化工流程行業(yè)工業(yè)控制網(wǎng)絡(luò)安全探討

前言：本站為你精心整理了化工流程行業(yè)工業(yè)控制網(wǎng)絡(luò)安全探討范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：目前我國(guó)很多企業(yè)的工業(yè)控制網(wǎng)絡(luò)缺乏或根本不具備安全防護(hù)能力，極易受到來(lái)自于外界的入侵，且工業(yè)系統(tǒng)的安全事件所造成的損失和影響一般都相對(duì)較大，現(xiàn)階段針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊越來(lái)越多，工業(yè)網(wǎng)絡(luò)安全問(wèn)題令人擔(dān)憂。本文在防護(hù)技術(shù)和防護(hù)管理方面對(duì)工業(yè)網(wǎng)絡(luò)安全進(jìn)行了探討，以求引起行業(yè)人士對(duì)工業(yè)網(wǎng)絡(luò)安全問(wèn)題的關(guān)注。

關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)；安全防護(hù)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展以及國(guó)家“工業(yè)4.0”“兩化融合”戰(zhàn)略的推進(jìn)，智能化工廠建設(shè)已成為企業(yè)節(jié)本降耗、提質(zhì)增效的必由之路，對(duì)于工業(yè)控制系統(tǒng)而言，它必將成為智能化工廠整體設(shè)計(jì)架構(gòu)中的重要組成部分。生產(chǎn)控制信息將貫穿于企業(yè)生產(chǎn)經(jīng)營(yíng)管理全過(guò)程，工業(yè)控制系統(tǒng)相對(duì)獨(dú)立的運(yùn)行環(huán)境正在被打破，工業(yè)控制系統(tǒng)面臨著來(lái)自外部越來(lái)越多的安全威脅。尤其是化工流程行業(yè)高溫高壓、易燃易爆的特點(diǎn)，一旦工業(yè)控制系統(tǒng)出現(xiàn)問(wèn)題，后果將極其嚴(yán)重。

一、行業(yè)現(xiàn)狀分析

目前化工流程行業(yè)普遍運(yùn)用數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過(guò)程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)控制生產(chǎn)設(shè)備的運(yùn)行。長(zhǎng)期以來(lái)工業(yè)控制系統(tǒng)始終把穩(wěn)定性、延時(shí)性、可操作性等作為重要的性能指標(biāo)，很多企業(yè)對(duì)于工業(yè)網(wǎng)絡(luò)安全沒(méi)有足夠的重視，管理制度不健全，技術(shù)防護(hù)措施不到位，有的企業(yè)甚至基本上沒(méi)有任何防護(hù)措施，由于擔(dān)心對(duì)操作系統(tǒng)的影響，不敢輕易對(duì)系統(tǒng)實(shí)施升級(jí)和漏洞補(bǔ)丁的操作。為了實(shí)現(xiàn)管控一體化，很多企業(yè)將工業(yè)控制網(wǎng)與企業(yè)管理網(wǎng)絡(luò)甚至是與互聯(lián)網(wǎng)進(jìn)行了連接，且采取的防護(hù)措施也很簡(jiǎn)單，通常只是用一臺(tái)上位機(jī)將工業(yè)控制網(wǎng)和管理網(wǎng)連接到一起，這種安全防護(hù)措施極易被攻破，在高度信息化的同時(shí)也減弱了工業(yè)控制系統(tǒng)的安全性，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)蔓延，工業(yè)網(wǎng)絡(luò)病毒、工控設(shè)備高危漏洞、外委設(shè)備后門、無(wú)線技術(shù)應(yīng)用的風(fēng)險(xiǎn)等諸多因素對(duì)工業(yè)控制系統(tǒng)的安全造成了極大的威脅，工業(yè)控制系統(tǒng)安全問(wèn)題日益突出。

