工业4.0时代的工控网络安全防护研究

宗健（重庆燃气集团股份有限公司，重庆400020）

工业4.0时代的工控网络安全防护研究

宗健（重庆燃气集团股份有限公司，重庆400020）

在工业4.0时代，工业化与信息化的两化融合是必然趋势，工控系统利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。工控系统安全的重要性及其普遍安全防护措施不足的现实，使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。本文提出的工控网络安全“白环境”解决方案是以可信防护为核心、可视化管理为支撑、大数据分析为保障的全方位工控安全解决方案。

工业4.0；工控网络安全防护；解决方案

随着工业信息化的快速发展以及工业4.0时代的到来，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，不可能完全的隔离，所以这就给工控系统网络安全防护带来了挑战。

近年来，多个重要且关乎国计民生的行业，如电力、石油、石化、军工等均遭受到了严峻的工业控制网络安全威胁，对此如何解决工控安全问题已成为企业面临的严峻挑战，受到越来越多的工业企业的关注，并且得到了国家的高度重视。针对关乎国家经济命脉的重点行业，国家在鼓励提高工业信息化的同时，将网络安全问题提升到了国家战略层面，要求各级政府部门和相关企业加大对于工控安全技术的研发力度，加速推进相关技术和解决方案的完善以及相关政策标准的推出。

1　工控网络安全防护分析及建议

在工业控制网络安全领域，很多企业机构根据内部工业控制系统的运行状态，并结合整体的实时性、完整性和机密性的要求，对工业控制网络安全产品提出了特定的需求。不同的行业领域内部使用了不同的网络数据通信协议和标准，最常见的协议和标准包括ModBus、OPC、IEC～104、MMS、DNP3等。因此，市场对工业控制网络安全产品的需求不仅迫切，对于产品服务的丰富性、广度、深度也有着显著而实际的需求。此外不同行业根据其生产工艺和设备特点，会对工业控制网络安全产品提出扩展性、可审计性、保密性、易用性、通用性提出需求。

当面临攻击者的持续关注时，任何疏漏都可能导致灾难。工业控制系统安全的重要性及其普遍安全防护措施不足的现实，使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。本文提出以下针对工控网络安全防护建议，期望能够有效地降低工业控制系统所面临的攻击威胁：

1.1尽可能采用安全的通信协议及规范，并提供协议异常性检测能力：源头控制、检测防护、

1.2建立针对工业控制系统的违规操作、越权访问等行为的有效监管：异常行为检测、安全审计；

1.3建立完善的工业控制系统安全保障体系，加强安全运维与管理：工业控制系统安全保障体系建设、安全运维与管理、加强人员的安全意识培训和工作流程管理制度的落实等；

1.4加强针对工业控制系统的新型攻击技术的防范研究。

2　工控网络安全防护解决方案

工控系统部署后使用的生命周期都很长，目前国内大量运行中的工控设备在当初设计时多重视系统的功能实现，如何为这些工业控制系统提供适当的安全防护、安全增强和运维管理，同时保障生产安全、系统可靠性和可扩展性无疑是当前工控企业需要重点解决的问题。

2.1解决思路

以工控系统安全的视角，针对工控系统对可靠性、稳定性、运行连续性的严格要求，以及工控系统软件和设备更新不频繁，通信和数据较为特定的特点，建立工控系统安全生产运行的“可信网络白环境”以及“软件应用白名单”，构筑工业控制系统的网络安全“白环境”，无需大量改造现有工控网络和频繁升级工控系统，技术可靠实用，可落地性强。

2.2实施方案

（1）网络划分

根据工控系统的业务与功能来评估计并划分网络区域，明确各网络区域的边界。网络区域是一组物理或逻辑上的资产，基于重要性或事故影响，它们具有相同的安全需求。

（2）控制/数据业务流及协议识别

确定网络域之间，工作组之间，上位机、下位机、服务器、客户端、操作站、监控站之间的控制及数据业务流的传输关系，应用的协议等。

（3）建立可信网络域

运用可信边界网关、可信区域网关对不同的网络域进行隔离，防护各域的网络边界。阻止来自办公网络的攻击、病毒、木马等感染入侵其它网络域。抑制在某一个网络域中的病毒木马向其它网络传播扩散，缩小安全问题影响范围。

（4）配置可信主机及可信服务器

针对每台终端配置软件白名单，建立工作站、服务器的软件工作“白环境”。对于白名单以外的软件、进程、通信等阻止运行。对于白名单内软件的更新、修改、移动、删除等操作进行审计或控制。

3　结语

本文提出的工控网络安全解决方案是面向石油、石化、电力、燃气、冶金、化工、铁路、城市轨道交通等工控行业及相关研究机构推出的以可信防护为核心、可视化管理为支撑、大数据分析为保障的全方位工控安全解决方案。