工业自动化控制系统信息安全

 工业自动化控制系统信息安全

阎菲

身份证号：210803198602101027

摘要：近年来，我国社会经济水平不断发展创新，极大地推动了我国工业化建设进程，工业自动化控制系统的信息安全问题也受到越来越多人们的重视。随着现代信息技术的创新发展，加强对工业自动化控制系统的信息安全志在必行。本文主要从当代工业自动化控制技术着手，进一步分析了工业自动化控制系统中应用电子计算机技术的主要优势，深入探究了自动化控制系统信息安全隐患问题，并提出了自动化控制系统信息安全隐患问题的有效解决策略，望对我国未来工业自动机控制系统信息安全工作提供相应借鉴。

关键词：工业自动化控制系统信息安全

1工业自动化控制技术

工业自动化控制技术就是指利用微电子技术、电气技术、机械技术以及计算机软件技术来对工业生产过程进行控制，而无需使用人工操作机械来控制生产进度。也就是说，在工业自动化控制下的工业生产机械设备是利用各种仪器、仪表和控制器，按照预先设定的流程进行机械自动调节来进行生产运行的。因此在自动化控制系统中，必须要对所有涉及到生产调节的仪器都进行精准的参数设置，以确保其在生产中能够充分发挥职能作用，确保生产顺利进行的目的。目前我国的工业自动化控制技术已经得到了很大的发展，自动化控制系统也逐渐趋于完善。但尽管如此，工业自动化控制技术仍然具有很大的发展应用空间。就目前来看，较为常用的自动化控制产品主要有PLC与工控PC两种，这两种自动化控制产品的应用代表了我国的工业自动化控制水平已经有了很大的发展。

2工业自动化控制系统中应用电子计算机技术的主要优势

计算机技术的应用可使自动化控制系统具有交互性及可操作性特点，整个系统中不同设备之间可实现相互代替以及替换。工业自动化系统中，通过对计算机技术进行运用，可使其具备开放性及公开性特点，能够使全部设备与系统连接，使各个相关设备均能够保证运转正常。实际操作中，相关工作人员可依据实际工作需求，对接入设备及系统进行合理选择，具有较强灵活性及便捷性。此外，应用计算机技术可使自动化控制系统具有智能化特点，在利用传感设备的基础上，对于现场各个相关设备，现场总线可进行分析及监控，同时在此基础上可实现自动化控制设备，从而可对设备运行状态实行实时监测，对于系统运行过程中所出现故障可及时进行处理，相比于普通调节器而言，在工业自动化控制系统中，通过对计算机技术进行运用，由于计算机具有较强数值运算能力，可对偏差最大程度地进行缩小及控制，从而保证在元件老化及噪音等因素不会对控制精度产生影响，可使系统精确性得到较好保证。

3自动化控制系统信息安全隐患问题

3.1操作系统的隐患

当前大多数工业自控系统都是Windows平台的，考虑到操作系统与控制系统的兼容性，对Windows平台往往不安装补丁。因此系统就存在被攻击的可能，有很大的安全隐患。

3.2通信协议的隐患

信息化和工业化的高层次的深度结合，使得TCP/IP等通用协议和技术越来越广泛地应用在工业自控网络中，这就减弱了控制系统与外界的隔离。病毒、木马向控制网扩散，工业自控系统的安全隐患问题日益严峻。

3.3杀毒软件的隐患

杀毒软件的病毒库需要不断的更新，这一要求不适合工业控制环境，许多工控系统通常不会安装杀毒软件。即使安装了杀毒软件，由于软件对新病毒的处理总是滞后的，在使用过程中也有很大的局限性。

3.4工业自控软件的隐患

工业自控软件面向网络应用时，就必须开放其应用端口，而常规的IT防火墙很难保障其安全性，针对组态软件的攻击会从根本上破坏工控系统。黑客很可能会利用一些工业自控软件的安全隐患获取如大型设备的开、停等控制权，一旦这些控制权被黑客所掌握，可能造成相关企业的设备运行异常，甚至造成停工、停产等严重事故。

4工业自动化控制系统信息安全问题的有效防范策略

4.1基于终端的工业系统安全防御体系

工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御体系。按照业务职能和安全需求的不同，工业网络可划分为：满足办公终端业务需要的办公区域；满足在线业务需要DMZ区域；满足ICS管理与监控需要的管理区域；满足自动化作业需要的控制区域。

4.2办公网络终端的安全防御

办公网络相对于工业控制网络是开放的，其安全防御的核心是确保各种办公业务终端的安全性和可用性，以及基于终端使用者的角色实施访问控制策略。办公网络也是最容易受到攻击者攻击并实施进一步定向攻击的桥头堡，实施有效的办公网络终端安全策略可最大限度的抵御针对ICS系统的破坏。办公网络通用终端安全防御能力建设包括：木马等病毒威胁系统正常运行恶意软件防御能力；基于白名单的恶意行为发现与检测能力；终端应用控制与审计能力；基于角色的访问控制能力；系统漏洞的检测与修复能力；基于系统异常的恢复能力。

4.3工业控制网络终端的安全防御

工业控制网络具有明显的独有特性，其安全防御的核心是确保控制系统与监控系统的可用性，以及针对ICS系统与管理员、ICS系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时，能够在不影响系统可用性的情况下，帮助管理员快速定位安全故障点。同时，在确保控制系统可用性的前提下，工业控制网络终端安全防御能力建设需要做到如下几个方面：基于行业最佳实践标准的合规保证能力；基于白名单策略的控制终端恶意软件防御能力；基于白名单的恶意未知行为发现与检测能力；基于ICS协议的内容监测能力；基于控制系统的漏洞及威胁防御能力；基于可用性的最小威胁容忍模型建设能力；基于事件与行为的审计能力；基于可用性的系统补丁修复能力；终端安全的应急响应能力。

4.4工业网络终端安全管控平台建设

充分了解控制终端与业务终端的安全能力建设规范与功能，是构建高性能安全事件审计与管理运维平台模型的前提，也是实现工业网络中对分布式控制系统、数据采集系统、监控系统的统一监控、预警和安全响应的基础平台。安全管控平台不仅是实施工业数据采集和监控内容的汇聚中心，基于ICS安全威胁的知识库仿真模块，更可实时对检测到的异常或未授权访问进行核查评估，并将风险通过短信、邮件等方式对管理员告警。为确保安管平台的可用性和时效性，可基于云计算与虚拟化技术对管理平台进行建设，目前较成熟的私有云安全技术、虚拟终端管理技术、数据灾备技术，都可为ICS系统统一管理提供良性的技术支撑。在客户端系统资源优化方面，先进的私有云平台可将信息终端繁重的功能负载迁移到云端执行，为系统的关键应用提供宝贵的计算资源，实现工业系统调度与计算资源的最大利用。

结束语：

加强对工业自动化控制系统信息安全风险问题进行分析，以便根据具体问题选取有效的解决策略，有利于促进工业自动化长期稳定地发展与前行。因此，实际工作中，自动化控制系统工作人员务必要基于终端的工业系统、办公网络终端、工业控制网络终端以及防御体系，并加强构建工业网络终端安全管控平台，只有这样才能够从根本上确保工业自动化控制系统的信息安全。

参考文献：

[1]石长玉.工业自动化控制系统信息安全分析[J].工业,2017(2):00183-00183.

[2]唐文.工业自动化控制系统信息安全研究[J].计算机安全,2012(4):2-7.

[3]孙国萍,张恩华,南盟.基于工业自动化控制系统信息安全探究[J].工程技术:文摘版,2015(9):00245-00245.