曹 湛

（中國航發(fā)沈陽發(fā)動(dòng)機(jī)研究所，遼寧 沈陽 110000）

如今，網(wǎng)絡(luò)已經(jīng)深深存在于各行各業(yè)，在工業(yè)生產(chǎn)管理中引進(jìn)網(wǎng)絡(luò)技術(shù)，創(chuàng)設(shè)比較完整的工業(yè)控制體系是必然趨勢(shì)。工業(yè)控制充當(dāng)工業(yè)技術(shù)持續(xù)化創(chuàng)新的基本要點(diǎn)，更是工業(yè)朝向現(xiàn)代化發(fā)展的條件，對(duì)工業(yè)行業(yè)的經(jīng)營和管理起到重要作用。工控系統(tǒng)網(wǎng)絡(luò)中，安全防護(hù)是比較關(guān)鍵的項(xiàng)目，然而具體的安全防護(hù)中面臨著些許問題，值得相關(guān)人員具體研究。

1 工控系統(tǒng)網(wǎng)絡(luò)的防護(hù)影響因素

工控系統(tǒng)以得到真實(shí)化信息為基礎(chǔ)，以傳感器的方式得到數(shù)據(jù)保存在計(jì)算機(jī)內(nèi)，后續(xù)通過計(jì)算機(jī)給予相關(guān)的信息數(shù)據(jù)加以動(dòng)態(tài)分析和處理。在工控系統(tǒng)的支持下，不僅實(shí)現(xiàn)了自動(dòng)化數(shù)據(jù)處理的目的，還提高了計(jì)算的正確率。工控系統(tǒng)有傳感器模塊、發(fā)射器模塊與轉(zhuǎn)換器模塊等，傳感器能夠合理監(jiān)督物品的物理參數(shù)，加快計(jì)算機(jī)的運(yùn)行速度[1]。轉(zhuǎn)換器能夠把數(shù)據(jù)轉(zhuǎn)變?yōu)殡娦盘?hào)，之后以電信號(hào)的形式保存在計(jì)算機(jī)內(nèi)。發(fā)射器能夠控制電信號(hào)朝終端方向運(yùn)輸，綜合來看最為關(guān)鍵的模塊是控制器，提高了數(shù)據(jù)信息的準(zhǔn)確性。另外，工控系統(tǒng)之內(nèi)的電信號(hào)輸入過程與電信號(hào)輸出過程都是建立在控制器全方位運(yùn)作基礎(chǔ)之上，系統(tǒng)在控制器的運(yùn)作中貫徹電信號(hào)的復(fù)原項(xiàng)目。

研究工控系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)影響因素：

第一點(diǎn)是工控系統(tǒng)自身的因素，此系統(tǒng)具備較強(qiáng)的綜合性與繁瑣性，應(yīng)用的范圍比較廣。因此在具體設(shè)計(jì)上和運(yùn)作中對(duì)工作者提出更加嚴(yán)格的條件，系統(tǒng)自身與操作流程都是潛在網(wǎng)絡(luò)安全隱患的。

第二點(diǎn)是網(wǎng)絡(luò)風(fēng)險(xiǎn)的出現(xiàn)，工控系統(tǒng)的運(yùn)作期間，網(wǎng)絡(luò)化運(yùn)用是比較關(guān)鍵的趨勢(shì)，每一個(gè)領(lǐng)域之內(nèi)發(fā)揮工控系統(tǒng)功能時(shí)，應(yīng)重視數(shù)據(jù)采集、數(shù)據(jù)研究與數(shù)據(jù)管理，工控系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)被遠(yuǎn)程操控。在此階段，工控系統(tǒng)的一些結(jié)構(gòu)可能存在于公共網(wǎng)絡(luò)之內(nèi)，可是公共網(wǎng)絡(luò)的環(huán)境時(shí)刻面臨著網(wǎng)絡(luò)信息的安全隱患威脅，因此工控系統(tǒng)可能在病毒與黑客等條件制約之下出現(xiàn)安全問題。以“百度百科”為例，借助引擎模塊開展Open Directory 的信息搜索，會(huì)得到較多和工控系統(tǒng)存在關(guān)系的數(shù)據(jù)，若黑客入侵以及人為攻擊，勢(shì)必影響網(wǎng)站體系的管理質(zhì)量[2]。