二、安全防護(hù)技術(shù)探討

1.工業(yè)控制系統(tǒng)病毒種類和傳播途徑分析。

工業(yè)控制系統(tǒng)受到攻擊一般都是先感染病毒，系統(tǒng)被感染后會(huì)出現(xiàn)兩種情況，一是系統(tǒng)運(yùn)行效率下降，常出現(xiàn)運(yùn)行速度慢和死機(jī)現(xiàn)象；二是系統(tǒng)被黑客利用病毒所控制，對(duì)系統(tǒng)進(jìn)行操作。近年來(lái)出現(xiàn)的震網(wǎng)病毒、Duqu病毒、Flame病毒和Havex病毒都是針對(duì)工業(yè)控制系統(tǒng)的病毒，這些病毒的傳播途徑一般是通過(guò)互聯(lián)網(wǎng)散布，通過(guò)互聯(lián)網(wǎng)感染企業(yè)管理網(wǎng)絡(luò)計(jì)算機(jī)或移動(dòng)存儲(chǔ)設(shè)備，通過(guò)管理網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)設(shè)備感染工業(yè)控制網(wǎng)絡(luò)。目前很多化工企業(yè)用于生產(chǎn)控制的是DCS系統(tǒng)，針對(duì)這些DCS產(chǎn)品實(shí)施攻擊是很容易做到的，因?yàn)檫@些DCS產(chǎn)品的協(xié)議參數(shù)、標(biāo)準(zhǔn)規(guī)范、接口參數(shù)等信息對(duì)于攻擊者來(lái)說(shuō)是很容易得到的，制作出有針對(duì)性的攻擊程序技術(shù)難度也不大，攻擊的關(guān)鍵就是如何使這些程序侵入到工業(yè)控制系統(tǒng)之中，這既是攻擊者想方設(shè)法所要做的事情，也是防御者的工作重心。以震網(wǎng)病毒為例進(jìn)行分析，震網(wǎng)病毒是一種基于WINDOWS操作系統(tǒng)平臺(tái)的專門針對(duì)工業(yè)控制系統(tǒng)的蠕蟲(chóng)病毒，它具有傳播能力強(qiáng)、能自我復(fù)制、隱身性好等特點(diǎn)，還具有多種掃描和滲透機(jī)制，該病毒可以根據(jù)環(huán)境不同做出相應(yīng)的反應(yīng)。震網(wǎng)病毒的攻擊手段常常以黑客技術(shù)發(fā)動(dòng)首次攻擊，入侵到工業(yè)控制系統(tǒng)后進(jìn)行蔓延、復(fù)制，滲透到更深層次的控制單元中，從而達(dá)到控制系統(tǒng)的目的。

2.工控安全防護(hù)理念的演變。

（1）強(qiáng)調(diào)網(wǎng)絡(luò)隔離，一般是采用網(wǎng)關(guān)、網(wǎng)閘、單向隔離設(shè)備等硬件隔離技術(shù)，這些防護(hù)手段屬于被動(dòng)防護(hù)，起到抵御和阻擋威脅侵入的作用。但被動(dòng)的防御是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是有針對(duì)性的應(yīng)對(duì)這些隔離技術(shù)，只要是有物理連接，那攻破這些隔離設(shè)施只是技術(shù)上的問(wèn)題。

（2）傳統(tǒng)信息安全廠商提出了縱深防御體系的理念，其性質(zhì)也是屬于隔離的范疇，只不過(guò)是對(duì)傳統(tǒng)隔離技術(shù)的一種演變，基本上是諸如防火墻、動(dòng)態(tài)入侵檢測(cè)（IPS）等一些信息安全設(shè)備的一種簡(jiǎn)單的堆砌，不能完全適應(yīng)工業(yè)控制網(wǎng)絡(luò)安全的特點(diǎn)。

（3）以工業(yè)控制系統(tǒng)生產(chǎn)廠家為代表的，基于產(chǎn)品端的持續(xù)性防御體系，其理念是基于工控產(chǎn)品硬件創(chuàng)新以提高其安全性，這種理念適應(yīng)工業(yè)控制系統(tǒng)高可靠、低延時(shí)、可定制以及簡(jiǎn)單化的實(shí)施和操作等特點(diǎn)，這就需要制造廠家與客戶之間需建立一種長(zhǎng)期的合作關(guān)系，費(fèi)用相對(duì)也較高。

