摘要：結(jié)合工業(yè)控制系統(tǒng)的安全性要求，了解該系統(tǒng)在穩(wěn)定運作過程中所面臨的各種威脅以及契機(jī)，站在宏觀發(fā)展的角度來說，深入剖析工業(yè)控制系統(tǒng)信息安全，了解這一系統(tǒng)與其他現(xiàn)代信息系統(tǒng)安全之間的區(qū)別及聯(lián)系，是至關(guān)重要的。以控制系統(tǒng)信息安全工作提供相應(yīng)的參考，確保工作質(zhì)量及水準(zhǔn)的穩(wěn)定提升，保障工業(yè)控制系統(tǒng)的進(jìn)一步構(gòu)建，全面提升安全系數(shù)。控制系統(tǒng)網(wǎng)絡(luò)防護(hù)措施的有效利用以及創(chuàng)新非常關(guān)鍵，管理工作人員需要注重對社會熱點以及時代發(fā)展趨勢的深入分析及研究，以安全控制器和安全通訊協(xié)議為依據(jù)和前提，明確具體的設(shè)計思路以及發(fā)展方向，只有這樣才能夠確保工業(yè)控制系統(tǒng)信息安全管理工作的有效改革及全面優(yōu)化。

　　引言

　　自2016年起，我國加快實施生產(chǎn)制造模式變革工作，產(chǎn)業(yè)結(jié)構(gòu)升級與創(chuàng)新速度不斷加快，網(wǎng)絡(luò)信息技術(shù)與各類傳統(tǒng)制造產(chǎn)業(yè)的融合進(jìn)度也進(jìn)入全新時期，生產(chǎn)過程更顯智能化與可視化。智慧工廠與智慧生產(chǎn)背景下，工業(yè)控制系統(tǒng)之間的網(wǎng)絡(luò)互聯(lián)已成為發(fā)展的必然趨勢，而網(wǎng)絡(luò)互鏈在生產(chǎn)力與創(chuàng)造力層面的優(yōu)勢，更是讓工業(yè)生產(chǎn)在能源與資源層面的消耗得到全面控制。但我國工業(yè)控制領(lǐng)域在網(wǎng)絡(luò)互聯(lián)保障層面依舊存在安全漏洞，安全防護(hù)體系的缺失讓工業(yè)生產(chǎn)面臨嚴(yán)峻挑戰(zhàn)。

　　1 工業(yè)控制系統(tǒng)的安全要求

　　不同時期的工業(yè)控制系統(tǒng)對安全的要求有所區(qū)別，其中傳統(tǒng)的信息安全技術(shù)相對比較成熟，發(fā)展速度較快，但是實質(zhì)的工業(yè)控制系統(tǒng)與應(yīng)用場景之間存在一定的區(qū)別，因此無法實現(xiàn)直接套用。工業(yè)控制系統(tǒng)的信息安全保護(hù)工作不容忽略，許多學(xué)者根據(jù)傳統(tǒng)信息安全與工業(yè)控制系統(tǒng)之間的邏輯關(guān)系，在綜合分析以及區(qū)別的基礎(chǔ)上，了解工業(yè)控制系統(tǒng)信息安全的特殊屬性，主動應(yīng)對時代發(fā)展的挑戰(zhàn)，確保工業(yè)控制系統(tǒng)的穩(wěn)定運作。工業(yè)控制系統(tǒng)的特征比較顯著，主要以可用性要求為基礎(chǔ)，對于傳統(tǒng)信息安全來說，軟件固定方式所發(fā)揮的作用與應(yīng)用不夠理想，另外系統(tǒng)更新頻率有所下降，難以更好的滿足工業(yè)控制系統(tǒng)的運作要求。工業(yè)控制系統(tǒng)需要做好前期的準(zhǔn)備工作，提前幾個月進(jìn)行宏觀統(tǒng)籌，確保系統(tǒng)能夠保持離線狀態(tài)并實現(xiàn)全面更新。在工業(yè)應(yīng)用的大背景下，在停機(jī)更新系統(tǒng)時所耗費的時間成本以及經(jīng)濟(jì)成本相對偏高，有的系統(tǒng)會存在許多的負(fù)面影響，沒有嚴(yán)格按照工業(yè)控制系統(tǒng)的具體規(guī)則來進(jìn)行簡單設(shè)定，出現(xiàn)了許多的問題及矛盾，難以充分的彰顯計算機(jī)控制系統(tǒng)的重要作用及優(yōu)勢，最終導(dǎo)致各種安全隱患。