第三點(diǎn)是工業(yè)控制標(biāo)準(zhǔn)接口有著協(xié)議漏洞的情況，工控系統(tǒng)的運(yùn)作中，相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)是借助“以太網(wǎng)”加以創(chuàng)設(shè)，那么在一定環(huán)境中工業(yè)控制標(biāo)準(zhǔn)接口可能是具備顯著開放性的，操作這一個(gè)系統(tǒng)，由于控制標(biāo)準(zhǔn)的信息獲取與接口傳輸缺乏了信息保護(hù)的過程，再這工業(yè)控制標(biāo)準(zhǔn)的協(xié)議和其他類型代碼均潛在漏洞，同時(shí)漏洞是在外界風(fēng)險(xiǎn)干擾下產(chǎn)生的，這樣便凸顯控制接口的協(xié)議漏洞。

第四點(diǎn)是工控體系比較脆弱，我國一些工控系統(tǒng)在運(yùn)作中，均體現(xiàn)出內(nèi)部結(jié)構(gòu)的不足，這樣工控系統(tǒng)很容易面臨脆弱性威脅，特別是網(wǎng)絡(luò)資源的配置與硬件設(shè)定以及邊界問題，使得工控系統(tǒng)的網(wǎng)絡(luò)面臨安全風(fēng)險(xiǎn)，造成工控系統(tǒng)的安全問題出現(xiàn)。

2 工控系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)措施

2.1 增強(qiáng)工控系統(tǒng)用戶安全防護(hù)水平，明確安全防護(hù)意識(shí)

首先，形成一定的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)思路，安全思路是工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的前提條件，為工控系統(tǒng)的安全防護(hù)提供了指導(dǎo)，工作者要關(guān)注工控系統(tǒng)的脆弱問題，把以往網(wǎng)絡(luò)安全管理的有效經(jīng)驗(yàn)作為基礎(chǔ)，加強(qiáng)網(wǎng)絡(luò)安全措施的創(chuàng)新，使得工控系統(tǒng)的網(wǎng)絡(luò)運(yùn)作可以足夠安全和規(guī)范。比如實(shí)施補(bǔ)丁操作，關(guān)聯(lián)工控系統(tǒng)的創(chuàng)新條件，相關(guān)人員要補(bǔ)丁轉(zhuǎn)型工控系統(tǒng)的結(jié)構(gòu)體系，避免工控系統(tǒng)處于公共環(huán)境中有漏洞風(fēng)險(xiǎn)[3]。工作者應(yīng)重視測(cè)試檢驗(yàn)，給工控系統(tǒng)的安全運(yùn)作提供真實(shí)化環(huán)境，多次檢驗(yàn)和評(píng)價(jià)實(shí)施工控系統(tǒng)的備份加工，確保補(bǔ)丁可以全方位轉(zhuǎn)型，控制具體升級(jí)以及轉(zhuǎn)型階段面臨的風(fēng)險(xiǎn)。之后是實(shí)施工控系統(tǒng)的隔離方案搭建，隔離方案的擬定可直接控制工控系統(tǒng)的運(yùn)作出現(xiàn)風(fēng)險(xiǎn)，工作者需要深層次研究工控系統(tǒng)的防護(hù)目標(biāo)，明確隔離方案與計(jì)劃，科學(xué)應(yīng)用以及實(shí)踐。一般而言，工控系統(tǒng)的工作者要結(jié)合不相同領(lǐng)域的體系運(yùn)作條件，優(yōu)化儀器設(shè)備的性能，圍繞優(yōu)化內(nèi)容開展針對(duì)性調(diào)試操作，使得多個(gè)結(jié)構(gòu)體系能夠規(guī)范運(yùn)作，降低設(shè)備之間銜接不夠時(shí)效的概率?；诠た叵到y(tǒng)的安全防護(hù)關(guān)鍵點(diǎn)，即劃分隔離防護(hù)的模塊，尤其是內(nèi)網(wǎng)模塊、外部模塊、操作模塊與隔離模塊，利用規(guī)范化舉措加以針對(duì)性改善，貫徹風(fēng)險(xiǎn)管理工作。

