◆張佳華

“互聯(lián)網(wǎng)+”新形態(tài)下工控系統(tǒng)的網(wǎng)絡(luò)安全淺析

◆張佳華

（上海復(fù)合材料科技有限公司 上海 201114）

互聯(lián)網(wǎng)作為現(xiàn)在計算機行業(yè)的最重要產(chǎn)物，隨著各行各業(yè)的發(fā)展和計算機技術(shù)的快速發(fā)展，已經(jīng)走進了各家各戶各個行業(yè)，而“互聯(lián)網(wǎng)+”作為目前特別流行的一個產(chǎn)業(yè)，對現(xiàn)在的工業(yè)也產(chǎn)生了深遠的影響。如何把網(wǎng)絡(luò)安全的等級進行提升，由一開始的被動防御，變成主動防御防護，軟件運行在操作系統(tǒng)之上，就會存在不可避免的漏洞等。本文基于“互聯(lián)網(wǎng)+”的新形勢環(huán)境，講述了工控系統(tǒng)的網(wǎng)絡(luò)安全防護，供讀者參考。

安全；網(wǎng)絡(luò)防護；互聯(lián)網(wǎng)＋

0 引言

在計算機的發(fā)展史上曾發(fā)生過多次木馬病毒入侵電腦的事件，其中比較有名的就是微軟的安全漏洞導(dǎo)致的電腦被鎖死的事件，解決方法只有交解鎖費或者刷系統(tǒng)，而這兩個方式都會造成非常嚴重的經(jīng)濟損失。類似的事件還有，例如“網(wǎng)絡(luò)天空”，“Worm_Mytob.x”這兩個病毒都是通過郵件的方式對電腦發(fā)動攻擊，這些外在的威脅在這兩年已經(jīng)變得越來越嚴重，進而導(dǎo)致網(wǎng)絡(luò)犯罪的事件也明顯增多[1]。而工業(yè)互聯(lián)網(wǎng)作為連接工業(yè)全系統(tǒng)、全價值鏈、全產(chǎn)業(yè)鏈，保證智能化工業(yè)全面發(fā)展的關(guān)鍵部分和基礎(chǔ)設(shè)施，現(xiàn)已成為傳統(tǒng)產(chǎn)業(yè)向智能產(chǎn)業(yè)、實體經(jīng)濟和虛擬經(jīng)濟結(jié)合的關(guān)鍵點和核心載體，已逐步表現(xiàn)出超強的統(tǒng)領(lǐng)能力，讓傳統(tǒng)行業(yè)有了新的發(fā)展契機。智能出行現(xiàn)在早已經(jīng)開始普及，共享單車、無人駕駛、無人機配送貨物、外賣等等產(chǎn)業(yè)都是在傳統(tǒng)模式上進行的升級更新，這樣的大型企業(yè)一旦遭受到網(wǎng)絡(luò)攻擊，就會導(dǎo)致用戶信息的流失，用戶對高科技產(chǎn)物信任度的缺失都會影響到企業(yè)的生存[2]。

在這兩年的國家級論壇上也開展了多次網(wǎng)絡(luò)安全會議和集體討論，這其中的原因就有包括伊朗核試驗的系統(tǒng)遭受到網(wǎng)絡(luò)攻擊，而這件事件不僅對伊朗造成了恐慌，也給世界的互聯(lián)網(wǎng)安全蒙上了一層陰影，我國也從這件事件之后對網(wǎng)絡(luò)安全提出了更高的要求。圖1表示了我國大陸被篡改網(wǎng)站數(shù)量類型分布。在2018年的政府工作報告中，工信部部長苗圩表示，2018年要深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，開展工業(yè)互聯(lián)網(wǎng)發(fā)展的323行動。其中的第一個3就是要打造網(wǎng)絡(luò)、平臺、安全三大體系。從這方面也能看出政府對網(wǎng)絡(luò)安全的重視程度明顯的提高。工信部繼《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》等指導(dǎo)文件后又發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃》。如果說前幾個文件是指導(dǎo)性文件的話，那么該文件就是前面3個文件的擴展和闡述，闡述了在未來我們要在工業(yè)控制系統(tǒng)安全方面如何去做和重點去做什么，也明確提出了建立多級聯(lián)動的安全機制和全國工控安全在線監(jiān)測網(wǎng)絡(luò)、全國工控安全應(yīng)急資源庫、仿真測評平臺、信息共享平臺、信息通報平臺等多個戰(zhàn)略目標。政府單位對網(wǎng)絡(luò)安全這么重視可以看出網(wǎng)絡(luò)安全在未來發(fā)展前景中占有絕對的必要性，作為新時代的企業(yè)如果想要與時俱進就必須注重發(fā)展網(wǎng)絡(luò)安全。