　　2 智能化工業(yè)控制系統(tǒng)的信息安全保障措施

　　2.1 注重縱深防御

　　縱深防御機(jī)制可采用IP S、W AF等串聯(lián)的安全防護(hù)設(shè)備，而這種防護(hù)體系與傳統(tǒng)IT網(wǎng)絡(luò)存在很大不同。但為保證工業(yè)控制網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性，很多工業(yè)控制網(wǎng)絡(luò)無法使用串聯(lián)式安全設(shè)備設(shè)置，針對這一現(xiàn)象，技術(shù)工作者可采用工控入侵檢測類的旁路檢測設(shè)備對相關(guān)威脅進(jìn)行告警。工業(yè)控制環(huán)境十分復(fù)雜，一旦組態(tài)命令被IPS誤報，則很可能被丟棄，而這種行為將引發(fā)重大安全事故。與之相比，采用入侵檢測可實現(xiàn)攻擊行為的快速告警，告警信息可同步涵蓋攻擊IP、攻擊源、時間點與類型等等，這些信息被實時傳送至系統(tǒng)管理員的控制面板，進(jìn)而完成下一步判斷，而這一過程也要求管理員在信息安全層面擁有很高的業(yè)務(wù)水平。

　　2.2 注重提高安全管理和教育水平

　　強(qiáng)化安全管理或監(jiān)控網(wǎng)絡(luò)安全理念，其中包括教育/培訓(xùn)使用ICS的工程師以遵守新的安全策略。確保網(wǎng)絡(luò)安全政策和實踐得到貫徹執(zhí)行的教育可能是最重要的最佳實踐，也是最難成功實施的。為了促進(jìn)合規(guī)性，可能還需要考慮投資專用軟件工具，以更有效地管理ICS安全策略。特別是一些工業(yè)網(wǎng)絡(luò)管理軟件可以幫助掃描網(wǎng)絡(luò)設(shè)備，提供庫存列表，以便輕松識別是否存在可疑文件或風(fēng)險文件，并將其刪除。某些工具甚至可以幫助用戶始終如一地配置新設(shè)備以符合用戶選擇的安全設(shè)置，直觀地驗證設(shè)備是否已正確配置，甚至可以備份配置文件以幫助在發(fā)生事件時進(jìn)行網(wǎng)絡(luò)恢復(fù)。另一個重要功能是實時事件通知和日志記錄，它會在發(fā)生安全事件（如多次失敗的登錄嘗試、違反防火墻規(guī)則或設(shè)備配置更改）時通知用戶。日志記錄可以幫助查明漏洞，并在損壞發(fā)生之前修復(fù)它們。