其次，形成物理模式的防護(hù)機(jī)制，根據(jù)相關(guān)資料可以明確，對(duì)工控系統(tǒng)加以物理層面的機(jī)制搭建，能夠彰顯工控系統(tǒng)管理的安全性與可行性，還是工控系統(tǒng)安全建設(shè)的前提項(xiàng)目，決定著工控系統(tǒng)作用的發(fā)揮[4]。因此，相關(guān)人員實(shí)施工控系統(tǒng)的整合設(shè)計(jì)時(shí)，應(yīng)以物理視角處理工控系統(tǒng)的安全風(fēng)險(xiǎn)，可實(shí)施門禁機(jī)制，避免其他人員走進(jìn)工控的現(xiàn)場(chǎng)，結(jié)合企業(yè)的基本理念構(gòu)建對(duì)應(yīng)先進(jìn)生產(chǎn)設(shè)備夢(mèng)，包含備用發(fā)電機(jī)、備用電線以及備用工具，降低生產(chǎn)問題的出現(xiàn)率。這樣配置監(jiān)督管理計(jì)劃，可實(shí)現(xiàn)工控系統(tǒng)的一體化安全監(jiān)督工作，及時(shí)了解問題和處理問題，挖掘內(nèi)在的風(fēng)險(xiǎn)因素與生產(chǎn)因素，逐步使得工控系統(tǒng)的運(yùn)作效率得以提升。

最后，對(duì)網(wǎng)絡(luò)滲透的現(xiàn)象進(jìn)行優(yōu)化，工作者應(yīng)重視網(wǎng)絡(luò)滲透情況的出現(xiàn)，以換位研究的模式對(duì)設(shè)計(jì)完成的工控系統(tǒng)安全結(jié)構(gòu)進(jìn)行檢驗(yàn)，從多個(gè)視角分析安全防護(hù)的基本對(duì)策，真正做好工控系統(tǒng)的安全防護(hù)項(xiàng)目，增強(qiáng)工控系統(tǒng)用戶的安全防護(hù)水平。

2.2 基于網(wǎng)絡(luò)安全需求，完善工控系統(tǒng)的三層架構(gòu)

和以往的信息系統(tǒng)相比較，工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)應(yīng)具備特殊性。首先，存在邊界防護(hù)的問題，網(wǎng)絡(luò)安全邊界防護(hù)會(huì)對(duì)工控系統(tǒng)的安全保障產(chǎn)生一定的影響，然而目前的工控系統(tǒng)尚未真正落實(shí)邊界防護(hù)思路，即邊界防護(hù)沒能和具體的標(biāo)準(zhǔn)相匹配，引出工控系統(tǒng)的多個(gè)業(yè)務(wù)項(xiàng)目潛在安全風(fēng)險(xiǎn)。

其次，存在遠(yuǎn)程訪問的問題，實(shí)施工控系統(tǒng)的遠(yuǎn)程維護(hù)作為關(guān)鍵的維護(hù)操作，可是對(duì)應(yīng)遠(yuǎn)程維護(hù)的通道均是以供應(yīng)商為主提供的，若不能完善遠(yuǎn)程訪問防護(hù)結(jié)構(gòu)，是會(huì)在維護(hù)期間產(chǎn)生惡意入侵風(fēng)險(xiǎn)的[5]。

再次，存在監(jiān)督需求以及審計(jì)問題。工控系統(tǒng)的具體生產(chǎn)，相關(guān)人員要細(xì)致地進(jìn)行監(jiān)督方案的設(shè)置與審計(jì)方案的設(shè)置，此工作包含網(wǎng)絡(luò)監(jiān)督等軟件，一些生產(chǎn)廠家未對(duì)設(shè)備進(jìn)行數(shù)據(jù)監(jiān)督，無形中埋下了安全隱患，所以應(yīng)強(qiáng)調(diào)審計(jì)檢驗(yàn)，控制工控系統(tǒng)的網(wǎng)絡(luò)安全問題。

最后，是漏洞管理與風(fēng)險(xiǎn)防范的問題，工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)上，經(jīng)常使用的系統(tǒng)是微軟，因?yàn)榭刂凭W(wǎng)絡(luò)提出了工控系統(tǒng)結(jié)構(gòu)的較多要求，可能增加系統(tǒng)漏洞的篩查難度和升級(jí)難度，使得操作系統(tǒng)整體上面臨安全隱患。工控系統(tǒng)的管理工程中，需安設(shè)對(duì)應(yīng)殺毒軟件以提高網(wǎng)絡(luò)運(yùn)作安全性，可是在沒能及時(shí)安裝先進(jìn)軟件的前提下是會(huì)出現(xiàn)惡意代碼攻擊破壞網(wǎng)絡(luò)的，阻礙工控系統(tǒng)的高效率運(yùn)作，因此風(fēng)險(xiǎn)防范也是應(yīng)該及時(shí)進(jìn)行的，為工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)奠定基礎(chǔ)[6]。

