哈尔滨飞机工业集团有限责任公司黑龙江哈尔滨150066
摘要:工业控制系统信息安全的问题越来越严重,它呈现出与传统IT系统不同的许多特征。本文提出了安全纵深防御的概念,作为一个指南,由边界构造系统、防御系统,风险防范系统等三部分组成的综合防御系统,工业控制系统致力于为您提供全方位、多层次、保护的完整生命周期。
关键词:信息安全;工业;控制系统;思考实践
1前言
在当今世界,人类社会正处于工业化、网络化、信息化的进程中。这伴随着传统工业体系的升级和革命:过去的物理隔离的工业控制系统越来越多地以各种方式连接到互联网上。在工业生产中,企业与车间之间、外部与内部、设备与人之间,正在酝酿着越来越多的、越来越重要的信息交流。传统IT的互联概念正变得越来越渗透到工业和控制领域,社会计算和社会制造的宏伟架构开始成形。然而,人们很满足,并乐于享受它。在新技术时代,当互联网给传统产业带来巨大利益时,信息安全很少与工业领域相关联,但它在每个人面前都凸显出来。
随着科学技术的快速发展,工业化和信息化的不断融合,工业控制系统越来越多的使用标准,通用通信协议和软件和硬件系统,以各种方式接入互联网,打破了原始的密封和这些系统的特异性,创建安全威胁,如病毒、木马,迅速蔓延到工业控制领域。简要介绍了安全控制的新趋势和新领域的研究成果,本文从工业控制系统的定义和三层结构,引起了工业控制系统的安全问题,通过详细的数据描述了安全问题的分布特征和发展趋势。然后,从学术研究的角度,主要介绍了工业控制系统信息安全的国际会议。通过比较两次举行ICS-CSR会议论文,攻击者和攻击,网络攻击检测和响应,建模和脆弱性分析,系统安全和安全控制的社会,技术,和其他重要问题详细讨论,总结了工业安全的研究中存在的主要问题,观点,方法和结论,阐述了该领域的现状和未来发展方向。
2国内工控安全现状
2.1信息化建设的趋势
近十年来,世界范围内的过程控制系统(DCS/PLC/电脑/RTU等等)和信息技术、SCADA系统广泛使用的Windows,以太网和现场总线技术,OPC技术的应用,比如工业设备接口是越来越开放,使控制企业信息系统和SCADA系统不再是孤立的。但是越来越多的情况下,商业网络,互联网,移动U盘,维修人员的笔记本电脑和其他因素导致访问网络安全问题正逐渐蔓延在控制系统和SCADA系统,直接影响工业生产的稳定和安全的人,对基础设施造成损害。
2.2以太网及协议的普及
目前,有许多工业控制设备,包括以太网接口和/ip协议。随着以太网技术的快速发展,80%的市场份额和现场总线的存在明显的缺陷,使得工业控制领域的每一个大厂商都发展成为工业控制产品和工业以太网的强大兼容。一个被广泛使用的工业以太网是西德公司开发的PROFINET工业以太网。
施耐德电气推出了一系列基于ip以太网的集成的、高度友好的服务,并致力于工业控制。自1979年以来,Modbus已经成为了工业上的串联协议的标准。它已经被用于数百万的自动化设备作为通信协议。Modbus已经获得了国际标准委员会61158的认可,也成为了“中国的国家标准”。Modbus消息可以在ip以太网和Internet上交换自动数据,以及其他各种应用程序(文件交换、web页面,
电子邮件等。今天,我们有可能在没有任何接口的情况下有机地整合信息技术和自动化。
2.3国产化程度
随着工业控制系统、网络和协议的不断发展和升级,不同的制造商也在加速以太网技术的推广。80%以上的国内控制系统由国外品牌和制造商主导,核心技术和零部件在其他方面,这对国内产业网络安全形势造成了巨大的威胁和威胁。目前,工业控制和工业安全隔离网关产品越来越多地应用于工业控制企业的控制网络和办公网络的物理隔离和边界保护中。因为在国内重要的控制系统中80%以上的系统使用的是国外的产品和技术,这些技术和产品是无法控制的,将给控制系统带来巨大的安全隐患。然而,国内通用IT网络和工业控制网络之间存在着巨大的差异,而一般的安全解决方案无法满足工业控制领域的需求工业控制系统的安全威胁迫在眉睫。
3工业控制系统信息安全隐患分析
工业控制系统的安全可分为物理安全、功能安全、信息安全三个方面。传统的工业控制系统注重物理安全和功能安全。但随着工业化和信息化深度融合,中国制造在2025年和“互联网+”战略的实施,监控和数据采集(SCADA)系统,分布式控制系统(DCS)和可编程逻辑控制器(PLC)和其他传统的工业控制系统,以其强大的数据/能力下降而打破“信息岛”,带来了严重的网络信息安全隐患。
4工控安全防御方法建议
4.1白名单机制
白名单主动防御技术是通过预先计划的协议规则来限制网络数据的交换,并在控制网络和信息网络之间进行动态行为判断。通过特征分析和端口限制,对未知恶意软件的操作和传播进行了控制。“白名单”的安全机制是一种安全管理标准,不仅应用于防火墙软件的设置规则,也在实际的管理应该遵循的原则,例如,在设备和计算机的实际操作,您需要使用指定的笔记本,U盘等,管理只相信可以识别的身份未经授权的行为将被拒绝。
4.2物理隔离
网络物理隔离技术较早地诞生,最初用于解决保密网络和非保密网络之间的安全数据交换问题。后来,由于其高安全性的网络物理隔离,开始广泛应用于政府、军队、电力、铁路、金融、银行、证券、保险、税务、海关、民航、社会保险等行业部门,其主要功能是支持:文件数据交换、HTTP访问、WWW服务、FTP访问、电子邮件、关系数据库同步和udp自定义。
4.3工业协议深度解析
商业防火墙是根据防火墙的办公网络安全要求设计的,它可以在最常用的网络协议(如HTTP、FTP等)的传输中被用于办公网络,可以为办公网络提供有效的保护。然而,对于工业用网络上的通信协议(如网络通讯协议、OPC应用程序层协议)网络数据包,商业防火墙只能使网络层和传输层浅包过滤,它不能深入检查应用层网络中的数据包,因此,商业防火墙有一些局限性,不能满足工业网络的要求。
4.4漏洞扫描
在“451”发布后,工业和信息化部对全国范围内的工业控制系统进行了安全研究,并对相关行业进行了问卷调查。在实际工作中,我们知道,委员会和国家信息中心在实现的过程中,缺乏理解的工业控制系统和培训,我们不能轻易地调查和检测的工业控制系统等。因此,第三方的权利设备和技术领域的行业和控制将有效地解决这个问题。
4.5云管理服务平台
构建满足工厂水平风险识别模型的工业控制系统,除了需要完善风险因素对工业控制系统,还需要建立基于工业控制系统安全管理域的实现层次建设基线,包括终端和链接,注意兼顾威胁和异常的功能、安全性和可用性等。
5结束语
与以太网技术的应用在工业控制网络和国家整合”两个“继续推进,未来的工业控制系统将把更先进的信息安全技术,如可信计算、云南一致,信息安全成为政治稳定的重要因素,经济发展,本文介绍了工业控制系统安全的技术手段和策略,与此同时,仍然需要继续加强整体的安全安排在工业控制领域,改善并提供整体安全解决方案。
参考文献:
[1]钟梁高.基于可信计算的工业控制系统信息安全解决方案研究[D].大连理工大学,2015.
[2]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015,(04):35-40+47.[2017-08-19].