前言：本站為你精心整理了化工流程行業工業控制網絡安全探討范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：目前我國很多企業的工業控制網絡缺乏或根本不具備安全防護能力，極易受到來自于外界的入侵，且工業系統的安全事件所造成的損失和影響一般都相對較大，現階段針對工業控制網絡的攻擊越來越多，工業網絡安全問題令人擔憂。本文在防護技術和防護管理方面對工業網絡安全進行了探討，以求引起行業人士對工業網絡安全問題的關注。

關鍵詞：工業網絡；安全防護

隨著計算機和網絡技術的發展以及國家“工業4.0”“兩化融合”戰略的推進，智能化工廠建設已成為企業節本降耗、提質增效的必由之路，對于工業控制系統而言，它必將成為智能化工廠整體設計架構中的重要組成部分。生產控制信息將貫穿于企業生產經營管理全過程，工業控制系統相對獨立的運行環境正在被打破，工業控制系統面臨著來自外部越來越多的安全威脅。尤其是化工流程行業高溫高壓、易燃易爆的特點，一旦工業控制系統出現問題，后果將極其嚴重。

一、行業現狀分析

目前化工流程行業普遍運用數據采集與監控（SCADA）、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統控制生產設備的運行。長期以來工業控制系統始終把穩定性、延時性、可操作性等作為重要的性能指標，很多企業對于工業網絡安全沒有足夠的重視，管理制度不健全，技術防護措施不到位，有的企業甚至基本上沒有任何防護措施，由于擔心對操作系統的影響，不敢輕易對系統實施升級和漏洞補丁的操作。為了實現管控一體化，很多企業將工業控制網與企業管理網絡甚至是與互聯網進行了連接，且采取的防護措施也很簡單，通常只是用一臺上位機將工業控制網和管理網連接到一起，這種安全防護措施極易被攻破，在高度信息化的同時也減弱了工業控制系統的安全性，病毒、木馬等威脅正在向工業控制系統蔓延，工業網絡病毒、工控設備高危漏洞、外委設備后門、無線技術應用的風險等諸多因素對工業控制系統的安全造成了極大的威脅，工業控制系統安全問題日益突出。

二、安全防護技術探討

1.工業控制系統病毒種類和傳播途徑分析。

工業控制系統受到攻擊一般都是先感染病毒，系統被感染后會出現兩種情況，一是系統運行效率下降，常出現運行速度慢和死機現象；二是系統被黑客利用病毒所控制，對系統進行操作。近年來出現的震網病毒、Duqu病毒、Flame病毒和Havex病毒都是針對工業控制系統的病毒，這些病毒的傳播途徑一般是通過互聯網散布，通過互聯網感染企業管理網絡計算機或移動存儲設備，通過管理網絡和移動存儲設備感染工業控制網絡。目前很多化工企業用于生產控制的是DCS系統，針對這些DCS產品實施攻擊是很容易做到的，因為這些DCS產品的協議參數、標準規范、接口參數等信息對于攻擊者來說是很容易得到的，制作出有針對性的攻擊程序技術難度也不大，攻擊的關鍵就是如何使這些程序侵入到工業控制系統之中，這既是攻擊者想方設法所要做的事情，也是防御者的工作重心。以震網病毒為例進行分析，震網病毒是一種基于WINDOWS操作系統平臺的專門針對工業控制系統的蠕蟲病毒，它具有傳播能力強、能自我復制、隱身性好等特點，還具有多種掃描和滲透機制，該病毒可以根據環境不同做出相應的反應。震網病毒的攻擊手段常常以黑客技術發動首次攻擊，入侵到工業控制系統后進行蔓延、復制，滲透到更深層次的控制單元中，從而達到控制系統的目的。

2.工控安全防護理念的演變。

（1）強調網絡隔離，一般是采用網關、網閘、單向隔離設備等硬件隔離技術，這些防護手段屬于被動防護，起到抵御和阻擋威脅侵入的作用。但被動的防御是脆弱的，現代高端持續性攻擊都是有針對性的應對這些隔離技術，只要是有物理連接，那攻破這些隔離設施只是技術上的問題。

（2）傳統信息安全廠商提出了縱深防御體系的理念，其性質也是屬于隔離的范疇，只不過是對傳統隔離技術的一種演變，基本上是諸如防火墻、動態入侵檢測（IPS）等一些信息安全設備的一種簡單的堆砌，不能完全適應工業控制網絡安全的特點。

（3）以工業控制系統生產廠家為代表的，基于產品端的持續性防御體系，其理念是基于工控產品硬件創新以提高其安全性，這種理念適應工業控制系統高可靠、低延時、可定制以及簡單化的實施和操作等特點，這就需要制造廠家與客戶之間需建立一種長期的合作關系，費用相對也較高。

