工业控制系统网络安全防护建设

来源：核心期刊咨询网时间：2020-04-03 11:1612

摘要：摘要：随着信息化时代的到来，工业控制系统网络安全受到了诸多方面的干扰，导致安全问题不断发生，在很大程度上制约着工业生产以及信息安全。为了有效的避免此类问题的出现，需加强工业系统网络安全防护系统的搭建，加强安全防护措施，从而更好的保证工业控

　　摘要：随着信息化时代的到来，工业控制系统网络安全受到了诸多方面的干扰，导致安全问题不断发生，在很大程度上制约着工业生产以及信息安全。为了有效的避免此类问题的出现，需加强工业系统网络安全防护系统的搭建，加强安全防护措施，从而更好的保证工业控制系统的稳定运行。本文对工业控制系统网络安全防护建设进行分析，以供参考。

　　关键词：工业控制系统;网络安全防护;建设

　　《哈尔滨工业大学学报》(社会科学版)(双月刊)创刊于1999年，是由哈尔滨工业大学主办的社科学术刊物。近年在部委系统社科期刊评比中一直居于榜首，为繁荣中国人文社会科学研究作出了贡献。

　　引言

　　随着信息化的飞速发展，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。同时，工业控制系统已被广泛应用于社会生产的各个领域，特别是能源、石化、冶金、水利、交通等关乎国家安全和国计民生的行业。

　　1工业控制系统现状分析

　　1.1技术体系滞后

　　工控系统重大共性关键安全技术尚需突破，适应我国工控安全需要的安全标准和技术体系等相对滞后，我国关键基础设施受制于人、技不如人的现状仍未改善。随着我国互联网普及和工业互联网、大数据、数字化工程等新技术、新业务的快速发展与应用，我国在工业控制系统方面面临的安全问题日益复杂。与此同时，敲诈勒索病毒、设备后门漏洞、分布式拒绝服务攻击、网络攻击“武器库”泄露、APT攻击等安全事件层出不穷，使得工业控制系统面临的网络安全威胁与风险不断加大，给网络空间安全造成严重的潜在安全威胁，对我国工控系统安全不断提出新的挑战。

　　1.2工业控制系统安全配置较弱

　　由于工业控制系统在运行维护过程中，主要考虑其可用性和方便性，未对工业控制系统的安全项进行配置，比如弱口令、开放多余的端口，未删除多余的账号等等，存在一些安全配置上的弱点。这些弱配置项很容易被病毒、木马、黑客甚至敌对势力等利用造成一定损失。

　　1.3工业主机存在大量安全问题

　　工业场景中使用的操作员站、工程师站以及工业数据库主机大部分为Windows的操作系统，如WindowsXP、Windows7、WindowsServer2003、2008等操作系统，这些操作系统微软已经不再提供相应的服务。还有这些工业主机安装杀毒软件不足，即使安装了杀毒软件，由于兼容性问题、操作系统多样性以及病毒库需要定期更新等问题，导致杀毒软件在工业主机上无法很好的使用，安全问题屡有发生。另一方面，移动存储介质的不规范使用，病毒、木马等恶意软件的攻击，工艺、配方泄密等安全问题不断发生。

　　2工业控制系统网络安全防护措施

　　2.1安全审计

　　通过部署数据库审计，基于数据库协议分析与控制技术，实现对数据库操作“危险指令阻断、访问行为控制、安全态势分析、全面行为审计”的数据库安全主动防御。通过部署工控安全卫士进行主机审计，对安全事件、审计记录、监测数据上报到安全管理平台。同时，通过部署日志审计系统，对安全设备、网络设备以及工业主机、控制系统、数据库、应用系统的日志进行统一收集、记录、分析。

　　2.2技术方面

　　仍网络安全、主机安全、应用安全、数据安全等几个层面迚行安全防护建设，充分考虑DCS安全防护隑离措施后不能影响整个工控系统的稳定性以及可用性。系统建立起可视化的网络模型，能实时监视整个系统设备的运行状态和安全状态，一旦収生安全亊件，能在网络图上迚行直观、实时报警。

　　2.3实施安全防御措施探讨

　　对于像一些比较重要的设备以及工控网络区域等等这样的外网连接系统，一定要通过一定的方法把这些设备与外界的环境进行隔离，比如工控防火墙、网络隔离等等方法。①我们可以采用工业安全隔离网关的方法来隔离控制系统以及数采机。这种控制方法不仅能够完成数据收集，物理格局以及网关等等重要的工作，同时还可以降低成本以及故障点出现的几率，完全的实现了一种一机多用的理想目标;②数采机以及控制系统的架构之间一般都运用“2+1”物理隔离的方法来进行隔离，只有拥有私密密码的数据才能够进入到控制系统，同时也大大的提高了控制系统的安全系数;③为了能够在存在多个工业协议的工业控制系统之间取到数据，可以通过采取opc协议和工业协议的方法来进行采集，那么数采机如何与外网获得信息?我们可以采取防火墙的方法来进行工业数据的筛选，这种方法对整个工业协议的数据是非常重要的，只有合法的访问才能够进去到工业控制系统中来，其他一些不合格的訪问，这种系统将会直接拒绝，所以说，相关用户可以根据自身的业务通信配备以及业务放行规则来改善自己所了解的网络通信协议;同时能够使整个工业控制系统进入一个非常安全戒备的状态。

转载请注明来自：http://www.qikan2017.com/lunwen/lig/15600.html