（4）以攻為守的防護(hù)策略，通過(guò)注重攻擊技術(shù)的研究以提高攻擊技術(shù)，從而帶動(dòng)防御技術(shù)的提高，以此為基礎(chǔ)衍生出多種檢測(cè)技術(shù)和風(fēng)險(xiǎn)評(píng)估方法，運(yùn)用這些技術(shù)和方法建立諸如離線威脅管理平臺(tái)、威脅評(píng)估系統(tǒng)等工具挖掘系統(tǒng)漏洞，尋找安全滲透攻擊，發(fā)現(xiàn)隱患及時(shí)報(bào)警或消除，這些技術(shù)和手段屬于主動(dòng)防御。

3.攻擊技術(shù)分析。

（1）網(wǎng)絡(luò)掃描技術(shù)分析。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議對(duì)延時(shí)性很敏感，實(shí)施硬掃描通過(guò)占用資源對(duì)延時(shí)造成影響，就很有可能致使整個(gè)網(wǎng)絡(luò)癱瘓。單單是進(jìn)行簡(jiǎn)單的網(wǎng)絡(luò)掃描操作，就可以達(dá)到中斷系統(tǒng)服務(wù)的目的，在網(wǎng)絡(luò)掃描過(guò)程中，如果發(fā)現(xiàn)防火墻、網(wǎng)關(guān)之類的網(wǎng)絡(luò)保護(hù)設(shè)備，憑借基本的黑客技術(shù)，通過(guò)實(shí)施DOS攻擊就可以達(dá)到目的。如果不希望系統(tǒng)崩潰，只是通過(guò)掃描獲取相關(guān)設(shè)備信息，那就可以采取軟掃描的方法進(jìn)行目標(biāo)系統(tǒng)定位，之后再根據(jù)系統(tǒng)的網(wǎng)絡(luò)協(xié)議的特性進(jìn)行后續(xù)掃描。通過(guò)掃描可以識(shí)別出關(guān)鍵設(shè)施保護(hù)設(shè)備及其屬性，可以得到設(shè)備的各類同步信息，還可以發(fā)現(xiàn)DNP3的從屬地址和相應(yīng)的邏輯關(guān)系。

（2）賬戶破解技術(shù)。

目前大部分工控系統(tǒng)都是基于WIN-DOWS操作系統(tǒng)的，因此一些通用的專門破解WINDOWS賬戶的軟件工具和方法同時(shí)也可以應(yīng)用到破解工業(yè)控制系統(tǒng)上來(lái)。OPC是以O(shè)LE和COM機(jī)制作為應(yīng)用程序的通訊標(biāo)準(zhǔn)，DCS系統(tǒng)可以通過(guò)OPC與外界建立聯(lián)系，賬戶破解后通過(guò)主機(jī)認(rèn)證就可以全面控制OPC環(huán)境，對(duì)DCS系統(tǒng)實(shí)施雙向的數(shù)據(jù)通訊。若無(wú)法獲得底層協(xié)議認(rèn)證，也可以通過(guò)枚舉方法破解系統(tǒng)人機(jī)界面用戶信息，進(jìn)入人機(jī)界面就可以直接控制管理進(jìn)程，竊取各類信息。以上兩種技術(shù)只是眾多攻擊技術(shù)的代表，攻擊技術(shù)種類繁多，且還有多種復(fù)雜的變換，但最終目的就是要入侵到系統(tǒng)中來(lái)，所以防御和捕獲技術(shù)的研發(fā)是關(guān)鍵，兩者應(yīng)結(jié)合運(yùn)用才能保證系統(tǒng)安全。目前各類防御系統(tǒng)較多，但捕獲技術(shù)應(yīng)用較少，在入侵來(lái)源識(shí)別、I/O接口監(jiān)控、動(dòng)態(tài)檢測(cè)分析和系統(tǒng)運(yùn)行檢測(cè)等方面開(kāi)展工控系統(tǒng)保護(hù)工作效果將更加明顯。

三、安全防護(hù)管理探討

技術(shù)是手段，管理是保障，建立完善的工業(yè)控制網(wǎng)絡(luò)安全管理體系對(duì)于安全防護(hù)更為重要，管理體系架構(gòu)應(yīng)包含以下六部分：

