工业信息控制网络信息安全的防护措施与应用

2022-12-14李璇

信息记录材料 2022年7期

李璇

（山东省电子信息产品检验院＜中国赛宝(山东)实验室＞山东济南 250014）

0 引言

由于网络信息安全问题的存在，使得企业的信息安全状况不断恶化，企业控制网络的信息安全问题也日趋严重。因此，要加强对工业控制网络信息安全管理，增强其稳定性，确保其高质量地运行，健全工业控制网络信息安全系统。特别是在石油化工、钢铁、建筑、电力工程等重点行业控制中，要尤其重视这项工作的开展和进行。工业控制网是由总线控制设备各个节点和控制器进行的网络操作，主要工作目标是实现数据和信息的交换。然而，许多工业企业认为，由于工业互联网的隐蔽性和封闭性特点导致其本身没有太多的安全防范行为，这就给工业互联网带来了安全隐患。在这个信息技术飞速发展的年代，工业互联网之所以能在市场上站稳脚跟，最重要的原因就是他们的资料和经营信息都是保密的，能够确保信息和资料的安全。

1 工业控制网络信息安全现状

科学技术水平的飞速发展，推进了互联网这一虚拟平台在众多企业经营中的应用，网络技术以开放和方便的方式被许多公司所使用。但是由于用户的组成和利益关系的复杂性，同时计算机网络的实际应用也缺少专门的法律对其进行规范，由此，因利益的影响所导致的网络安全问题也层出不穷[1]。例如，大多数的黑客攻击都是源于竞争者的攻击，分析这一情况产生的主要原因是公司现有的安全识别和防护软件相对滞后，会因此造成防护漏洞导致信息被破坏。大多数黑客使用的嗅探器都有MAC地址欺骗和IP欺骗的能力，而传统的网络因为没有加密信息会被嗅探器偷走，这也是今后工业控制网络信息发展过程中容易遇到的阻碍，同样需要企业方面加以关注。

2 工业控制网络信息安全防护的主要内容

目前网络系统中存储的各类软件和数据并不会因偶然性破坏及恶意损毁行为而发生泄露和更改，也不会因此对网络信息安全造成严重威胁。目前对网络信息能够产生威胁的情况一般包括主动式和被动式攻击两种。前者指的是创建过程中的资料流进行篡改所产生的错误，包括截取、伪造、中断、重放、修改信息或拒绝服务等进行数据信息的破坏行为。后者指的是针对传送过程中的信息所展开的攻击行为，为了确保计算机网络的安全，必须做好识别、保密、病毒防范和存取控制4项工作[2]。

3 工业控制网络的信息安全隐患

3.1 网络安全漏洞问题

目前工业控制系统的应用时间都比较长，并且与外部网络进行了隔离，这一点从表面上看是安全的。但是随着互联网技术的应用和发展，相关技术手段也在更新换代，工业控制系统出现的漏洞也越来越多，由于缺乏安全系统对漏洞的修复，导致外界网络针对工业控制系统漏洞的攻击也逐渐增多，而漏洞攻击的类型主要包括协议、服务器、数据库攻击等。通过以太网，可以使工业控制信息系统变得更加透明和开放，但任何事情都有它的两面性，以太网就是一把双刃剑，如果太过公开，会影响到整个行业的安全。

3.2 病毒、木马的问题

此外，工业控制网络信息系统的防病毒技术也有缺陷。病毒、木马都是专门为电脑编写而设计的程序，对网络的正常运行具有很强的破坏力。通常情况下，工业控制系统都是物理上的隔离，但控制系统的封闭性却给了病毒滋生的空间，病毒可以通过U盘和硬盘在网络中扩散，病毒会入侵PC和服务器，然后在网络上扩散，比如交换机、路由器等。通常只能依赖于重启路由，或对存取控制清单进行重新配置。而病毒的入侵会造成上层的信息流入工业以太网当中，造成网络过载。许多控制区电脑终端都连接到工业以太网交换机上，一旦被病毒感染了，工业控制网就会因为没有防备和杀毒软件而扩散，最后造成整个网络瘫痪，导致信息数据被破坏。另外，目前市面上已有很多工业控制网络信息软件，但由于技术水平还不够发达，网络信息系统没有足够的存储空间，所以一般都不会安装防病毒软件。在某些工业控制网络的软件中，尽管包含了防病毒，但是没有对其进行升级。因此，短期来看，这种杀毒系统可以起到一定的防毒效果，但因为更新不及时，传统的杀毒软件就会失去抵抗能力。一旦病毒、木马等入侵，便会在工业控制网的信息系统中扩散，对其他的文档进行侵染，并对使用者进行恶意的信息搜集，从而获取企业的相关资料。