1 網(wǎng)絡(luò)攻擊的方式

網(wǎng)絡(luò)攻擊的方法可以分為多種形式，例如利用MAC的唯一性，或者篡改IP地址等，這些都是涉及傳輸方面的一些方式，再者就是利用程序的漏洞。

圖1 分布圖

在一些公認的平臺上把網(wǎng)絡(luò)攻擊分為四種形式，也俗稱四類攻擊法，第一類是拒絕服務(wù)攻擊，這主要包括一些網(wǎng)絡(luò)轟炸的攻擊方式。第二類是利用型攻擊，這個一般就是隨著你的操作來一步步地進行攻擊，木馬病毒并不是很容易被發(fā)現(xiàn)，包括特洛伊木馬，緩沖區(qū)溢出等等，這些看似是比較老舊的攻擊方法，但產(chǎn)生的危害還是非常明顯的。第三類是信息收集型攻擊，包括地址掃描、端口掃描、反響映射、DNS域轉(zhuǎn)換等這些涉及硬件方面的攻擊，其中利用MAC地址也是屬于這一種，第四類是假消息攻擊，這種攻擊比較常見，例如常見的網(wǎng)絡(luò)詐騙也可以劃分到這個領(lǐng)域。

作為工業(yè)程序，一般受到郵箱攻擊，還有類似特洛伊木馬病毒的攻擊方法可能性比較大，產(chǎn)生的危害也比較明顯，數(shù)據(jù)的丟失，程序的破壞都會對工業(yè)的正常運轉(zhuǎn)造成傷害。還有計算機病毒，嚴重的計算機病毒可以導(dǎo)致數(shù)據(jù)丟失、網(wǎng)絡(luò)中斷、服務(wù)器癱瘓等等問題，進而也可以修改計算機上的內(nèi)容，以假亂真，而這都是我們要防御的對象。

2 抵御攻擊

抵御入侵可以分為主動預(yù)測和主動防御，以及被動防御。主動監(jiān)測到危險之后進行報警，然后對其進行主動防御，這也就是入侵監(jiān)測系統(tǒng)。在去年的一份調(diào)查報告中指出，有85%的企業(yè)認為他們可以做好網(wǎng)絡(luò)防御，但在半年內(nèi)就有40%的企業(yè)遭到了攻擊，這次調(diào)查涉及了5個國家共600個企業(yè)負責人，他們分別來自美、英、澳、馬來西亞和新加坡等多個國家，企業(yè)規(guī)模均超過1000人以上，可以說是非常具有權(quán)威性了。那我們應(yīng)該怎么做才可以更大概率地抵御攻擊呢，首先，劃分出程序的自抵抗攻擊并增大攻擊難度，例如工程師站、服務(wù)器的密碼定期更換，防止密碼泄露，DCS上鎖，用DCS組態(tài)的電腦不準連接企業(yè)管理網(wǎng)或者外網(wǎng)。還要對文件進行加密，使用全磁盤加密可以確保寫入到存儲磁盤的所有數(shù)據(jù)被默認加密以增大攻擊難度，這為企業(yè)提供了很好的基礎(chǔ)保護。如果企業(yè)要保護敏感信息，他們應(yīng)該為其最敏感的文件夾創(chuàng)建單獨的加密文件卷。

