◆劉麗娜

(濟(jì)南職業(yè)學(xué)院 山東 250014)

工業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析及安全防護(hù)系統(tǒng)研究

◆劉麗娜

(濟(jì)南職業(yè)學(xué)院 山東 250014)

本文針對(duì)國內(nèi)工業(yè)網(wǎng)絡(luò)信息安全存在的問題，分析了網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行了分析，指出了信息安全漏洞，提出了安全防護(hù)策略。

應(yīng)用安全；工業(yè)網(wǎng)絡(luò)；數(shù)據(jù)安全

0 前言

二十世紀(jì)九十年代以前的大多數(shù)控制系統(tǒng)一般都采用專用的硬件、軟件和通信協(xié)議，有自己獨(dú)立的操作系統(tǒng)，系統(tǒng)之間的互聯(lián)要求也不高，因此幾乎不存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。多年來企業(yè)更多關(guān)注的是管理網(wǎng)絡(luò)的安全問題，許多企業(yè)對(duì)控制系統(tǒng)安全存在認(rèn)識(shí)上的誤區(qū)：認(rèn)為控制系統(tǒng)沒有直接連接互聯(lián)網(wǎng)、黑客或病毒不了解控制系統(tǒng)，無法攻擊控制系統(tǒng)，因此控制系統(tǒng)是安全的。而實(shí)際情況是，企業(yè)的許多控制網(wǎng)絡(luò)都是“敞開的”，系統(tǒng)之間沒有有效的隔離。同時(shí)黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業(yè)網(wǎng)內(nèi)部安裝了一些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，施行了各類網(wǎng)絡(luò)安全技術(shù)，但隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，工廠信息網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)、因特網(wǎng)以及其它因素導(dǎo)致的信息，安全問題正逐漸向控制系統(tǒng)擴(kuò)散，直接影響了工廠生產(chǎn)控制的穩(wěn)定與安全。近幾年來，國內(nèi)、外許多企業(yè)的 DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象，給安全生產(chǎn)帶來了極大的隱患[1]。

1 工業(yè)網(wǎng)絡(luò)的信息安全漏洞

信息化時(shí)代的來臨使工業(yè)控制系統(tǒng)暴漏出一些信息安全漏洞。

1.1 操作系統(tǒng)漏洞

目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺(tái)的，為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場(chǎng)工程師在系統(tǒng)開車后通常不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁，從而埋下安全隱患。

1.2 安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴(yán)格的訪問控制策略[2]。

1.3 殺毒軟件漏洞

為了保證工控應(yīng)用軟件的可用性，許多工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的，導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

1.4 應(yīng)用軟件漏洞

由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題；另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想。

2 系統(tǒng)設(shè)計(jì)

策略設(shè)計(jì)要求對(duì)系統(tǒng)目標(biāo)作明確而充分的分析，了解系統(tǒng)的要求及對(duì)系統(tǒng)目標(biāo)的具體實(shí)現(xiàn)，并掌握系統(tǒng)的功能結(jié)構(gòu)，如大數(shù)據(jù)收集、病毒數(shù)據(jù)庫的建設(shè)、物理環(huán)境、安全策略、路由協(xié)議與安全協(xié)議的部署等。

2.1 設(shè)計(jì)目標(biāo)

根據(jù)對(duì)該系統(tǒng)的要求，本系統(tǒng)可以實(shí)現(xiàn)以下目標(biāo)：物理環(huán)境下隔斷內(nèi)部攻擊，網(wǎng)絡(luò)環(huán)境下隔斷網(wǎng)絡(luò)攻擊。對(duì)局域網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行MD5數(shù)據(jù)加密。系統(tǒng)運(yùn)行穩(wěn)定，安全可靠。

2.2 功能結(jié)構(gòu)

根據(jù)工業(yè)網(wǎng)絡(luò)的特殊性，可以將其分為物理環(huán)境和網(wǎng)絡(luò)環(huán)境兩個(gè)部分進(jìn)行設(shè)計(jì)。網(wǎng)絡(luò)端主要用于搜集病毒數(shù)據(jù)庫，建立即時(shí)防范機(jī)制，物理端主要用于用戶注冊(cè)和登錄、信息的發(fā)送、文件的加密傳送等，功能結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)功能結(jié)構(gòu)

