工业网络信息安全研究

工业网络信息安全研究

作者：李恺

来源：《中国管理信息化》2017年第20期

[摘要]随着油气生产技术与互联网的融合发展，工业企业逐渐认识到工业网络安全的重要性，本文结合采油厂的工业网络信息安全防范建设，分析了工业网络信息安全中存在的一些问题及解决方案。

[关键词]工业网络；信息安全；防火墙

doi：10.3969/j.issn.1673 - 0194.2017.20.096

[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194（2017）20-0-02

0 引言

近年来，网络经济的全球化带动了社会各行业的发展，工业企业的工业网络技术发展尤为迅速，从传统PLC逻辑控制自动化到工业实时以太网再到物联网，从具有专有性、专用性的网络环境转变成开放、集成、高效的工业网络环境。目前，随着信息化建设及数字油田建设的深入，工业网络能够实现实时控制、实时监控、实时响应和远程系统监视等，石油开采以及石油储运的生产和经营过程，全部都将依托于工业网络。工业网络的应用广度和深度都达到了前所未有的高度，也将为企业带来可观的经济效益。但是，工业网络也存在各种安全隐患，攻击工业网络的事件时有发生，针对工业控制系统的网络攻击也愈演愈烈。企业也逐渐意识到工业网络信息安全的重要性，国家也陆续出台了一系列有关工控安全的标准及规范。因此，工业企业在采用新的工业IT应用技术的同时，更应该健全工业网络的安全防控机制，通过掌握防范和攻击技术，做到有针对性地进行防范。

1 工业网络概述

工业网络是企业网络的一个重要分支，是指在一个工业企业范围内，将信号检测、信号传输、数据处理、储存、计算和控制等设备或系统连接在一起，以实现企业内的资源共享、信息管理、过程控制和经营决策等。

目前，工业网络有典型的3层架构：第1层为设备层网络，第2层为控制层网络，第3层为管理层网络。三层网络架构广泛应用于工厂企业的工控环境中，各层级网络采用不同的开放式通讯协议和物理接口，使网络互联成为可能。工业网络大多采用这种系统网络架构，能够确保数据传输稳定可靠。

从工业网络体系结构可以看出，工业网络是一个网络控制系统，控制系统的稳定性不能因为网络攻击而被破坏。管理层和控制层之间的访问安全机制必须要确保需要保密的数据不被窃取。

2 工业网络环境中存在的问题

一些早期建设的采油厂，网络规划简单，基本是按照办公业务网络进行建设的，没有统一规划建设工业数据网络，到后期只是简单地将工控设备网络接入办公业务网络，使实时工业数据与日常办公数据一同在物理网络里传输。在这种网络环境下，工业数据和自动化生产设备暴露在开放的网络环境下，容易遭受办公业务网络内的病毒、外部黑客和不法分子的攻击，不仅数据安全得不到保证，而且一旦出现网络设备故障，将会同时影响自动化数据传输和日常公务运行。工业网络环境中存在的问题主要有以下几个方面。

2.1 缺乏清晰的网络边界

工业网络中存在着业务特点、安全需求不同的单元域，如控制单元域、工程组态域、监控域和办公域等。不同的单元域间简单地完全互联、容易导致不同性质的业务、设备、通信混在一起，会给关键的生产控制带来风险。不同的单元域之间缺少必要的隔离措施，网络接入缺少防护、认证，存在非法接入的可能。

2.2 缺乏针对病毒、蠕虫等恶意程序的防护措施

首先，在工业协议中，工业企业通常使用非加密设计，从硬件角度来说也不支持加密手段，在工控设备中也经常会开启其他服务，如FTP、HTTP、SSH等，但却缺少保护措施，一旦开启这些服务将会导致整个设备容易被病毒、蠕虫等恶意程序攻击。

其次，大多数工业控制系统的工程师站、操作站、HMI都是Windows平台的。为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，出于应用软件与操作兼容性考虑，工程师在系统运行后通常不会对Windows平台安装任何补丁，从而埋下安全隐患。

最后，为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于杀毒软件的病毒库需要不定期更新，这一要求尤其不适合于工业控制环境。这些因素都导致整个设备容易被病毒、蠕虫等恶意程序攻击。

2.3 应用软件漏洞

首先，由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，当应用软件面向网络应用时，就必须开放其应用端口。其次，大部分工控软件都是根据现场情况进行二次开发，软件成熟度及安全性都得不到保证。

3 工业网络安全防护建议

笔者通过整理老采油厂工业网络环境中的一些主要问题发现，工业网络中的安全风险不能只靠单一的“网闸”式管理，需要采用硬件、软件加管理的安全模式。基于此，本文提出了以下安全建议。

3.1 划分工业网络安全区域

首先，在工业网络中，技术人员可以采用网络物理链路隔离，建设一套工业网专用的物理链路。其次，技术人员要在工业网络与办公业务网络的交换接口处架设工业级边界网关，最好能够以功能区域为单位架设区域网关，并采用防火墙等技术实现网络隔离。再次，技术人员可以通过对工业控制协议的深度解析，运用“白名单+智能学习”技术建立工控网络安全通信模型，阻断一切非法访问，仅允许可信的流量在网络上进行传输，为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。

3.2 构建工业级安全管理平台和报警管理平台

在构建工业级安全管理平台的过程中，技术人员要将所有部署在工业网络里的安全设备建立组态进行统一管理，并监控工业网络中的所有安全设备的运行参数，确保能够及时集中下发安全策略至各个安全设备，在有病毒入侵或者策略调整的时候可以节约大量时间。

在构建工业级报警平台的过程中，技术人员一方面要对报警信息进行等级划分，并根据不同的报警等级来制定工作的优先级；另一方面要确保能够及时捕获现场所有安装有工业防火墙的通讯信道中的攻击，并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁，以总揽大局的方式为工业网络故障的及时排查、分析提供可靠依据。

3.3 完善工业网络中权限控制与访问控制

首先，技术人员要完善访问控制策略，分别从入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面保护内部系统与资源，防止外部未授权用户及入侵者的非法访问与破坏。