（4）以攻為守的防護策略，通過注重攻擊技術的研究以提高攻擊技術，從而帶動防御技術的提高，以此為基礎衍生出多種檢測技術和風險評估方法，運用這些技術和方法建立諸如離線威脅管理平臺、威脅評估系統等工具挖掘系統漏洞，尋找安全滲透攻擊，發現隱患及時報警或消除，這些技術和手段屬于主動防御。

3.攻擊技術分析。

（1）網絡掃描技術分析。

工業控制系統網絡協議對延時性很敏感，實施硬掃描通過占用資源對延時造成影響，就很有可能致使整個網絡癱瘓。單單是進行簡單的網絡掃描操作，就可以達到中斷系統服務的目的，在網絡掃描過程中，如果發現防火墻、網關之類的網絡保護設備，憑借基本的黑客技術，通過實施DOS攻擊就可以達到目的。如果不希望系統崩潰，只是通過掃描獲取相關設備信息，那就可以采取軟掃描的方法進行目標系統定位，之后再根據系統的網絡協議的特性進行后續掃描。通過掃描可以識別出關鍵設施保護設備及其屬性，可以得到設備的各類同步信息，還可以發現DNP3的從屬地址和相應的邏輯關系。

（2）賬戶破解技術。

目前大部分工控系統都是基于WIN-DOWS操作系統的，因此一些通用的專門破解WINDOWS賬戶的軟件工具和方法同時也可以應用到破解工業控制系統上來。OPC是以OLE和COM機制作為應用程序的通訊標準，DCS系統可以通過OPC與外界建立聯系，賬戶破解后通過主機認證就可以全面控制OPC環境，對DCS系統實施雙向的數據通訊。若無法獲得底層協議認證，也可以通過枚舉方法破解系統人機界面用戶信息，進入人機界面就可以直接控制管理進程，竊取各類信息。以上兩種技術只是眾多攻擊技術的代表，攻擊技術種類繁多，且還有多種復雜的變換，但最終目的就是要入侵到系統中來，所以防御和捕獲技術的研發是關鍵，兩者應結合運用才能保證系統安全。目前各類防御系統較多，但捕獲技術應用較少，在入侵來源識別、I/O接口監控、動態檢測分析和系統運行檢測等方面開展工控系統保護工作效果將更加明顯。

三、安全防護管理探討

技術是手段，管理是保障，建立完善的工業控制網絡安全管理體系對于安全防護更為重要，管理體系架構應包含以下六部分：

1.建立完善的組織機構。

企業要結合本單位實際，制定網絡安全工作的總體方針和策略，明確本單位網絡安全工作的總體目標、范圍、原則和安全框架。應有專門的部門具體承擔網絡安全管理工作，組織制定和落實網絡安全管理制度，實施網絡安全技術防護措施，開展網絡安全宣傳教育培訓，執行網絡安全監督檢查等。

2.加強人員管理。

建立相關崗位人員上崗管理規定，進行相關教育和培訓、考核，與關鍵崗位的計算機使用和管理人員簽訂網絡安全與保密協議，明確網絡安全與保密要求和責任。建立相關崗位人員離崗管理規定，人員離崗時應終止其系統訪問權限，收回各種軟硬件設備及身份證件、門禁卡、UKey等，并簽署安全保密承諾書。建立外來人員管理制度，外來人員訪問機房等重要區域，應履行審批手續。

3.重視存儲介質管理。

建立存儲介質安全管理制度，對移動存儲介質進行集中統一管理，記錄介質領用、交回、維修、報廢、銷毀等情況。嚴格限制USB接口的使用，嚴格存儲陣列、磁帶庫等大容量存儲介質的管理，采取技術措施防范外聯風險，確保存儲數據安全。嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。

4.規范網絡管理和運維工作。

建立網絡安全管理和日常運行維護管理制度，制定運維操作規程，規范日常運維操作記錄。建立安全風險控制流程，采取書面審批、訪問控制、在線監測、日志審計等安全防護措施進行安全風險控制。日常維護要建立巡檢表，對網絡監控日志和設備日志進行管理，定期審計分析，發現安全風險或問題，及時進行處理。嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。建立涉密計算機管理制度，對涉密計算機進行重點監控，嚴禁涉密計算機接入互聯網。

5.嚴格外包服務機構的管理。

建立網絡技術外包服務安全管理制度，與其簽訂服務合同和網絡安全與保密協議，明確網絡安全與保密責任，要求服務提供商不得將服務轉包，不得泄露、擴散、轉讓服務過程中獲知的敏感信息，不得占有服務過程中產生的任何資產，不得以服務為由強制要求委托方購買、使用指定產品。在網絡技術現場服務過程中應安排專人陪同，并對服務過程詳細記錄.

作者：宋鋼 劉海波 單位：滄州大化集團有限責任公司 河北工程技術高等專科學校