3.3 黑客入侵的问题

在这当中比较具有代表性的包括以下几种：首先是工业控制网的信息平台配置缺陷，传统的工业控制网络信息系统的预设平台配置通常采用的是密码控制，在工业控制网中只能使用密码形式进行控制，不能设置复杂的指纹以及人脸口令，而所默认的密码或设置的简单密码很容易被攻击者攻破并入侵工业控制的网络信息系统。一旦入侵了工业互联网，那么黑客就可以肆无忌惮地窃取和利用这些工业数据，从而干扰到用户的日常生活，可以说黑客的攻击会在一定程度上造成网络系统的崩溃；其次，现有的工业控制网的信息管理规则存在缺陷，该体系的管理规定不完善，整个系统内的一些常见问题并未得到有效的管理。由于企业的管理制度不够健全，难以进行工业控制网络的恢复，所以我们要不断地改进企业信息化管理制度。黑客侵入和盗用数据是大多数企业网络最头疼的问题，在工业控制网络中，网络架构主要以集线器为中介，实现整个网络节点内信息数据的扩散。信息的来源有过程量转换器和PLC等，通常这种装置传送的信息量较小，然后进行封装并在工业控制网络中进行循环传送。黑客可以通过嗅探器潜入到工业控制网的底层，在不被发现的情况下将这些信息反馈给PC机进行分析和处理。这是因为在传输过程中没有进行加密操作，并且交换机没有提供对端口的保护和网络的安全监测[3]。

4 工业控制网络的安全防护技术

目前工业控制网络安全防护技术发展相对成熟，主要包括以下几种形式：（1）在应用过程中使用了智能交换机和适当的网络结构。这种结构作为一种网络拓扑，它的工作原理是利用智能交互控制大多数的信息和数据的传输，并在一定程度上保护了端口安全，确保了控制信息的保密性；（2）使用存取控制清单技术。ACL技术是一种包过滤技术，它根据所探测到的数据包源地址、目标地址和端口号来判定包的安全性和可用性。具体控制方式如下：运用安全套接层SSL对所有外部网络通信进行加密管理，并且对接入交换机进行限制，在这种情况下，浏览器的图形用户界面登录802.1radius网络的条件是端口访问，源端口只能根据特定端口进行通信；（3）流量控制技术。通常在网络发生病毒时，会出现超负荷现象，也就是下载网络中大量的垃圾导致网络瘫痪。利用流量控制技术可以把端口流量限制在适当范围内，以防止异常发生。流量控制装置通常用于网络旁路，经过数据分组，通过干扰端口进入网络，并根据特定的情况发送干扰源地址或目标地址的信号，欺骗干扰数据包，调节TCP窗的尺寸，最后实现对流量的控制[4]。

5 工业控制网络信息的安全防护措施

5.1 加强网络安全管理，强化人员安全意识

根据调查统计，在工业控制网络信息运行过程中，有60%以上的信息安全问题都是因为公司的管理不到位所导致。在网络安全管理中，责任分离原则、有限任期原则、多人责任原则是实现信息管理顺利进行的三大原则。加强对网络的安全管理不仅需要对网络管理员进行监控，而且要加强对用户的安全意识，要对电脑进行系统密码设置。网络管理员也要尽职尽责，根据各自的职责和权限对不同系统设置不同密码，在运行时要确保它的合理性和合法性，并严格限制某些用户的非法访问和利用网络资源。为了解决工业控制系统的网络安全问题，尽管运用了大数据技术对现场总线的发展进行控制，但依然需要技术人员的操作方能实现。针对目前工业控制系统中存在的网络信息安全问题，采用现场总线技术实现了对整个生产流程的自动控制和管理，但同时也存在着一些网络安全隐患，比如，由于系统的控制体系不够严密，致使未经许可的人进入到控制系统平台。因此，首先要加强对信息化网络的监管，特别是把网络软件的管理落实到具体工作中。其次要加强网络管理者的安全意识，由于工业控制系统是由相关人员来实施，要求相关的操作人员能够对其进行实时的安全检查，因此，企业应加强对员工的安全教育，提高员工的安全意识。比如，5G技术在工业控制领域的应用，就必须对有关人员进行5G技术的培训，组织工作人员从理论和技术上实现创新和发展，确保其能够熟练使用5G技术。

5.2 优化工业控制网络架构，强化网络安全边界设计

要确保工业控制网络安全，就需要建立一个完整的工业控制体系：首先，要解决安全计算环境、安全区域边界、通信网络等问题。在关键的网络设备和计算设备中，使用了冗余结构，对安全区域进行了合理的划分，实现了不同领域的安全隔离。其次是对网络的安全边界进行合理设计。大部分网络信息安全问题的出现主要是因为外部非法分子进入，导致工业控制系统遭到破坏状况，所以在网络信息安全方面，可以采用工业防火墙、工业网闸实现对企业的非法访问和逻辑隔离。通过配置网络接入设备，控制终端的违法访问和非法外联。在工业无线网络中，采用无线AP或无线路由器的上联接口，例如，连接到防火墙端口，以工业防火墙为界，与其他网区进行逻辑上的隔离，实现对整个网络运营环境的保护。

