的户外环境中，不但容易出现设备的物理安全问题，还由于缺乏有效的防护措施，导致信息面临着被仿冒、篡改、窃听等风险；在数据传输方面，大多数工控系统均遵循国际标准通信协议进行传输，但在身份认证与访问权限上不够完善，通过明文方式进行传输，容易使重要文件、参数等被拦截和篡改；在数据处理方面，在工控系统中采用嵌入式系统，容易引发网络信息安全问题，进而对该系统产生严重威胁。

二、工业环境控制与安全威胁内容分析

一般情况下，工业环境控制系统涵盖远程连接层、人机交互层、站控层以及间隔层等架构。人机交互层中布置了多个上位机设备，设备间的通信由站控层提供；在间隔层中布置了多个下位机设备。工业环境控制中的不安全因素主要来自于上位机设备和下位机设备。

第一， 上位机存在的安全威胁内容：没有安装经验证或者存在没有补丁的第三方应用程序；操作系统没有更新；技术人员将上位机设置于工控网络和互联网连接部位，但是没有对上位机进行安全防护；工控系统的网络协议存在缺陷，不具备安全性；工控系统没有按照标准规范进行防火墙的设置等。一般来说，工业环境控制系统大都采用Windows系统作为信息系统，很容易出现操作系统版本落后，缺少完善的安全防护软件等问题，导致上位机中出现较多的安全威胁因素。

第二， 下位机存在的安全威胁内容，在工控系统的下位机中，安全威胁因素主要集中于可编辑逻辑控制器中。以震网病毒为例，分析不安全因素对下位机中可编辑逻辑控制器的破坏。在可编辑逻辑控制器运行过程中，主要通过STEP7编写的STL语言完成工业环境控制系统的运行、控制及管理，震网病毒会对可编辑逻辑控制器中的s7otbxdx.DLL进行控制，对可编辑逻辑控制器中的十六个函数功能进行篡改，如枚举代码块以及读取功能等，对工业环境控制系统的数据包进行修改，导致工业环境控制系统的控制出现偏差[1]。

三、工业环境控制与安全防护技术

（一） 可信计算技术

在软件安全问题越来越突出的当下，人们认识到软件自身的安全防护机制难以有效抵抗系统漏洞，开始将安全防护技术应用于工业环境控制系统中。可信计算技术就是其中之一，该技术可以为工业环境控制系统提供专业安全硬件，通过安全防护硬件和软件安全机制的有效配合，保障工业环境控制的安全。在实际应用过程中，可信计算技术主要根据可信计算组织TCG规范进行技术的合理应用，TCG规范中明确指出了可信计算技术的应用规范、功能和相关要求，可以充分发挥出可信计算技术的安全防护作用。TCG结构主要包括TPM、TSS以及上层应用软件这三个层次，TPM为可信计算技术的核心内容，具备可信度量、可信存储以及可信报告等功能。虽然大部分计算机终端均安装了TPM模块，但是由于TPM系统的操作相对复杂，所以可信计算技术的优势没有得到充分发挥。

在此基础上，本文提出了可信计算技术应用的全新方法，根据工业环境控制系统中存在的上位机安全威胁，技术人员可以将可信计算技术作为基础，进行安全检测系统的构建，将可信度量的时间设置为Windows系统开机前后，在Windows系统开机之前，通过内核态API Hook方法保障系统各个模块以及开机启动项的可信；在Windows系统开机后，通过SSDI度量方法保障系统各个模块以及开机启动项的可信，SSDI度量方法可以有效保障工控系统的安全。在基于可信计算技术安全检测系统应用过程中，系统可以通过静态检测方式开展工控系统中EXE软件及DLL文件的度量，其驱动程序还会对工控系统中的SSDT开展实时完整性度量，避免rootkit对工控系统中的内核结构造成破坏，保障工控系统的安全。

（二） 可编辑逻辑控制器的安全检测

通过上述分析可知在，在下位机设备中，可编辑逻辑控制器（PLC）存在的安全问题是较为常见的安全威胁，技术人员需要针对可便捷逻辑控制器的运行原理，制定相应的安全检测方法，保障下位机设备的稳定运行。在此基础上，笔者构建工控系统的实时数据库，通过模块化设计方法进行可编辑逻辑控制器安全检测系統的设计，应用用户模拟程序对可编辑逻辑控制器的输入输出量进行监控，保障可编辑逻辑控制器的安全运行。具体而言，可编辑逻辑控制器的安全检测系统的模块如下图1所示：