除此之外，要想真正實(shí)現(xiàn)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，應(yīng)制定三層結(jié)構(gòu)框架，第一層是計(jì)劃管理，即工作者以工作計(jì)劃為前提進(jìn)行高效率工作，一般來講計(jì)劃管理的負(fù)責(zé)人應(yīng)使用管理服務(wù)器。第二層是制造管理，此層和計(jì)劃管理存在著相同點(diǎn)，也就是共同和服務(wù)器銜接，制造管理的設(shè)定還要額外構(gòu)建計(jì)算機(jī)系統(tǒng)，體現(xiàn)制造管理的專業(yè)性。第三層是工業(yè)控制，其作為比較繁瑣的模塊，一方面應(yīng)該和服務(wù)器與終端互相銜接，另一方面應(yīng)及時(shí)呈現(xiàn)訪問記錄。第一層以及第二層的設(shè)定，貫徹了實(shí)名制的思路，使得網(wǎng)絡(luò)運(yùn)作更加具備安全性，增強(qiáng)網(wǎng)絡(luò)保障的綜合效果。全方位監(jiān)督網(wǎng)絡(luò)信息數(shù)據(jù)，最大化避免軟件代碼攻擊到工控系統(tǒng)，讓工控系統(tǒng)的網(wǎng)絡(luò)管理面臨威脅，落實(shí)工控系統(tǒng)的各層工作項(xiàng)目?；诖诉M(jìn)行工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，對(duì)各個(gè)層級(jí)的任務(wù)進(jìn)行分配，更好地避免了工控系統(tǒng)的網(wǎng)絡(luò)安全問題出現(xiàn)，有利于保障工控系統(tǒng)的綜合性能。

2.3 劃分網(wǎng)絡(luò)安全界限，強(qiáng)化軟件安全保障

對(duì)于工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)過程，要基于安全隱患進(jìn)行針對(duì)性模塊劃分，以風(fēng)險(xiǎn)為主，按照不同防護(hù)要求實(shí)施工控系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)。特別是網(wǎng)絡(luò)控制與數(shù)據(jù)網(wǎng)絡(luò)的內(nèi)在數(shù)據(jù)傳輸，加密化處理信息通道，賦予工控系統(tǒng)的內(nèi)部網(wǎng)絡(luò)管理較強(qiáng)穩(wěn)定化特征。信息網(wǎng)以及外部管控網(wǎng)的銜接上，還需要配置對(duì)應(yīng)加密，內(nèi)部網(wǎng)絡(luò)以及數(shù)據(jù)網(wǎng)之間適當(dāng)配置安全過濾裝置，避免網(wǎng)絡(luò)攻擊到工控系統(tǒng)的現(xiàn)象出現(xiàn)。利用數(shù)據(jù)網(wǎng)確定數(shù)據(jù)應(yīng)用的范圍，控制工控系統(tǒng)安全隱患，精準(zhǔn)化落實(shí)工控系統(tǒng)的安全防護(hù)工作[7]。在軟件安全保障上，工控系統(tǒng)的體系完善不僅應(yīng)體現(xiàn)硬件的作用，還應(yīng)體現(xiàn)軟件的防護(hù)，針對(duì)公共體系內(nèi)的一些軟件，工作者要按照定期殺毒的思路優(yōu)化設(shè)備性能，尤其是安設(shè)防火墻。對(duì)溶液內(nèi)設(shè)計(jì)圖紙的數(shù)據(jù)信息進(jìn)行加密化管理，排除由于工控系統(tǒng)軟件防護(hù)問題所致的網(wǎng)絡(luò)問題，定時(shí)優(yōu)化工控系統(tǒng)的操作流程，對(duì)操作設(shè)備進(jìn)行整體更新，能夠兼容的條件下整合系統(tǒng)結(jié)構(gòu)，這樣可以減少操作漏洞的出現(xiàn)，更好地保障了軟件運(yùn)作安全。

