1工控常见安全隐患分析1.1工控主机现场仍有相当部分工控主机安装WindowsXP等微软官方技术不再支持的系统,且系统的安全漏洞常因封闭的生产网络限制,而不能进行可控的升级与更新。因工控软件与杀毒软件兼容性问题,以及远程访问的需要,技术人员为图方便,在工控软件的安装、配置、运行过程中,往往关闭杀毒软件、防火墙、系统更新,相当于裸机运行。移动介质如U盘、移动硬盘、共享文件夹等方式的不规范使用,即使在局域网内也会带来交叉传染等安全风险。工控软件的登录口令、访问权限、通信协议端口、工业协议常采用默认配置,仅依靠常规的IT防护手段难以有效防护复杂的工控应用环境。1.2信息基础设施边界防护往往仅在局域网与公网之间部署传统的IT防火墙与审计软件,对基于工业协议的识别与攻击无能为力;生产网、管理网、办公网、视频网等常为同一局域网段内混用,绝大部分接入层的数据传输与交互使用不带网管功能的傻瓜式交换机,形成局域网内安全防护的真空地带;服务器等设施安全隐患与工控主机类似,不再赘述。1.3安全组织与意识由IT运维人员兼职,将IT安全等同于工控安全;企业内历史上没出过工控安全事件,防范意识薄弱;缺乏针对性的工控安全防护措施、应急演练、应急预案等管理制度;工控安全防护与审计类产品均价格不菲,在没有政策引导与激励措施存在的环境下,企业负责人、技术负责人、一线工程师等往往对工控安全需求选择性漠视或弱化处理。2铸造行业工控安全技术措施2.1主机安全防护在铸造企业工控网络现场各类工控设备和网络设备等普遍采用国外品牌,因协议和配置缺陷导致工业控制系统存在大量漏洞,同时缺乏必要控制措施进行防护。大多数漏洞属于拒绝服务、远程代码执行和缓冲区溢出的类型。如果被入侵者利用,将导致设备故障或恶意破坏,严重影响工控系统和组件的安全性和可靠性。对系统的操作站、工程师站进行维护时应对所使用的外接设备进行病毒查杀,确保没有病毒的存在。建立工控系统安全生产与运行的“软件白名单”,进而构筑工业控制系统的“安全环境”,只允许可信任的软件能在工控网络内部使用,其他恶意的、不明确的或者未经测试的软件等都不允许流通使用,并要及时调整、升级软硬件工具。2.2注重操作行为审计及运维安全在工控网络中各应用终端、工程师站部署终端安全防护系统,以实现网络准入控制、安全配置管理等,并能对移动存储介质等外设进行管理。构建工控网络安全防御体系,实现工控网络安全分区、网络行为分析、系统安全漏洞防护等管理,对工业控制网络进行全面安全分析,提供威胁评估报告和安全防护策略优化依据。2.3物理和环境安全防护为保证工控系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对工控系统保密性、完整性、可用性带来的安全威胁,必须从物理安全的角度采取适当的安全控制措施。针对工控系统物理环境缺乏控制及未经授权的人员可以访问重要设备的现状,对于工控系统中无人值守的分布式站点、核心设备区域采取物理防范措施是十分必要的。通过建立配置视频监控措施、电子门禁系统和报警系统,可以防止未经授权的人员进入,并且便于事后审计和追查。USB、光驱等工业主机外部设备的接入使用,为病毒和木马等入侵提供了通道。应尽量拆除或封闭各类工业主机上不必要的外设接口;确需使用时,可采用工控系统主机审计产品统一管理有外设接口的工控系统主机。2.4网络安全防护工控系统要对设备按照功能、区域等合理划分安全域,使数据交互只能通过安全域边界进行,并通过工业防火墙、安全网闸等设备对工控系统的安全边界进行防护。在不同网络边界间,可以通过部署防火墙的方式,实现网络访问的安全控制,阻断不合法的网络访问。对于重要的工业控制网络,与互联网直接连接存在较大风险,应在实际使用中先对安全风险进行评估,再采取合理的方式进行连接。2.5典型工控安全产品组合式部署工控安全防护常见技术策略中,有效性排名靠前的为白名单、配置及补丁管理、隔离区等。白名单机制下,只有可信任的设备,才能接入工控网络;只有可信任的消息,才能在工控网络上传输;只有可信任的软件,才允许被执行。以威努特工控安全产品为例,铸造行业工控环境典型的组合式部署如图1所示。其中,可信网关(带旁路机制的工业防火墙,进行网络边界实时防护)、工控主机卫士+安全U盘(进行主机安全防护,及安全的数据交换)、安全运维管理系统(实现对用户从登录到退出的全程操作行为进行审计)、主机安全加固系统(对操作系统进行安全加固)、入侵检测系统(对异常攻击实时监测)、安全隔离与信息交换系统(实现内外网间隔离及数据安全交换)、统一安全管理平台(进行工控安全软硬件产品集中管理)属于防护型产品,监测与审计平台(进行基于网络通信的审计与溯源)属于监测型产品。该组合式部署涵盖铸造工厂设备层、单元层与车间层,实现隔离、检测、防护、响应、审计、管理等全过程全方位的纵深防御。图1铸造行业典型工控安全产品组合式部署示意3结论综上所述,铸造行业工控安全的具体实施,应依据自身信息基础设施的实际现状,以及工控安全需求、重点防护对象或区域,参照典型光纤环网拓朴及工控安全产品组合式部署,遵循统筹规划、分步实施的原则,逐步满足工控安全的各项重点评价指标。参考文献:[1]刘小龙,余博.铸造车间设计与生产安全[J].机械工业标准化与质量,2016(10):44-49.