TrueCrypt是加密文件卷這方面最流行的軟件程序之一，它可以用來在項目突然被關(guān)閉之前創(chuàng)建加密文件卷。當然還有開源程序VeraCrypt和CipherShed，這兩款產(chǎn)品都可以用于Windows、OS X和Linux。VeraCrypt是TrueCrypt的分支，而CipherShed是源自上一版本的TrueCrypt或者版本7.1a。

USB閃存驅(qū)動器作為用在計算機大型數(shù)據(jù)文件傳送的工具展現(xiàn)出了它的物美價廉，對于一些對網(wǎng)絡(luò)安全要求不高的用戶和企業(yè)都是非常不錯的選擇，但對安全要求高的企業(yè)和政府單位來說就不安全了，其中容易被盜或者說不小心丟失這種情況就會造成不必要的損失，當然了這也只是小概率事件，最主要的還是操作不當造成的數(shù)據(jù)泄露這樣的問題危害比較大，并且刪除了還可以通過數(shù)據(jù)軟件恢復(fù)以前刪除的數(shù)據(jù)。這個弊端加大了不安全系數(shù)，現(xiàn)在的解決方案一般是用Windows或者OS X平臺內(nèi)置的加密功能來對USB閃存存儲的數(shù)據(jù)進行加密，但綜合來看并不推薦使用USB閃存驅(qū)動器[1]。

多因素身份驗證是指在允許你登錄到系統(tǒng)之前，對額外的信息來源進行驗證。這是在門口又設(shè)立的一道關(guān)卡，更像是門口的保安，對進入的數(shù)據(jù)進行掃描和檢查可以過濾掉不安全的數(shù)據(jù)，現(xiàn)在很多的云存儲服務(wù)都在使用，例如Dropbox，以及Google apps等流行的服務(wù)，所以極力推薦使用。

對郵箱攻擊的抵御方法是在Gmail.com或Outlook.com等域名注冊郵箱地址，作為接收密碼重置消息的備份電子郵箱賬戶。

上述方法是比較常用的一些方法，可以抵御絕大部分攻擊，但最主要的還是要增大攻擊難度，例如定期更換密碼（密碼使用多種字符類型，密碼長度較長），定期檢查路由器，這都可以極大地增加攻擊難度。

對于操作系統(tǒng)的安全漏洞，我們需要保持系統(tǒng)的最新版本，不要擅自更改系統(tǒng)文件，進行安全審核后再更改，因為系統(tǒng)的安全也就決定了是否有后門可以走。

3 總結(jié)

網(wǎng)絡(luò)安全作為非常熱門的話題被人們熱議，貼近我們的日常生活，人們總是幻想人工智能機器人取代人類統(tǒng)治世界，這就是對網(wǎng)絡(luò)安全和計算機安全的思考，而工業(yè)作為網(wǎng)絡(luò)安全的風口浪尖上的部分，所面臨的損害也都是普通損害的上千萬倍，如果支付寶受到網(wǎng)絡(luò)攻擊那對國民經(jīng)濟造成的危害可想而知，所以作為新形勢下的工業(yè)一定要注重網(wǎng)絡(luò)安全建設(shè)。

[1]胡景軍，陳云，洪詩定.SCADA系統(tǒng)實現(xiàn)Web服務(wù)的關(guān)鍵技術(shù)[J].化工自動化及儀表，2014．

[2]沈培璐，陳彬．基于管控一體化系統(tǒng)的第三方數(shù)據(jù)通信整合[J].化工自動化及儀表，2016．

[3]美報:“震網(wǎng)”開啟網(wǎng)絡(luò)戰(zhàn)新時代[N/OL].新華網(wǎng)，2015.