吳康錦

【摘要】在“數(shù)字工廠”、“數(shù)字平臺(tái)”的只能化發(fā)展推動(dòng)下，越來越多的企業(yè)面臨工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的連接管理應(yīng)用，使得工控網(wǎng)自身安全問題逐漸凸顯。例如不能即使更新操作系統(tǒng)、沒有殺毒軟件、使用為驗(yàn)證的通信協(xié)議、使用默認(rèn)密碼等。時(shí)間表明，來自工控網(wǎng)絡(luò)自身的管理漏洞、信息網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)、英特網(wǎng)以及其他因素導(dǎo)致的網(wǎng)絡(luò)安全問題正在逐漸在控制系統(tǒng)中擴(kuò)散，直接影響工控網(wǎng)的安全性和穩(wěn)定性。

【關(guān)鍵詞】云計(jì)算工控網(wǎng)安全策略

隨著信息化的不斷深入，各種工業(yè)網(wǎng)絡(luò)安全技術(shù)越來越受到重視，主要有安全管理、IT安全防護(hù)技術(shù)和工業(yè)防火墻等。但是即使是全套的安全防護(hù)技術(shù)，目前也不能完全阻止工控網(wǎng)內(nèi)病毒的入侵和攻擊行為。有效加強(qiáng)工控網(wǎng)絡(luò)的安全性，需要提升工控網(wǎng)的管理控制能力和其網(wǎng)絡(luò)自身的安全防護(hù)能力。

一、工控網(wǎng)安全問題

在一般的工控網(wǎng)中，ERP、OA、EMS、LIMS等系統(tǒng)均處于辦公網(wǎng)絡(luò)中，辦公網(wǎng)絡(luò)通過防火墻等安全設(shè)備直接與互聯(lián)網(wǎng)連接，工控網(wǎng)絡(luò)通過防火墻與辦公網(wǎng)連接，防火墻開啟有限的安全策略保障辦公網(wǎng)與工控網(wǎng)監(jiān)的數(shù)據(jù)傳輸。

二、工控網(wǎng)安全部署

2.1工控網(wǎng)安全目標(biāo)

要保證工控網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行必須達(dá)到三個(gè)目標(biāo)：（1）通訊可控。能夠直觀的觀察、監(jiān)控、管理通信中的數(shù)據(jù)流，對(duì)通信終端嚴(yán)格控制，減少通信的物理鏈接及設(shè)備，這是首要達(dá)到的目標(biāo)。對(duì)控制網(wǎng)絡(luò)，僅僅只需要保證制造商專有協(xié)議通過，對(duì)于其它通訊一律禁止，創(chuàng)造一個(gè)私有通信網(wǎng)絡(luò)環(huán)境。（2）區(qū)域隔離。對(duì)于工控網(wǎng)絡(luò)而言，其自身不能夠創(chuàng)造病毒、攻擊。所有病毒及攻擊來源于外部網(wǎng)絡(luò)環(huán)境，對(duì)于工控網(wǎng)絡(luò)按照特定區(qū)域劃分，重點(diǎn)保障生產(chǎn)控制的穩(wěn)定性和安全性。即使所在的控制局部網(wǎng)絡(luò)出現(xiàn)問題，也需要保證裝置或工程的安全穩(wěn)定運(yùn)行。通過安全設(shè)備部署，為控制系統(tǒng)創(chuàng)造一個(gè)相對(duì)獨(dú)立、安全的網(wǎng)絡(luò)環(huán)境。（3）報(bào)警追蹤。能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的病毒感染及其它問題，能夠準(zhǔn)確找到故障的發(fā)生點(diǎn)，將網(wǎng)絡(luò)安全問題消滅在萌芽中，同時(shí)通過對(duì)報(bào)警時(shí)間記錄存儲(chǔ)，為已經(jīng)發(fā)生過的安全事件提供分析依據(jù)。

2.2工控網(wǎng)安全部署

2.2.1防火墻策略部署

工業(yè)以太網(wǎng)作為上層信息管理網(wǎng)的數(shù)據(jù)平臺(tái)，將盡可能多的生產(chǎn)裝置上實(shí)時(shí)數(shù)據(jù)采集到實(shí)時(shí)數(shù)據(jù)庫(kù)中并經(jīng)防火墻傳送數(shù)據(jù)至MES和ERP：具體接口連接為工業(yè)以太網(wǎng)、防火墻、DMZ中間區(qū)域防護(hù)和MES數(shù)據(jù)采集服務(wù)器等。由于MES和ERP與商用Internet相連，為保證工業(yè)以太網(wǎng)的切實(shí)安全，采用DMZ隔離區(qū)，內(nèi)網(wǎng)和外網(wǎng)的緩沖，中間防護(hù)策略。

將上層信息管理網(wǎng)需要訪問的實(shí)時(shí)數(shù)據(jù)庫(kù)容錯(cuò)服務(wù)器置于DMZ層，使來自上層的信息管理網(wǎng)只能通過外部防火墻訪問到實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器，而不能通過內(nèi)部防火墻至工業(yè)以太網(wǎng)。這樣來自Internet的攻擊將要通過外部防火墻、堡壘主機(jī)和內(nèi)部防火墻等三道相互獨(dú)立的防線才能到達(dá)工業(yè)以太網(wǎng)，使攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。