　　2.3 控制器設(shè)計

　　控制器設(shè)計比較復(fù)雜及多元，技術(shù)難度相對偏高，需要以網(wǎng)絡(luò)防護(hù)以及通訊協(xié)議分析為切入點，積極調(diào)整安全問題的解決思路。以安全信息保護(hù)為依據(jù)，注重對不同攻擊類型的深入分析，盡量避免物理設(shè)施的簡單破解，技術(shù)工作人員可以站在物理系統(tǒng)的角度，關(guān)注對不同防御措施的有效設(shè)計，其中物理世界與控制系統(tǒng)交互過程的分析是第一步。這一點需要以物理系統(tǒng)的影響分析為基礎(chǔ)，了解控制命令與傳感器的測量指針，關(guān)注對物理系統(tǒng)現(xiàn)象的簡單預(yù)測，以控制算法的抵御攻擊設(shè)計為基礎(chǔ)，保障各項系統(tǒng)的穩(wěn)定運作。物理系統(tǒng)典型模型的建立最為關(guān)鍵，這一工作比較復(fù)雜，可以直接將物理系統(tǒng)轉(zhuǎn)化為一個信息系統(tǒng)，然后對具體的欺騙攻擊以及外部機(jī)器攻擊進(jìn)行分析，在原有信息系統(tǒng)的基礎(chǔ)之上，適當(dāng)增加攻擊因素，確保安全狀態(tài)，一旦出現(xiàn)欺騙攻擊就可以直接進(jìn)行檢測和出擊。這種控制器設(shè)計模式取得的效果比較顯著，對整個安全系數(shù)的提升有非常關(guān)鍵的影響。

　　2.4 主動防御技術(shù)

　　現(xiàn)如今，工業(yè)控制系統(tǒng)中，特定操作系統(tǒng)的可信技術(shù)得到廣泛應(yīng)用。其工作原理是先建立可信白名單，只要是白名單外的進(jìn)程與程序都會被禁用。同時，可信白名單具有抵御作用，主要是抵御移動介質(zhì)引發(fā)病毒傳播的危害。由于可信技術(shù)是在操作系統(tǒng)前提下的安全防護(hù)，所以在面對高難度的漏洞時同樣束手無策。另外，通過可信技術(shù)構(gòu)建工業(yè)控制系統(tǒng)的安全可信鏈尤為關(guān)鍵，保障了工業(yè)控制系統(tǒng)從底層驅(qū)動到操作系統(tǒng)，應(yīng)用程序等所有層級的完整性。并且，網(wǎng)絡(luò)安全測評同樣具有抵御作用。可信技術(shù)能使大部分用戶預(yù)判到識別網(wǎng)絡(luò)系統(tǒng)帶來的威脅，并結(jié)合安全需要選擇最合適成本效應(yīng)的防御措施，從而防止危險事件的出現(xiàn)。

　　3 結(jié)束語

　　工業(yè)控制系統(tǒng)的信息安全保障是決定生產(chǎn)發(fā)展?jié)摿Φ母?，因此，行業(yè)技術(shù)人員應(yīng)針對當(dāng)前網(wǎng)絡(luò)攻擊形式變化，結(jié)合工業(yè)生產(chǎn)場景特點，不斷推進(jìn)各項安全控制策略，規(guī)范操作流程與相關(guān)功能的使用，加強(qiáng)信息安全技術(shù)手段與業(yè)務(wù)行為的融合分析，進(jìn)而實現(xiàn)工業(yè)控制系統(tǒng)在安全層面的全面突破與強(qiáng)化。

　　參考文獻(xiàn)：

　　[1] 馮國聰，付志博，張華兵，何升文.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保險應(yīng)用與研究[J].網(wǎng)絡(luò)空間安全，2021，12（Z4）：8-13.

　　[2] 包叢.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊阻斷安全防御方案設(shè)計[J]. 中國管理信息化，2021，24（16）：191-192.

　　[3] 楊博.工業(yè)企業(yè)兩化融合網(wǎng)絡(luò)安全保障模型研究與應(yīng)用 [J].信息安全研究，2021，7（08）：773-778.

　　[4] 李煥，李偉，韓辛酉，李朋.工業(yè)控制系統(tǒng)信息安全資源共享平臺的設(shè)計與實現(xiàn)[J].信息系統(tǒng)工程，2021（07）：116- 117.

　　[5] 夏冀，趙梓桐，甘俊杰.以貫標(biāo)提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平[J].自動化博覽，2021，38（07）：42-44.

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……