图1 可编辑逻辑控制器安全监控系统示意图

第一， 用户程序模拟运行模块，在可编程控制器的编程软件中将用户编写程序导出，输入到工控系统的用户程序模拟运行模块中。在这一模块中，用户具有查看及修改的代码的权限，为安全检测系统的稳定运行提供保障。用户可以按照工控系统的实际运行状况，修改运行模块的输入量或者输出量，确保模拟系统的有效运行。

第二， 运行状态实时监控模块，该模块主要负责工控系统运行状态的实时监测，可以实时采集可编辑逻辑控制器的运行参数，具备可编辑逻辑控制器型号选择及监控显示内容等多项功能。

第三， 运行状态安全监测模块，该模块主要对实时监控模块监控的参数进行对比分析。一旦发现可编辑逻辑控制器运行参数出现异常，安全检测系统可以自动向用户提出报警，保障工控系统的安全，避免不安全因素的影响扩大。

第四， 实时数据库模块，该模块主要用于存储数据，用户可以根据工控系统安全检测的需求，设置实时数据库的数据存储与更新周期，保障实时数据库数据的有效记录，为可编辑逻辑控制器的安全管理提供可靠的数据参考[2]。

（三） 通信管控技术

在当前的工业控制系统中，主要包括DCS、PLC与SCADA组成的控制系统，其主要作用在于完成基本生产与控制。在“两化融合”背景下，需要使办公区与控制区紧密的联系起来，共同完成经营层与生产层的双向信息互动，这将要求二者之间应具有成熟且完善的通信设备，借助通信管控技术构建顺畅的通信通道，又要使通信安全得到切实保障。本文将针对三处安全节点进行分析和研究，具体如下：

一是控制区与办公区节点。防火墙能够对TCP/IP协议进行管控处理，服务器能够与管理客户端之间顺畅通信。针对安全事件与行为进行合理有效的监控与审计；二是生产区节点。各个生产区之间应具备高效的防火墙装置，能够对TCP/IP协议进行管控，对各个工业的通信协议进行深层次的审核与检测，对各类操作行为进行监督，并为系统的安全提供强有力的审计与监控；三是办公区与外部区节点，二者的节点也通过布置防火墙的形式来实现，该防火墙能够对安全事件与行为进行有效的管控与审计。

在终端防护方面也需要得到切实保障，利用通信管控技术，在办公区内进行终端安装，使其具有审计客户、检测漏洞、扫描客户端、查杀病毒等功能；在控制区也应做好安全防护工作，利用前置部署集成网络监控，对病毒、黑客的入侵进行自动检测，并将扫描、漏洞检测、入侵处理实现一体化集合，使安全设备的防御功能得到进一步提升。在数据存储方面，监控平台在KVM系统的基础上对数据库进行监管，即便在管理人员离开的情况下，也同样能够实现对数据信息的自动监管。

四、结论

综上所述，工业环境控制和安全防护工作的开展会对国家基础设施建设及民生产生影响，需要受到社会的广泛關注。通过本文的分析可知，技术人员需要明确工业环境控制系统存在的安全威胁因素，有针对性地进行安全威胁因素的控制，选择合适的安全防护技术及安全防护手段，从根本上杜绝工业环境控制系统中不安全事故的发生。

参考文献：

[1]李志仁.加强人造板工业环境治理 保障职业健康安全[J].木工机床，2018（01）：1-4.

[2]闫威. 物联网环境下工业控制系统信息安全威胁与防护方法的研究[A]. 天津市电子学会、天津市仪器仪表学会.第三十届中国（天津）2016IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C].2016：4.

（作者单位：国网四川雅安电力（集团）股份有限公司）

作者简介：

郭锐，（1978年10月24日），男， 工程师 ，本科，目前从事电力安全监督工作。

郭锐，（1978年10月24日），男， 工程师 ，本科，目前从事电力安全监督工作。