2.4 創(chuàng)新安全防護(hù)技術(shù)，推動(dòng)工控系統(tǒng)的安全建設(shè)

具體的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中，部分先進(jìn)技術(shù)的應(yīng)用可以起到積極作用。首先是代碼防護(hù)技術(shù)，以往的網(wǎng)絡(luò)保障中以黑名單病毒查殺的形式進(jìn)行，可是不可規(guī)避出現(xiàn)錯(cuò)誤刪除的現(xiàn)象，此種模式針對(duì)一般形式的系統(tǒng)而言帶來較大程度的傷害。安全防護(hù)上，可選取白名單進(jìn)行病毒查殺的問題，顯著提高病毒查殺效果，避免產(chǎn)生信息錯(cuò)誤刪除的情況。

其次是主機(jī)外設(shè)技術(shù)，一些工作者把手機(jī)等關(guān)鍵設(shè)備和系統(tǒng)主機(jī)進(jìn)行連接，可能出現(xiàn)木馬病毒，不利于保障工控系統(tǒng)運(yùn)作的安全性，所以健全工控系統(tǒng)的主機(jī)外設(shè)管理機(jī)制十分關(guān)鍵。

最后是漏洞挖掘技術(shù)，利用此種技術(shù)直接定位漏洞的范圍，最大化研究漏洞的惡化趨勢(shì)，探索行之有效的措施挖掘內(nèi)在漏洞，安排專業(yè)能力比較強(qiáng)的工作者全方位研究，一旦出現(xiàn)問題應(yīng)即刻處理，避免漏洞給工控系統(tǒng)的網(wǎng)絡(luò)安全帶來威脅[8]。

需要注意的是，工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中，性能比較重要的設(shè)備也是要被隔離化加工的，第一個(gè)是工業(yè)隔離模式，工控系統(tǒng)的結(jié)構(gòu)之中，以隔離的思路處理孔子體系，一方面提高工控系統(tǒng)的信息采集及時(shí)性，另一方面控制工控系統(tǒng)安全風(fēng)險(xiǎn)產(chǎn)生，落實(shí)網(wǎng)關(guān)與物理格局處理等關(guān)鍵任務(wù)。第二個(gè)是“2+1”隔離，即對(duì)工控系統(tǒng)之中的控制模塊與數(shù)采機(jī)模塊進(jìn)行隔離，此種隔離結(jié)束后不輸入私密密碼是不能使用控制系統(tǒng)的，由此全面對(duì)工控系統(tǒng)的安全系數(shù)進(jìn)行提升。在隔離化加工之后，工控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)有所降低，提高工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的現(xiàn)代化發(fā)展速度。

3 結(jié)語

綜上所述，工控系統(tǒng)的生產(chǎn)組織，充當(dāng)工控系統(tǒng)的執(zhí)行者與生產(chǎn)者，要充分關(guān)注網(wǎng)絡(luò)安全設(shè)計(jì)，即在具體生產(chǎn)階段強(qiáng)化工控系統(tǒng)的水平。此系統(tǒng)的生產(chǎn)機(jī)構(gòu)要大力開發(fā)技術(shù)，利用先進(jìn)的技術(shù)完善工控系統(tǒng)的體系，確保工控系統(tǒng)可以在時(shí)代變化之下不斷發(fā)展，體現(xiàn)工控系統(tǒng)搭建的完整性，巧妙避免工控系統(tǒng)的內(nèi)在風(fēng)險(xiǎn)出現(xiàn)。并且促進(jìn)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，由于工控系統(tǒng)已經(jīng)存在于各個(gè)行業(yè)，對(duì)應(yīng)地位是比較重要的，不管是安全保障還是穩(wěn)定保障，都影響到社會(huì)的發(fā)展。政府和第三方單位需要實(shí)施自我職能，提高工控系統(tǒng)安全防護(hù)的速度，明確規(guī)范化的網(wǎng)絡(luò)安全機(jī)制，不要因?yàn)榫W(wǎng)絡(luò)而產(chǎn)生惡意破壞的現(xiàn)象，利用網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)，從根源上對(duì)工控系統(tǒng)等一系列設(shè)施的綜合性進(jìn)行研究，真正保障自我權(quán)益。