2.3 網(wǎng)絡(luò)管理

安裝數(shù)據(jù)庫軟件SQL Server軟件，用于對(duì)全網(wǎng)上路由器的連接進(jìn)行可視化管理和監(jiān)控。

數(shù)據(jù)庫設(shè)計(jì)是指根據(jù)用戶的需求，在某一具體的數(shù)據(jù)庫管理系統(tǒng)上，設(shè)計(jì)數(shù)據(jù)庫的結(jié)構(gòu)和建立數(shù)據(jù)庫的過程。本系統(tǒng)為使數(shù)據(jù)和程序更加安全、穩(wěn)定、可靠，采用了SQL Server數(shù)據(jù)庫。SQL Server的數(shù)據(jù)庫是用來存放數(shù)據(jù)、視圖、索引、存儲(chǔ)過程等對(duì)象的“容器”。該項(xiàng)目數(shù)據(jù)庫名為“病毒數(shù)據(jù)庫”，病毒數(shù)據(jù)庫包含三個(gè)體系結(jié)構(gòu)用于保存不同的信息，如基本表，儲(chǔ)存文件，視圖狀態(tài)，如圖2所示。

圖2 數(shù)據(jù)庫特性圖

2.4 系統(tǒng)特點(diǎn)整個(gè)網(wǎng)絡(luò)為一個(gè)工業(yè)領(lǐng)域?qū)Ｓ玫母采w的數(shù)據(jù)通信網(wǎng)絡(luò)，支持業(yè)務(wù)、辦公自動(dòng)化以及病毒防御的應(yīng)用。

（1）支持多協(xié)議

路由器本身就支持多種網(wǎng)絡(luò)協(xié)議，并且可以根據(jù)用戶的需求有效的控制每種協(xié)議對(duì)網(wǎng)絡(luò)資源的使用，可根據(jù)用戶的策略控制哪種應(yīng)用占用多少帶寬。

（2）技術(shù)先進(jìn)，性能優(yōu)越

采用先進(jìn)的路由技術(shù)，充分發(fā)揮Cisco路由器這個(gè)領(lǐng)域中的領(lǐng)先性能，網(wǎng)絡(luò)性能最佳，可使商業(yè)銀行在國內(nèi)網(wǎng)絡(luò)建設(shè)中的居于領(lǐng)先地位。

（3）帶寬利用率

高通信線路采用DDN或幀中繼信道 、速率高、質(zhì)量好，并且Cisco路由器也可實(shí)現(xiàn)針對(duì)不同協(xié)議的排隊(duì)、優(yōu)先級(jí)、壓縮等功能，充分有效的利用帶寬。

（4）可靠性高

Cisco路由器可提供全面的路由備份、迂回功能，利用Cisco 的eigrp路由協(xié)議可自動(dòng)實(shí)現(xiàn)對(duì)通信子網(wǎng)的路由迂回。

（5）安全性高

保證工行數(shù)據(jù)安全性Cisco路由器的強(qiáng)大的防火墻功能，可實(shí)現(xiàn)針對(duì)應(yīng)用一級(jí)的防火墻過濾，防止非法用戶對(duì)關(guān)鍵數(shù)據(jù)的存取。

（6）可升級(jí)性、可擴(kuò)展性強(qiáng)

Cisco路由器可支持當(dāng)前及未來的各種網(wǎng)絡(luò)技術(shù)及接口介質(zhì)，采用的FLASH技術(shù)易于升級(jí)，所選的關(guān)鍵設(shè)備均留有擴(kuò)展端口。

3 結(jié)語

針對(duì)國內(nèi)工業(yè)網(wǎng)絡(luò)信息安全存在的問題，分析了網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行了分析，指出了信息安全漏洞，提出了安全防護(hù)策略及策略的優(yōu)勢(shì)。

[1]李栓保． 網(wǎng)絡(luò)安全技術(shù)[M]．西安：清華大學(xué)出版社，2012．

[2]許勇．工業(yè)通信網(wǎng)絡(luò)技術(shù)和應(yīng)用[J]．西安電子科技大學(xué)出版社，2003．