工业控制系统网络入侵检测的设计与实现
来源:用户上传
作者:谭世兵
摘要:随着互联网技术的飞速发展,工业互联网在生产型企业中的地位日益重要。越来越多的工业系统也走上了大数据、科技化的发展道路,小到一个传感器,大到一个注塑机等大型工业生产设备中的每一个环节,每一道生产工序都不能离开工业互联网的作用。
关键词:工业互联网;工业控制系统;网络入侵;检测;对策
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2019)30-0036-02
工业互联网是第四次工业革命的关键基石和重要支撑。在党中央、国务院决策部署下,在各部门的大力推动和产业各方的共同努力下,工业互联网在工业发展的各领域已得到广泛应用,在电力、石化等行业应用成效显著。工业互联网技术在为工业生产带来极大便利的同时,也存在着一定程度的风险,比如网络入侵现象也日渐加剧,对于工业生产造成一定程度的损失,本文笔者就工业控制系统网络入侵状况进行分析,并给出建议和对策。
1工业控制系统的子系统或功能组件
工业发展中,工业控制系统的子系统或功能组件的种类繁多,大致包括数据采集与监视控制(SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程测控单元(RTU)等相关信息系统。
数据采集与监视控制系统的组成部分包括计算机设备、工业过程控制组件,对于网络组成的控制系统是最常见的手段,其基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便,可以实现工业生产的数据采集、监测和控制,最终保证工业生产过程的正常。其次在工业控制系统中最耳熟能详的就是分布式控制系统,他的组成原理是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,综合了计算机、通信、终端显示和控制技术而发展起来的新型控制系统。这一系统的发展,提升了场上地区的绿色剥夺,可以实现工业生产自动化需求,主要用于控制分散设备,针对采集系统、数据传输系统和HMI软件,提供一个集中的监视和控制系统,用于许多过程的输入和输出。在工业实践中它可收集现场信息,将信息传递到一个中央计算机设备,并以图形或文本方式给操作员显示该信息,以便操作员监视或从实时的中心位置控制整个系统。整体的基础和核心要算分布式控制系统。对于整个系统的实时性、可靠性和扩充性来说,网络起到的作用越来越大,这就要求分布式控制系统具备实时性的要求,也就是说在确定的时间限度实现对信息的传递。所谓的“确定”的时间限度,ue也就是说信息传输可以挣脱环境的束缚,指无论在何种情况下,信息传送都能在这个时间限度内完成,而这个时间限度则是根据被控制过程的实时性确定的,因此,衡量系统网络性能的指标并不是网络的速率,即通常所说的每秒比特数。
2工业控制系统网络入侵的可能情况
网络是一个工具,它能给我们带来方便和快捷,但也极容易别社会上一些另有企图的人利用,各种网络安全态势变得越来越复杂,数据泄露、黑客攻击等事件愈演愈烈,给个人、企业和社会造成极大的伤害和破坏。在当前信息化技术与工业空前融合的趋势下,物联网、大数据的应用在工业生产中越来越普遍,各个工业生产环节的诸多设备都会连网接入网络,用网络来监测维护设备。可是在在为工业发展带来利好因素的同时,也为工业物联网带来挑战,不少专家称快速发展的工业生产背后有一个巨大的威胁。当工业系统被黑客人侵时候,黑客可能会改写控制程序,引发后续一系列问题,这对工厂简直是一个灾难。根据网络安全公司卡巴斯基实验室最新报告称,在最容易受到网络攻击的行业,制造业首屈一指,数量甚至达到工业控制系统和制造业的计算机的入侵数量占所有攻击的三分之一。报告中对易受到攻击的工业类型做了分析,大多是材料、设备和货物的制造这一类公司。其中工程、教育和食品饮料受影响较大。报告就网络入侵工业系统的途径进行分析,得出结论为主要通过是企业和工业网络之间的接口,比如我们工业生产中经常发生的,工业网络的互联网接入,移动电话网络将工业网络上的计算机连接到因特网上等等。笔者通过调查发现,近年来工业系统网络人侵情况从行业分布来看,能源、关键制造业及水处理是主要行业。此外我国国家信息安全漏洞共享平台所收录的安全漏洞数量也持续走高。2018年1月至2018年5月,根据统计,信息安全漏洞总数达6730个,工业控制系统漏洞总数为190个,主要分布在能源、制造、商业设施、水务、市政等重点领域。其中,能源行业工控安全漏洞为65个,占比34.2%。在工业控制系统子漏洞库中,新增的高危漏洞有95个,占该子漏洞库新增数量的50%。
3工业控制系统中网络入侵检测的设计与实现
工业控制系统可以实现对工业发展实时数据采集,加强工业生产的自动化水平和智能化水平,控制系统通过改变主电路或控制电路的接线和改变电路中电阻值来控制电动机的启动、调速、制动和反向的主令装置,完成协调和指挥整个工业生产的自动化操作。
