工控网络安全检测与防护体系研究

（中海油信息科技有限公司，广东 深圳 518068）

0 引言

近年来，工控网络安全事件频发，网络攻击范围持续扩大，为了有效应对日渐加剧的网络安全问题，需要不断创新与增强网络安全防护系统，全方位的保护工控网络安全，以充分发挥工控系统在相关领域的应用价值。文章针对多种工控网络安全风险建立的安全检测与防护体系，能够在不同环境下对多种业务实现实时监测，并智能化、精细化的进行流量分析，以更及时、准确地发现与锁定工控网络安全事件，同步采取有效措施加以防护，对工控网络实现一体化安全检测与管控。

1 工控网络特点和安全风险

1.1 工控网络特点

首先，工控网络有助于互联的系统之间、设备之间实现有效的信息传递，并且在信息沟通过程中保持良好互操作性。其次，工控网络可和世界各地基于同相同标准建设的其他设备实现有序连接，具有良好的系统开放性[1]。再者，工控网络能够和同轴电缆、电力线、红外线等诸多设备实现合作，并且其在多种不同的现场环境下具有良好的适应性能。最后，工控网络可在相对应条件下提供实时通信，并且有时间管理功能，呈现突出的通信实时性特点。

1.2 工控网络安全风险

（1）面对不断增强的开放互联需求，其关键系统不具备相匹配的安全性能。随着工业互联网产业快速发展，工业终端设备也越来越体现出开放性，特别是在大数据、云计算、人工智能等现代化科学技术应用下，直接将传统的物理隔离常规打破，这使得工业处理流程体现出更高的开放性，同时也面临更多不确定性，同样也进一步加大了网络安全风险。目前，我国很多关键信息基础设施无论是在产品还是在系统方面都可能存在或潜在一些缺陷、漏洞，并且目前所运用的高端装备、关键系统过于依赖国外产品，产品厂商基本都会参与到重大故障维护环节，还有产品设计了远程访问端口等问题都蕴含安全隐患[2]。综合来讲，目前工控网络在关键系统与核心产品方面其安全性能都有待提高。

（2）面对隐蔽性风险缺乏足够的抵御能力。工控网络建设安全防护现状有两种：一种是所分布的工控设备及所建立的工控系统处于接近“裸奔”状态，没有落实统一的安全防护措施，工控网络中既有智能化设备、基础软件保持着较低的安全水平，一些设备处理能力较低，更新换代速度慢，在设计环节缺乏前瞻性，并且所运用的安全防护手段相对滞后[3]。另一种是当前大多工控网络在设置安全防护设备期间，依旧选用传统安全防护模式，这种情况下不具备充足的安全防护性能。有较高的误报率，并且安全网关以URL、IP 等相关黑名单为基础加以控制，对未知内容难以检测。总之，目前工控网络不具备强有力的安全防护体系，难以对隐蔽性攻击加以预防和控制。

（3）无法有效实现应急处理。目前我国很多领域建立的工控网络系统在安全防护以及管理方面相对较为脆弱，并且很多应用单位并未完善的针对网络安全事件建立相应应急预案，缺乏完善的态势监测预警机制，不具备突出的应急处理能力，所制定的安全管理制度存在诸多缺陷。

2 工控网络安全检测与防护体系

2.1 安全检查

为了有效应对工控网络安全风险，要结合工控网络现状，不断研发更多安全检测技术以及检测方法，对多种内嵌的网络安全威胁实现及时发现，并对隐蔽性攻击加强应对，以维护工控网络各项数据资源与基础设备的安全。另外，要对工控协议解析库实现完整构建，对安全事件特征库不断补充与健全，保证网络攻击知识库的丰富与完整，并能够对多种复杂环境和大量业务流量实现动态跟踪、及时识别、准确发现、深层次分析及系统化评估，针对工控网络建立全方位的监测体系，保证有关安全技术具备更高监管性能。

