工控系统网络安全防护探讨

工控系统网络安全防护探讨

蒋若荣

国家电投集团贵州金元股份有限公司纳雍发电总厂 贵州 毕节 553303

探索工控系统网络安全防护方略，需从工控系统发展态势、网络安全现状、应该采取的基本安全防护措施三方面加以综合考虑。

一、工控系统发展态势

习近平总书记强调：“没有信息化就没有现代化”。随着“两化融合”的推进，工业互联网逐步趋于工业企业全覆盖。2019年8月14日，中国工业互联网大会在杭州召开，工业与信息化部总经济师王新哲在大会上强调，大力发展工业互联网，是促进新一代信息技术与实体经济融合发展，是推动我国经济高质量发展的重大战略举措。工信部将推广普及“5G+工业互联网”，支持工业企业建设改造工业互联网企业内部网络，推动企业数字化转型升级。深化融合应用，推动广大企业特别是中小企业接入工业互联网。随着我国对内改革的深化和对外开放的加大，“一带一路”互联互通的稳步推进，我国将进一步加强与世界各国和国际组织在工业互联网方面的交流合作，共同构建开放共享的工业互联网产业生态体系。当前，全球工业互联网的关键技术加速突破、融合应用不断深化、产业生态逐渐壮大的良好态势。

王新哲总经济师同时也指出，我国工业互联网三大体系全面突破，已具备快速发展的基础，工信部致力推动加快发展工业互联网，但存在关键核心技术和设备、元器件对外依赖严重，安全风险隐患较为突出等问题。

二、网络安全现状

习近平总书记强调：“没有网络安全就没有国家安全”。随着工业生产逐步走向数字化、网络化、智能化，使工控系统网络不断发展壮大，网络安全问题突显。在全球范围内，网络安全事件频发，关键信息基础设施已是网络攻击的主要攻击目标，网络系统漏洞也成为国家的战略资源，网络安全早已上升到国家安全层面。

2009年，伊朗核设施感染了一种名为“震网”的网络病毒，上半年，由于NATANZ核工厂部分离心机的异常停机造成严重的生产事故，导致伊朗原子能机构的负责人迫于压力辞职。在2009年11月到2010年1月之间，震网病毒就摧毁了伊朗1000多台离心机，导致其核发展进程至少延误2年以上。

2015年12月23日，乌克兰至少三个区域的电力系统之前因感染的BlackEnergy病毒，使电力控制系统主机遭到黑客远程控制，操作断开变电站的连接后，又使控制系统全部电脑瘫痪，让电力维护人员不能即时进行维修工作恢复系统，造成大面积停电，电力中断3~6小时，约140万人受到影响。在停电期间还攻击了电话通讯系统，造成上个千不知来源的电话打入电力公司，干扰了正常电话通讯，这既延误了恢复供电，也会造成社会秩序混乱。

据上海纽约大学计算机工程系主任罗开朗介绍，智能网络给黑客组织扩大攻击范围创造了条件，黑客只要侵入电脑系统，便可以创造出非常危险的境界。在乌克兰这次停电事故中，黑客入侵城市电网，关闭所有电源，也很有可能间接地导致洪水泛滥、火灾和上千人的死亡。

现在的网络安全形势正如习近平总书记所强调的：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。

网络安全的本质在对抗，对抗的本质在攻防双方能力较量。

三、基本安全防护

根据国家网络安全法规定网络安全的防护措施要与信息系统“三同步”建设，要保障系统运营依规合法。工控系统网络安全防护可借鉴国内某行业网络安全防护总体方案的总体原则：“安全分区、网络专用、横向隔离、纵向认证”来建立安全防护体系。这一套防护体系经过多年的实践检验证明是有效的。

1.建立安全网络边界。将工控系统与办公网络隔离，在两者之间采用专用单向安全隔离装置实施强隔离，达到网络边界“进不来”的要求；在工控系统内再分控制区和非控制区，两者之间采用可进行地址转换的防火墙、隔离装置等，并按“IP＋端口”的白名单方式进行边界访问控制；各区域内的子系统之间采用防火墙或VLAN等方式进行边界访问控制，以降低相互影响的风险。

2.建立安全通信网络。在工控系统的主站端(或集控中心)和厂站端的通信链路上采用纵向加密认证装置，若两者都是可信系统，之间的通信已是认证加密过的，则无需部署纵向加密装置，以保证系统间的通信安全。今后建设的系统应要求建成可信系统。

3.建立安全计算环境。对网络主机设备进行加固，关闭不用的端口、卸载无用的组件和服务、修改默认账户及权限、修改密码策略满足复杂度要求及超过登录失败次数就退出等，在经过充分验证后杀毒和打补丁，修改文件访问权限，让侵入者“拿不走”。今后的系统重要配置和数据都要进行可信验证，要达到“看不懂”的要求。

网络技术正在加速向复杂化方向发展，只有建立安全管理中心，对网络资源的统一管理、统一审计、统一安全监督检查，才能有效的对网络安全进行管控；再配以网络安全态势感知系统进行全天候实时检测预警和训练有素的应急队伍，形成多维度综合防护体系才能与对手抗衡。

立足现在，着眼未来。随着国家工业互联网、大数据中心、5G通信等基础设施建设加速推进，工控网络必将突破一个个数字鸿沟，融合成开放、合作的工业互联网。要将工控网络安全智能化，才能满足未来工控网络安全防护要求。2020年10月30日，为贯彻落实党的十九届五中全会精神，由天津市委网信办、中国网络空间安全协会和中国新一代人工智能发展战略研究院联合在南开大学成立了智能网络安全研究中心，搭建起人工智能安全创新平台，集聚高校、研究机构、企业等多方资源，着眼于人工智能的发展和安全研究与探索，力争将中心打造成为“人工智能+网络安全”科研的信高地。未来工控网络将融合成智能安全工业互联网。

建立正确的网络安全观是极为重要的。首先要意识到网络安全与一般的安全不同，网络安全是人与人之间较量，是战争。正确认识网络安全是整体的不是割裂的、是动态的而不是静态的、是开放的而不是封闭的、是相对的而不是绝对的、是共同的而不是孤立的。网络安全靠人民，网络安全为人民，维护网络安全是全社会共同责任，需要各界广大网民共同参与，各方面齐抓共管。网络安全牵一发而动全身，必须树立动态、综合的防护理念。我们只有立足于开放环境，加强对外交流、合作、互动、博弈、吸收或引进先进技术，增强网络空间治理能力，提高网络安全防护水平，才能筑牢网络安全防线。