在网络入侵系统的设计中要注意从以下几方面人手,一是部署入侵检测系统。作为防火墙的补充,入侵检测系统作为一种安全防护工具,用于发现和抵御黑客攻击,可以为网络安全提供内部攻击、外部攻击和误操作的实时和动态检测,在计算机网络和系统收到危害之前进行报警、拦截和响应。这就要求我们具备一批专业性的网络安全人才,实现资源配置的精准化,减少无效劳动力输出,节约社会成本,提升专业的理论和技术知识,从而导致我国工业互联网安全水平不断提高。例如:许多医院从事档案管理的人员都是兼职的,这就使得工作人员在工作中缺少经验,同时导致工作人员对于资料存档范围不清楚等问题,这些问题的产生会对档案管理造成严重影响。
二是配置漏洞扫描工具。任何系统和网络都有漏洞,但通过漏洞扫描等手段,可以对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测,选择一批典型工业企业、平台企业开展安全检查评估试点,发现通报整改,形成全社会范围内的示范带动作用,切实促进工业企业的发展。三是加强防火墙技术和网络隔离技术的研发。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护。可以说,设置防火墙的目的就是隔离内部和外部网,保护内部网络不受攻击。网络隔离,就是两个或两个以上的计算机或网络,不相连、不相通、相互断开。如果用户确定交换的内容是完全可信和可控的,那么网络隔离是用户解决网络安全问题的最佳选择。四是设立专门的信息技术管理部分,落实信息管理人员的责任。在企业内部,要明确各信息管理人员岗位分工和岗位职责,注重隐私和身份权限,避免员工私有数据与公司数据相混淆,不同部门、不同业务的数据相混淆。公开分享企业信息的行为,一定要慎重。最好基于云计算,对数据进行分离。严控访问信息的权限,特殊事务的数据,只有少数人才能访问。另外,定期对安全人员进行检查、培训,提高企业人员的计算机应用水平及网络安全保密意识,严防内鬼。除此之外,网络入侵防范措施还包括加密与认证技术、客户端的防护、最小授权原则、远程访问控制、数据备份与恢复等一系列措施。最后政府工信部要进一步完善安全管理体系,加快出台安全指导性文件,研制安全标准为了确保这些资料能够得到有效的利用,工业生产必须要建立规范化、科学化和系统化的网络安全防范机制。首先要将网络安全纳入一体化的管理目标中,同时要合理的建立内部管理机制。其次,要结合工业部门的实际情况制定严格的规章制度,以此确保相关工作人员按照制度进行操作,从而使工业生产各项工作能够按照相关制度和规范进行规范化操作,从而确保工业生产网络绝对安全。最后,由于工业生产中网络入侵有一部分是熟人作案,就是员工的监守自盗现象,对于这钟情况表,要加强对员工档案的规范,这对于工业生产和信息化的建设都有极大的意义。因此不同的工业部门要根据自己的发展情况,大力采购一些先进的档案管理设备,这样才能使档案管理跟得上社会发展步伐。信息化的建设最重要的就是硬件和软件设备,工业部门要想全面的实施档案管理信息化建设,就必须要投入大量的资金对现有的硬件和软件设备进行有效的更好与换代,以此来确保工业档案管理实施现代化建设,在大数据背景下,通过整合海量信息资源以此来建立跨平台、跨系统、跨數据结构的共享档案信息平台,使信息以网络的形式进行存储,用户直接在互联网上就可以查找自己想要得到的相关信息,使用户得到全新的查询体验。
4结束语
随着我国的不断进步,工业发展地越来越快,工业的发展带动了人均收入的增高,生活质量上有了很大的提高,对工业生产的需求也日益多样化。工业互联网平台体系正在快速建立,新型网络技术已在工业场景中探索应用,5G商用牌照的发放,为工业互联网发展提供重要网络技术支持,同时,工业互联网也面临着很多风险考验,外部风险加剧,互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,互联网的安全威胁渗透延伸至工业领域,加之由于存在技术漏洞,易被黑客攻陷,对工业系统造成危害,工业互联网一旦遭受网络攻击不仅会造成系统或服务中断、数据泄露等传统互联网安全问题,甚至会引发生产安全问题。因此,笔者认为,对工业控制系统进行网络完全防范与检测是一个长期性的工作,企业必须做好切实可行的网络安全防护措施,实时对工业互联网安全进行规划和防护,这也是为整个工业生产体系和企业战略规划体系的安全发展奠基,企业工业控制系统的生存之道就是提供超越客户预期的产品,无论是从产品性能、作用还是质量,都要不能出现误差,要保证最佳的工业制造,切实提高工业系统的安全性,增强工业生产的效能,促进现代经济的发展。
转载注明来源:https://www.xzbu.com/8/view-15070485.htm