1.建立完善的組織機(jī)構(gòu)。

企業(yè)要結(jié)合本單位實(shí)際，制定網(wǎng)絡(luò)安全工作的總體方針和策略，明確本單位網(wǎng)絡(luò)安全工作的總體目標(biāo)、范圍、原則和安全框架。應(yīng)有專門的部門具體承擔(dān)網(wǎng)絡(luò)安全管理工作，組織制定和落實(shí)網(wǎng)絡(luò)安全管理制度，實(shí)施網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，開(kāi)展網(wǎng)絡(luò)安全宣傳教育培訓(xùn)，執(zhí)行網(wǎng)絡(luò)安全監(jiān)督檢查等。

2.加強(qiáng)人員管理。

建立相關(guān)崗位人員上崗管理規(guī)定，進(jìn)行相關(guān)教育和培訓(xùn)、考核，與關(guān)鍵崗位的計(jì)算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密要求和責(zé)任。建立相關(guān)崗位人員離崗管理規(guī)定，人員離崗時(shí)應(yīng)終止其系統(tǒng)訪問(wèn)權(quán)限，收回各種軟硬件設(shè)備及身份證件、門禁卡、UKey等，并簽署安全保密承諾書(shū)。建立外來(lái)人員管理制度，外來(lái)人員訪問(wèn)機(jī)房等重要區(qū)域，應(yīng)履行審批手續(xù)。

3.重視存儲(chǔ)介質(zhì)管理。

建立存儲(chǔ)介質(zhì)安全管理制度，對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行集中統(tǒng)一管理，記錄介質(zhì)領(lǐng)用、交回、維修、報(bào)廢、銷毀等情況。嚴(yán)格限制USB接口的使用，嚴(yán)格存儲(chǔ)陣列、磁帶庫(kù)等大容量存儲(chǔ)介質(zhì)的管理，采取技術(shù)措施防范外聯(lián)風(fēng)險(xiǎn)，確保存儲(chǔ)數(shù)據(jù)安全。嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。

4.規(guī)范網(wǎng)絡(luò)管理和運(yùn)維工作。

建立網(wǎng)絡(luò)安全管理和日常運(yùn)行維護(hù)管理制度，制定運(yùn)維操作規(guī)程，規(guī)范日常運(yùn)維操作記錄。建立安全風(fēng)險(xiǎn)控制流程，采取書(shū)面審批、訪問(wèn)控制、在線監(jiān)測(cè)、日志審計(jì)等安全防護(hù)措施進(jìn)行安全風(fēng)險(xiǎn)控制。日常維護(hù)要建立巡檢表，對(duì)網(wǎng)絡(luò)監(jiān)控日志和設(shè)備日志進(jìn)行管理，定期審計(jì)分析，發(fā)現(xiàn)安全風(fēng)險(xiǎn)或問(wèn)題，及時(shí)進(jìn)行處理。嚴(yán)格口令管理，及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令，杜絕弱口令、空口令。建立涉密計(jì)算機(jī)管理制度，對(duì)涉密計(jì)算機(jī)進(jìn)行重點(diǎn)監(jiān)控，嚴(yán)禁涉密計(jì)算機(jī)接入互聯(lián)網(wǎng)。

5.嚴(yán)格外包服務(wù)機(jī)構(gòu)的管理。

建立網(wǎng)絡(luò)技術(shù)外包服務(wù)安全管理制度，與其簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密責(zé)任，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包，不得泄露、擴(kuò)散、轉(zhuǎn)讓服務(wù)過(guò)程中獲知的敏感信息，不得占有服務(wù)過(guò)程中產(chǎn)生的任何資產(chǎn)，不得以服務(wù)為由強(qiáng)制要求委托方購(gòu)買、使用指定產(chǎn)品。在網(wǎng)絡(luò)技術(shù)現(xiàn)場(chǎng)服務(wù)過(guò)程中應(yīng)安排專人陪同，并對(duì)服務(wù)過(guò)程詳細(xì)記錄.

作者：宋鋼 劉海波 單位：滄州大化集團(tuán)有限責(zé)任公司 河北工程技術(shù)高等專科學(xué)校