当前工控网络运行期间，通常实现分区管理，一般分为生产调度区、企业管理区。在企业管理区中又划分成内网和外网。外网主要强调完善的制定各种安全控制措施，对所有外界数据包实现充分过滤，对恶意代码加大防范力度，对非法外联行为以及入侵行为加大探测力度，着重强化网络边界防护与审计；内网主要实现安全管控中心的建立，着重对门户网站、邮件系统、OA 系统等内网系统实现统一认证、病毒查杀、漏洞检测，安全存储等[4]。而生产调度区又分成了过程控制层、现场控制层及生产管理层、现场控制层等。生产管理层是结合具体生产任务开展计划安排，对相关数据实现管理，并实现存储的设计等；现场控制层、过程控制层是全过程、实时的控制各种现场设备。在生产调度区当中，每一层都针对性的加强病毒防护、入侵检测、漏洞检测，并对工控数据流加大保护力度。

为进一步维护工控网络系统的正常、有序运转，要结合系统内部不同分区部署现状，在不同区之间实现网络隔离装置的设置，设置期间着重增加安全监测系统建设，确保所有网络行为接受全方位、全周期的监测，同步进行数据存储与分析，以更全方位的对隐蔽性威胁加以应对和控制。相应系统中分布有互联网探针、工控探针。在生产调度区每个层汇聚交换机当中，以分布式形式部署工控探针，并利用镜像流量监测每一层链路利用率、服务带宽占用、业务分布情况等，在攻击知识库的构建下可更有效、有针对性的诱捕、分析并存储工控网络恶意行为，着重对异常行为实现关键工控事件检测，之后在安全监测相关评估系统功能发挥下进行信息汇总、分析，出具监测报告。互联网探针要分别设置在互联网出口、入口，以此监测并同步分析外部攻击行为与探测行为，必要情况下加以反制。

2.2 防护体系

针对工控网络构建的安全防护体系，主要涉及规划、建设、运行、维护4个阶段，同步基于本质安全和运行管控、管理制度、标准规范、技术防护这5个层面实现全面考虑。通过网络安全防护体系的构建，能够在工控网络整个安全防护生命周期当中持续发挥作用，保持安全生产和运行效率之间的平衡，并确保企业生产活动可以高效、安全的开展。在实现技术防护期间，主要对网络、控制器、主机、应用等实现综合考量下选用安全审计措施、加密策略、访问控制手段等，纵向制定技术防护机制。立足纵向层面，关注分区管控，强调重点防护。立足横向层面，加强分层监控，保持安全隔离；针对标准规范方面，使工控网络在安全规划、服务、建设、测试、质量、管理、评估、运维等方面具备科学、统一的标准规范；针对管理制度，需要由政府牵头针对网络安全建立相关组织管理体系，详细制定管理政策、制度，按照一定周期组织监督检查活动，强化安全培训，结合实际情况安排应急演练等。企业方需要针对网络安全专门组建相关管理机构，指定专业负责人，保证网络安全有关要求可以全面落实，完善的构建制度体系，确保各项生产制造活动可以规范、有序的开展；针对运行管理方面，着重加强过程安全控制，针对整个工控网络实现整体性运行管理及防护体系的建立，以确保能够提前预警网络安全威胁，动态监测并追踪网络攻击流量，确保网络安全事件能够得到及时响应；针对本质安全，需确保安全防护体系内部的基础产品安全与可靠，如处理器、核心芯片、专用软件等。针对基础软硬件，不仅要关注优选供应链，还要优选具有更高可靠性、安全性的产品，使防护体系具有更坚实的基础。

3 结束语

在新时期环境下，工控网络攻击体现出更突出的强持续、高隐蔽、严组织等特点，相关技术手段不断创新，一旦相关工控系统及网络出现安全问题，将严重影响经济社会与国家安全。本文结合工控网络的特点及其多项安全风险，提出针对工控网络建立的安全检测与防护体系，在相关体系建立下确保工控网络从设计直至维护整个生命周期中都全面加强安全防护，在此基础上使相关生产活动更加可靠、安全与高效。