5.2.1 完善网络防火墙功能

网络层防火墙是一种基于TCP/IP协议栈的IP包过滤，也是一种分析器，它可以有效地监视内网和因特网之间的一切行为，同时保证了内部网的安全。为了确保内部网络安全操作，可以将因特网中的危险区与安全区有效地隔离开来。而且，网络防火墙除了可以封锁一些被屏蔽的业务，还可以对进出的访问进行管理，在发现网络攻击的时候，可以进行及时探测和报警，并且对有关信息内容和活动进行及时分析和记录。通过对网络防火墙的功能进行分析可知，强有效的网络防火墙设置和优化，能够在根本上保证网络安全，确保所进行的信息和活动操作安全性[5]。

5.2.2 加强安装杀毒软件

在计算机上安装杀毒软件是确保网络信息安全的重要措施，是最为直接预防和阻挡病毒的措施，不仅包括对病毒的监测和清除，同时能够对恶意软件和特洛伊木马进行阻挡和防护。杀毒软件的功能很多，主要包括实时监控、扫描和清除病毒等。防火墙、反病毒软件、恶意软件查杀器、黑客攻击软件等组成了一套安全防护体系。

5.2.3 优化虚拟专用网络

采用隧道技术、加密技术、密钥管理技术等，构建了一种新型的虚拟专用网络。隧道技术即地道技术，其允许某些手机用户和授权的非手机用户在浏览公司网站的过程中不受时间以及IP地址的限制。在包括工业控制网络内的传输过程中，加密技术已经是一种非常成熟的数据通信技术，它的应用范围逐渐变大。想要实现对网络信息的保护，就要结合相关技术进行设置，使得未经过授权的用户不能获取网络信息，其中最有效的方式就是对信息进行加密。通过密钥管理技术的应用，可以有效地确保在网络中传输的信息的安全性，能够保证信息内容和数据的安全性。目前的密钥管理技术大致可以分为ISAKMP/OAKI EY和SKIP两大类，前者分为公共和私人使用两种，后者主要是通过互联网进行通信传输以及密钥控制[6]。

5.3 完善网络信息安全机制，强化工业控制网络运维监测

网络信息安全机制的核心功能是从技术和管理两个方面来保障网络的安全性，构建健全的网络信息安全体系是保证网络信息安全的关键。在完善网络安全机制的同时，一方面要构建完善的网络数字签名、数据完整性、安全加密和访问机制制度意外，还需要对鉴别交换、公正机制以及通信业务流填充机制、路由控制机制等展开适时的优化。另一方面，工业控制系统的运营维护监测工作也会对工业控制网络的信息安全性产生重要影响，如果工业控制系统运维监测确实会直接导致工业控制网络遭到破坏。比如，在工业控制系统的应用过程中并没有对登入账户进行科学管理，很容易遭受黑客侵袭。所以，企业方面应建立运行稽核系统，以记录人员操作服务器、网络设备、数据库的过程，并对违反操作的行为进行拦截和稽核，而行为监控则主要是通过运行监控模块来完成操作，而存取记录则包括操作日志和回放文件。它还能对会话过程、违规行为等进行监控和处理；认证模块采用统一的认证界面，既便于对用户进行认证，又能增强认证管理的安全性；对资源授权的监控，主要是通过对B/S、C/S、C/S服务器主机和网络设备的访问进行监控。此外，加强对通信的管理，根据工业控制协议的过滤和内容的深度检测，对各个控制单元进行安全的通信管理。

5.4 加强法律法规的宣传以及网络信息安全保护

从目前的统计资料来看，我国已有上百条有关国际和国内信息安全的法规。信息安全保障制度是以网络信息安全为基础，以确保国家对网络进行合理、高效的宏观控制。当前社会的网络运行环境中，信息安全发挥着关键的作用。网络信息安全性有助于产品的相互操作和相互链接，使网络的安全性更高。新的科技发展形势下，由于网络不安全因素带来的问题越来越多，我们经常会遇到一些网络上的问题，甚至还会因网络纠纷引发法律问题。所以，为了最大限度地保护工业控制网络信息的安全运行，要加大对互联网安全的宣传力度，确保网络正常运转。在网络信息安全的预防和处理问题上，我们要采取法律措施，保护自己的权益，坚决打击网络犯罪[7]。