工控網路安全防護分析與建議

隨著工業資訊化的快速發展，工業化與資訊化的融合越來越深入，兩者的融合能提高生產效率、提高生產安全性、降低生產成本。工控系統很多采用了傳統網路中的通訊協議和軟硬體系統，或以特定的方式直接連線到傳統的網路中，改變了以前封閉式的工作原理，導致工控裝置直接接入到網際網路中，直接面臨著網際網路中的各種威脅，對生產安全和公共安全造成潛在的危害。

2010年美國通過“震網”病毒奇襲伊朗布什爾核電站，遲緩了伊朗的核能計劃。2015年12月23日，烏克蘭電力部門遭受到惡意程式碼攻擊，該事故造成7個110KV變電站和23個35KV變電站故障，導致80000使用者斷電[1]，此次事件不僅造成嚴重的經濟損失，同時也導致嚴重的社會影響。

1、工控系統與普通訊息系統的區別

隨著技術的發展和科技水平的提高，當前與早期的工控系統相比有了質的提升，工控系統主機系統與普通計算機又有很大的差異。

與當前工控系統相比，早期的工業控制系統完全隔離於網際網路，只能用於小範圍內的工業控制，很少受到資訊保安方面的威脅。現如今，對生產效率要求的提高和隨著計算機技術和網路技術的發展，工業控制系統產品越來越多的採用通用資訊科技，實現控制資訊和管理資訊的廣域傳輸，這樣造成工控系統面臨著和資訊系統相同的安全威脅。相對比於資訊系統，工控系統遭受攻擊將造成更加嚴重的後果。

工控系統和普通計算機相比，存在很大差異，對於工控系統資訊保安而言，可帶來直接隱患的安全漏洞主要包括安全漏洞問題、防毒軟體安裝及升級更新問題、工業系統的硬體威脅、工業系統的軟體問題、工業網路漏洞、裝置維修時膝上型電腦的接入帶來的安全隱患等等。

2、工控網路安全防護分析

當前，我國企業使用了大量的自動化裝置，如：PLC、DCS、RTU，企業建設了現代化的工控資訊網路，使生產效率大大提高。但是很多企業在建設工控網路的同時，接入了日常辦公網路，這樣辦公網路的安全問題會帶入到工業網路中，對工控網路造成安全威脅。

在工控網路安全領域，不同的企業或組織，根據其內部工業控制系統的執行狀態，並結合企業自身對實時性、完整性和機密性的要求，對工控網路安全產品提出自己特定的需求，不同的行業根據自己的要求選用不同的控制協議，包括Modbus、S7、OPC、IEC-104、DNP3等。因此，必須對工控系統採取必要的網路安全措施，保障工控系統的網路安全。

3、工控安全防護建議

儘量採用安全的通訊協議及規範，增加協議異常性檢測能力；建立針對工控系統的違規操作、越權訪問等行為的有效監管；建立完善的工控系統安全保障體系，加強安全運維與管理；加強針對工控系統的新型共計技術的防範研究。

工控系統在投入使用後，很長時間內不會發生改變，且多數工控系統在涉及之初更多的是在考慮系統的功能性，忽略了系統的安全防護和管理，首先加強對工控系統的安全意識，是增強工控系統網路安全的前提。

其次，要以工控系統安全為視角，針對工控系統的可靠性、穩定性、執行連續性的嚴格要求，以及工控系統軟體和裝置更新不頻繁，通訊和資料較為特定的特點，在工控系統設計階段就要加入網路安全。對於現在已上線的工控系統，建立工控系統安全生產執行的“白名單”，無需大量改造現有工控網路和頻繁升級工控系統，技術可靠實用。

最後，由於工控系統的特殊性，其面臨的安全威脅，持續於整個系統的生命週期裡，工控系統的管理者需要從其自身實際出發，在企業效率和安全生產之間找到平衡點，保證安全高效率的開展生產活動。

本文轉自d1net（轉載）