2.2.2入侵檢測(cè)部署

入侵檢測(cè)作為有效過濾外來攻擊或病毒傳播的手段，同時(shí)也能夠及時(shí)發(fā)現(xiàn)工控網(wǎng)絡(luò)中所存在的問題。

1、實(shí)時(shí)性：盡快發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或者攻擊的企圖，預(yù)先阻止進(jìn)一步的攻擊活動(dòng)，把損失控制在最小限度。實(shí)時(shí)入侵檢測(cè)可以避免常規(guī)情況下，管理員對(duì)系統(tǒng)日志進(jìn)行審計(jì)以辨別入侵行為時(shí)的低效和延遲。實(shí)時(shí)監(jiān)控及攔截意外攻擊行為。

2、可擴(kuò)展性：在新的攻擊類型出現(xiàn)時(shí)，入侵檢測(cè)系統(tǒng)能夠檢測(cè)到新的攻擊行為。入侵檢測(cè)系統(tǒng)的整體功能設(shè)計(jì)上，具有可擴(kuò)展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴(kuò)展要求。

3、事件記錄：對(duì)于檢測(cè)到的入侵事件必須具備完善的日志記錄和日志審計(jì)功能。

4、安全性：入侵檢測(cè)系統(tǒng)不會(huì)向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患。

2.2.3云桌面部署

云桌面的部署包括兩個(gè)方面：工控網(wǎng)絡(luò)內(nèi)部云桌面和工控網(wǎng)外云桌面。通過工控網(wǎng)云桌面部署減少工控網(wǎng)絡(luò)內(nèi)外訪問物理設(shè)備，減少工控網(wǎng)內(nèi)被攻擊的可能性。同時(shí)，在工控網(wǎng)內(nèi)部署云桌面可以加強(qiáng)工控網(wǎng)內(nèi)的桌面安全管理，避免部署PC終端給工控網(wǎng)絡(luò)帶來的管理問題和安全問題。同時(shí)加強(qiáng)工控網(wǎng)絡(luò)內(nèi)部辦公部署的靈活性。

1、集中運(yùn)維管理。工控網(wǎng)絡(luò)內(nèi)部設(shè)備配置不盡相同，管理人員難以對(duì)其管理和控制。PC機(jī)硬件的多樣化以及用戶的個(gè)性化需求也不盡相同，而傳統(tǒng)工控網(wǎng)絡(luò)內(nèi)部用戶可訪問資源難以控制，通過部署云桌面，根據(jù)用戶自身特性，控制其訪問資源，達(dá)到訪問安全控制的目的。云桌面的部署將所有硬件資源（除顯示設(shè)備、鍵盤鼠標(biāo)），統(tǒng)一管理，減少移動(dòng)存儲(chǔ)等外來設(shè)備對(duì)工控網(wǎng)絡(luò)造成的影響。同時(shí)云服務(wù)中心能夠記錄用戶在正?；蚍钦Ｊ褂没顒?dòng)中的各種操作記錄，通過日志審計(jì)及時(shí)發(fā)現(xiàn)存在的問題。

2、實(shí)現(xiàn)數(shù)據(jù)保護(hù)與防泄密。防止因終端設(shè)備的硬件或軟件故障而導(dǎo)致對(duì)正常業(yè)務(wù)的影響，確保文件丟失或系統(tǒng)崩潰時(shí)能夠進(jìn)行快速恢復(fù)，以及防止何終端設(shè)備因失竊而帶來的潛在風(fēng)險(xiǎn)。降低或避免敏感業(yè)務(wù)數(shù)據(jù)通過網(wǎng)絡(luò)傳輸過程中所面臨的竊聽、惡意篡改、中間人攻擊等風(fēng)險(xiǎn)。

3、加強(qiáng)部署靈活性。工控網(wǎng)內(nèi)部署基礎(chǔ)的PC應(yīng)用主機(jī)其一系列行為是當(dāng)前IT部門的一個(gè)挑戰(zhàn)，但是隨著數(shù)字化工廠的逐步實(shí)施，已經(jīng)成為必不可少的措施。云計(jì)算網(wǎng)絡(luò)部署在中控網(wǎng)絡(luò)中既能夠保障桌面應(yīng)用于控制網(wǎng)絡(luò)的隔離需求，同時(shí)能夠?qū)⒕邆浠A(chǔ)硬件的桌面終端靈活部署到工控網(wǎng)絡(luò)中。

三、結(jié)束語

在網(wǎng)絡(luò)信息飛速發(fā)展的今天，“數(shù)字工廠”、“智能工廠”越來越多，如何實(shí)現(xiàn)工控網(wǎng)信息的有效、安全應(yīng)用成為未來企業(yè)工業(yè)控制信息網(wǎng)發(fā)展的方向，而要達(dá)到這一目標(biāo)還需要發(fā)揮新的信息技術(shù)優(yōu)勢(shì)。