浅析军工工业控制系统信息安全保密风险与防护方法

(整期优先)网络出版时间:2017-12-22
/ 2

浅析军工工业控制系统信息安全保密风险与防护方法

鲍捷

中国船舶重工集团公司第七一〇研究所湖北宜昌443000

摘要:随着军工企业的不断发展,工业控制系统在军工单位中得到了广泛的使用。工业控制系统是利用计算机设备将机器、设备、参数按照预定的规律运行,提高国防装备的自动化、信息化和智能化。在军工工业控制系统中进行系统性的信息评估,采取一定的防护措施,降低信息安全风险。本文研究的主要内容是军工工业控制系统信息安全保密风险和防护措施。

关键词:军工工业;控制系统、信息安全保密风险;防护措施

工业控制系统主要由过程控制系统、分布式控制系统、数据采集和监视控制系统、通信接口、工业现场网络以及还能智能电子设备等部分组成。军工工业控制系统涉及武器系统的生产、测试和模拟,在军工的航天、船舶、潜艇等自动化生产管理系统中应用广泛。现阶段,我国的军工工业控制信息面临着很大的安全风险,加强工控系统的信息安全性能对国防工业的发展有很大的帮助。

一、现阶段,我国军工工业控制系统中存在的问题

军工工业控制系统与其它企业的控制系统不同,军工工业控制系统主要在军工企业的设计、试验和仿真中应用,比如:生产制造系统,用于装备制造,仿真系统进行产品评估和参数仿真,测试试验系统用于产品检验和功能测试等等。军工工业控制系统的涉及面广,技术和管理上存在着问题,一旦发生信息泄密问题,后果会比较严重。从网络安全角度出发,军工工业信息控制系统存在着巨大的安全隐患,很容易被黑客攻击。工业控制系统中的安全风险主要体现在以下几个方面:

(一)缺乏健全的安全管理制度

军工企业的信息安全管理工作不到位,没有健全的工业控制系统的安全管理制度。军工企业的操作人员在进行设计和生产时经常出现这样、那样的安全问题,阻滞了军工企业的健康、有序发展。对第三方人员没有严格的审批流程,第三方人员在进行远程维护时可以使用技术手段将工业控制系统中的数据、信息盗取,影响企业的信息安全。安全管理制度的不健全是军工企业的信息泄露的安全隐患。

(二)军工企业人员的安全保密意识差

军工企业没有对相关的技术人员进行体系化的工业控制系统安全培训,企业人员的信息保密意识差。人员对设备的使用和配置比较随意,没有进行审计和管理,发生了安全事件找不到主要负责人,也没有人主动承担责任,造成工业控制系统的安全隐患越来越多[1]。

(三)缺乏应急响应机制

在生产现场没有应急响应机制和统一的灾难备份策略,没有对工业控制网络区域做出合理的划分。比如:逻辑隔离、访问控制管理、恶意代码检测等等。一旦工业控制系统发生病毒和受到恶意攻击,企业人员没有及时的采取相应措施,造成军工企业的数据信息大量泄露。

二、工业控制系统安全风险分析

三、电力故障、自然灾害、软硬件故障、黑客攻击、恶意代码都会对工业控制系统产生影响。其中,电力故障、自然灾害和软硬件故障,属于信息安全范畴之外,而非法操作、恶意代码和黑客攻击作为信息安全威胁的主要形式,往往很难被发现或控制,对工业控制系统网络安全运行产生很大的威胁。

四、(一)利用USB协议漏洞在U盘中植入恶意代码

五、U盘由芯片控制器和闪存两部分组成,芯片控制器负责与PC的通讯和识别,闪存用来做数据存储;闪存中有一部分区域用来存放U盘的固件,控制软硬件交互,固件无法通过普通手段进行读取。USB设备设计标准并不是USB设备具备唯一的物理特性进行身份验证,而是允许一个USB设备具有多个输入输出设备的特征。就可以通过U盘固件逆向重新编程,将U盘进行伪装,伪装成一个USB键盘,并通过虚拟键盘输入集成到U盘固件中的恶意代码而进行攻击[2]。

(一)利用组态软件数据库漏洞进行攻击

工业控制系统常用的组态软件,缺乏安全防护措施。远程/本地访问数据库,获取全部数据库变量,选取关键数据进行访问并篡改,从而达到攻击目的。

六、提高军工工业控制系统信息安全的防护措施

为了提高军工工业控制系统的自身安全、办公网络的数据信息传输安全以及车间单位内的设备使用安全需要将网络划分为不同的区域、层次和等级。不同程度的信息使用不同的防护措施,将军工工业控制系统的网络划分为不同的安全区域,建立“分层部署、多级防御”的安全体系。提高军工工业控制系统信息安全的防护措施有以下几部分内容:

(一)安全策略统一管理

加强军工企业的网关、防火墙、白名单软件的安全防护管理工作,在配置系统中进行用户多鉴别、超时重鉴别和访问数据加密等防护措施,对防护设备进行安全访问。通过用户信息管理、防护日志审计和防护策略管理等功能实现工业控制系统的安全策略统一管理。军工企业还可以使用工业控制审计管理软件,监控网络环境下的每一个系统状态和安全事件,进行集中报警和处理。

(二)主机安全防护

在工业控制系统的服务器和工程师站等主机和重要服务器内安装主机白名单防护软件,仅仅允许工业控制系统在常用的服务器和主机上运行,阻止病毒软件和外部非法U盘在工业控制系统中的运行。定期进行软件防护,升级杀毒系统。在信息数据保密要求高的主机中安装身份认证和审计软件[3]。

(三)工业控制系统与办公网络系统安全互联

在工业控制系统与办公网络之间设置安全隔离域,在单向数据传输设备和相关代理服务中构建非密网和涉密网之间的安全交换层。内外网数据传输代理服务主机之间通过单向光通道传输设备做唯一的连接,将工业控制系统与办公网络进行安全隔离,保证内外网的数据安全单向传输。

(四)提高人们的信息保密意识

建立军工企业工业控制系统的安全管理制度,加大对员工的能力培训,提升员工发现安全隐患的能力。进行网络分区与边界保护,建立安全的单元间通信,系统加固与补丁管理,恶意软件的检测与防护,访问控制与账号管理,记录设备访问日志并进行必要的审计等。确保只有绝对必要的人员才能在物理上接触到工业控制设备。通过宣传、培训等方式,提高军工企业人员对工业控制系统安全的意识。

结语:

工业控制系统的安全风险是企业发展中的重要问题,为了保证军工企业的信息、数据安全需要进行一系列的防护措施,将军工工业控制系统的信息安全管理工作落实到底。

参考文献:

[1]张帅.工业控制系统安全风险分析[J].信息安全与通信保密,2012,(3):15-19.

[2]孙尚敏.浅谈军工企业工业控制系统信息安全[J].无线互联科技,2016,(23):129-130.

[3]于立业,薛向荣,张云贵等.工业控制系统信息安全解决方案[J].冶金自动化,2013,37(1):5-11.