摘要：本文以工控系统与IT系统比较为基础，从协议的角度分析了工控防火墙脆弱性产生的原因，并结合其在网络背景下的具体表现形式，探讨了脆弱性规避的方向，旨在加速工控专用防火墙进步，提升网络环境中工控系统的安全性。

关键词：工控系统;网络协议：防火墙脆弱性

引言：现代工作背景下，工控系统已经不能像传统背景中以独立的局域网络运行，而是需要参与公共网络运转。但由于工业生产的个性需求与工控系统的设计原理，工控系统信息安全性与运行稳定性是得不到保障的，专用防火墙功能存在较大的提升空间。

一、工控系统与IT系统的区别

现代背景下，IT系统防火墙设计已经较为完善，网络上存在的大多黑客、木马等行为均无法绕过防火墙对IT系统进行攻击[1]。但工控系统暴露在网络上之后，由于其自身功能与设计的特殊性，防火墙无法很好的保障自身信息安全，从而产生一定的风险。因此，分析工控系统与IT系统的区别对于工控防火墙脆弱所在的明确与防火墙设计优化有重大价值。

（一）高性能需求

相较于IT系统需求，工控系统对于性能要求更加突出，以生产管理功能为例，工控系统常无法忍受延时的存在，但IT系统允许延时存在。因此，工控系统网络通信协议常会选择直接应用，不会进行完善设计。也就是说工控系统中大多不存在加密或者身份认证流程，以确保网络通信实时响应。而该种系统设计模式对于防火墙来说是灾难性的，IT系统中许多被判定为危害或者低危害的数据类型，在工控系统中具备成为生产影响因素的可能。

（二）低流量设计模式

随智能化技术在工业生产中应用不断加深，工控系统中流量承载能力设计显著提升，但与IT系统中的海量信息设计依旧无法相比。这也就导致了工控系统防火墙对于网络中存在海量数据协议攻击无抵抗能力，最终产生系统运行瘫痪的现象。

（三）系统生命周期

工控系统相较于IT系统具备更新周期较长的特征，一般为十五到二十年。当工控系统暴露到网络环境中时，由于自身部分性能的落后，对于许多新型网络病毒缺乏必要的防范能力，存在较大的信息安全风险。

（四）设计方向不同

IT系统安全设计以数据安全为核心，可以很好的与防火墙配合作业，保障信息安全。但工控系统安全设计为容错率提升与生产安全保障，即信息安全层面存在明显缺失，最先进的防火墙也无法实现全面防范，更何况先进防火墙往往不具备工控系统的应用可能性。

二、工控防火墙脆弱性分析

（一）脆弱性来源

工控防火墙脆弱性产生的核心原因为工控通信协议中存在多种防护功能缺失，防火墙无法进行全面的防护设计。具体内容包含：第一，认证机制的缺乏，只要数据格式与长度匹配，就能够对工控系统发出指令。系统总体入侵难度较低，生产流程安全系数较低;第二，缺乏授权机制，工控系统内各个渠道拥有近乎于完相同的权限，网络攻击行为极易从系统中读取关键信息，甚至进行修改;第三，缺乏加密机制，违法者可以通过向系统多次发送相似信息截取反馈的模式，实现系统数据读取，信息安全风险较大;第四，协议数据行为，多次重复信息便会导致协议拒绝通信，从而对生产流程造成影响;第五，流量控制，上文已经论述过，对典型泛洪攻击抵抗能力过差，系统运行极易受到干扰。

（二）脆弱性表现

第一，非法人员通过安全旁路对系统进行访问，并通过特定格式的信息进行生产干扰或者数据窃取，造成企业经济利益损失。

第二，非法人员通过系统数据分析获取系统表示与鉴别信息，通过安全路径对系统进行访问，读取工控系统信息。

第三，利用工控协议漏洞，仿真度极高的伪装合法用户，从而实现系统信息操控。

第四，上述非法手段进入内网向外发送安全信息，使内网资源内公开化利用，对企业造成极大的财产损失。

第五，通过信息流监控手段，多角度获取残留信息，进行内部数据窃取。

第六，通过内部信息通道阻隔，删除管理人员向防火墙发送的指令信息，实现部分防火墙功能的影响。

第七，利用工控协议权限开放的特征，模拟管理员身份对系统安全设计进行修改，进而实现防火墙功能的削弱。

第八，截取内部网络与外部设备之间的信息传输渠道进行数据窃取。

（三）脆弱性优化思路

工控系统脆弱性主要来源于其设计基础协议，安全防范功能的缺失[2]。但由于生产应用的限制，强行对识别功能、权限功能等进行复杂化设计会影响工业生产的开展与智能化技术深入应用，因此，工控防火墙功能优化的主要方向有：

第一，IT网络流量的隔离，即通过访问控制程序的优化设计，在不影响工业生产的前提之下，尽可能多的控制IT网络流量，从根源上杜绝不规范行为或者数据对工控系统与防火墙的损害。

第二，协议流量访问控制。主要指对IT访问流量进行限制，在防火墙上建立完善的数据判别算法，识别数据的重要性与规范性，拒绝部分非关键信息的访问，并控制单位时间的网络流量，避免多种网络攻击行为对系统造成影响。

第三，智能算法的应用。主要指在工控背景之下，特征数据复杂程度无法大幅提升时，通过智能算法的应用建立异常行为检测模型，即在不依赖特征数据的基础之上，深度分析数据内容，判别其对于系统是否会造成影响，确定数据拦截或者通过，实现工控背景之下的高效、精准行为检测。

结论：工控系统由于其搭建协议使用的特殊性，防火墙中存在多种漏洞。技术人员应当明确工控防火墙系统的主要缺失，结合工业生产需求与现代技术背景，进行科学防火墙功能优化工作，确保网络背景下工控系统的安全性。

參考文献

[1]吴震生.基于工控协议防火墙的脆弱性研究[J].自动化与仪表，2019，34（08）：105-108.

[2]王世伟. 工业防火墙软件框架设计及规则自学习方法研究[D].太原科技大学，2018.

作者简介：张铁忠（1968.10——）男，汉族，籍贯：山东德州，职称：工程师，学历：大专，研究方向：工业自动化。