对于工业控制网络安全的防护分析与建议

随着工业信息化的快速发展，工业化与信息化的融合越来越深入，两者的融合能提高生产效率、提高生产安全性、降低生产成本。工控系统很多采用了传统网络中的通信协议和软硬件系统，或以特定的方式直接连接到传统的网络中，改变了以前封闭式的工作原理，导致工控设备直接接入到互联网中，直接面临着互联网中的各种威胁，对生产安全和公共安全造成潜在的危害。

2010年美国通过“震网”病毒奇袭伊朗布什尔核电站，迟缓了伊朗的核能计划。2015年12月23日，乌克兰电力部门遭受到恶意代码攻击，该事故造成7个110KV变电站和23个35KV变电站故障，导致80000用户断电[1]，此次事件不仅造成严重的经济损失，同时也导致严重的社会影响。

1、工控系统与普通信息系统的区别

随着技术的发展和科技水平的提高，当前与早期的工控系统相比有了质的提升，工控系统主机系统与普通计算机又有很大的差异。

与当前工控系统相比，早期的工业控制系统完全隔离于互联网，只能用于小范围内的工业控制，很少受到信息安全方面的威胁。现如今，对生产效率要求的提高和随着计算机技术和网络技术的发展，工业控制系统产品越来越多的采用通用信息技术，实现控制信息和管理信息的广域传输，这样造成工控系统面临着和信息系统相同的安全威胁。相对比于信息系统，工控系统遭受攻击将造成更加严重的后果。

工控系统和普通计算机相比，存在很大差异，对于工控系统信息安全而言，可带来直接隐患的安全漏洞主要包括安全漏洞问题、杀毒软件安装及升级更新问题、工业系统的硬件威胁、工业系统的软件问题、工业网络漏洞、设备维修时笔记本电脑的接入带来的安全隐患等等。

2、工控网络安全防护分析

当前，我国企业使用了大量的自动化设备，如：PLC、DCS、RTU，企业建设了现代化的工控信息网络，使生产效率大大提高。但是很多企业在建设工控网络的同时，接入了日常办公网络，这样办公网络的安全问题会带入到工业网络中，对工控网络造成安全威胁。

在工控网络安全领域，不同的企业或组织，根据其内部工业控制系统的运行状态，并结合企业自身对实时性、完整性和机密性的要求，对工控网络安全产品提出自己特定的需求，不同的行业根据自己的要求选用不同的控制协议，包括Modbus、S7、OPC、IEC-104、DNP3等。因此，必须对工控系统采取必要的网络安全措施，保障工控系统的网络安全。

3、工控安全防护建议

尽量采用安全的通信协议及规范，增加协议异常性检测能力；建立针对工控系统的违规操作、越权访问等行为的有效监管；建立完善的工控系统安全保障体系，加强安全运维与管理；加强针对工控系统的新型共计技术的防范研究。

工控系统在投入使用后，很长时间内不会发生改变，且多数工控系统在涉及之初更多的是在考虑系统的功能性，忽略了系统的安全防护和管理，首先加强对工控系统的安全意识，是增强工控系统网络安全的前提。

其次，要以工控系统安全为视角，针对工控系统的可靠性、稳定性、运行连续性的严格要求，以及工控系统软件和设备更新不频繁，通信和数据较为特定的特点，在工控系统设计阶段就要加入网络安全。对于现在已上线的工控系统，建立工控系统安全生产运行的“白名单”，无需大量改造现有工控网络和频繁升级工控系统，技术可靠实用。

最后，由于工控系统的特殊性，其面临的安全威胁，持续于整个系统的生命周期里，工控系统的管理者需要从其自身实际出发，在企业效率和安全生产之间找到平衡点，保证安全高效率的开展生产活动。