化工行业工业控制网络安全防护的探索与实践

化工行业工业控制网络安全防护的探索与实践

刘振华

211321197911053497

摘要：随着国家大力推广数字经济，化工企业的数字化水平不断提升，各类网络和信息系统规模不断扩大，面临的网络安全威胁也越来越复杂，建立有效的网络安全运行机制变得至关重要。但由于在实际运营过程中，部分化工企业对于网络安全的管理工作不够重视，网络信息安全成为化工企业的生产经营中的一大难题。本文结合化工行业控制系统网络的特点，对化工行业工业控制网络安全防护措施的进行探索与实践。

关键词：化工行业；网络安全防护

引言

随着我国互联网技术的快速发展，化工企业在生产经营过程中所使用的互联网技术种类越来越多，化工企业在实际工作中难免会面临工业控制网络被攻击，生产运行控制计算机感染病毒等情况，需要加强网络管理功能，提高在网络安全过程中的资金投入，并提高相关工作人员的技术水平，才能够有效解决其网络安全问题。

1化工行业控制系统网络的特点

化工行业具有易燃易爆、高温高压的特点，生产过程的连续性较高，对工业控制系统的稳定性和控制策略复杂性要求很高，化工的工业控制系统一旦出现故障，不仅造成巨大的经济损失和能源安全冲击，还会造成人身安全的影响。早期，由于信息化程度水平有限，控制系统与信息管理网处于隔离状态，随着信息化技术不断发展和成熟，DCS发展到今天，已经进入了第四代，新一代DCS为信息化建设提供源源不断的数据支撑。如今，企业的MES系统实现了生产管控一体化，越来越多的控制网络通过信息网络间接连接到了互联网，潜在的网络安全威胁也越来越大。因此，越来越多的企业开始考虑对化工行业工业控制系统网络实施专业化安全防护。

2化工行业工业控制网络安全防护的探索与实践

2.1终端主机的安全加固

通过管理制度要求工控网络运维人员关注工控安全形势，及时知悉重大安全漏洞和补丁发布情况，对安全补丁进行安装后对工控主机可能造成的安全风险评估，在测试环境做好充分的测试、验证，确保安全可行后在生产环境中为工控主机安装安全补丁。对于已安装杀毒软件但不方便定期更新病毒库的工控主机，使用应用程序白名单软件来防范风险，仅允许通过业务单位授权和安全评估的软件在工控主机中运行。对于配置老旧不具备安装条件的，以杀毒U盘的方式定期对终端病毒进行查杀。在生产线进行升级改造时，逐步实现工控终端及核心网络设备的国产化升级替代，避免被外方“卡脖子”。

2.2工控网络安全建设

①建设原则。由于化工行业工控网络属于生产环境，对网络实时性要求较高，需要在不改变大架构的前提下对网络进行安全加固，当前网络地址规划按照原有保留，新增站点，不应对当前生产网的持续性造成干扰。同时考虑到工控网络的特殊性，工控网络安全建设应在现有网络基础上，分别建立工业内网与信息网边界防护体系、核心网络流量监测与审计体系、控制系统主机终端准入体系和控制系统安全运维体系，实现工业控制网的深层次防御。在加强工控网络安全防护的同时还要对信息系统网络进行全面防护，要提高整个网络环境的“安全最低点”，保证各个层面防护的均衡。②建设思想规划。根据纵深防御思想，将工控网络进行纵向分层、横向分区，并提供有针对性的防护，这些都是提高工业控制系统安全重要的一步。在现有网络结构基础上，对网络系统进行统一安全管理，对内部传输网进行安全建设，对内部划分的区域与区域之间做横向隔离，同时对终端进行安全建设。分别建立网络边界防护体系、监控体系、信任体系和统一安全管理体系，实现工控系统安全深层防御。

2.3通信安全，流量监控审计、入侵检测审计

在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。在各级交换网络关键节点旁路部署监测审计平台，监测网络攻击行为、恶意代码传输行为；在中心部署运维管理系统，对远程访问行为、操作进行监测；在中心部署统一管理平台对所部署的安全装备进行统一管理。用入侵监测系统等产品工具筑起通信安全防护，阻止非授权的用户远程维护服务器、工作站、网络设备、安全设备等；对远程维护行为操作进行监测、审计，阻止误操作、恶意操作；抵御恶意代码、外部网络及针对漏洞的攻击，完成用户身份鉴别，保护主机安全、确保数据的完整性。全程记录维护行为，对恶意操作行为进行取证；实时监测工控网络中的恶意攻击、误操作、违规操作、非法设备接入；翔实记录一切网络通信流量，利用获得的流量特征建模，制定管理网与生产网间的访问控制策略，对生产网与管理网间通讯协议（OPC、FTP、HTTP等）进行访问控制，帮助企业及时采取应对措施，对针对钢铁生产系统相关的控制设备（PLC）、服务器等的蓄意攻击行为进行检测，并及时告警以便做好防范措施，避免发生安全事件。

2.4病毒管理和软件升级

针对化工企业在获取网络资源的过程中内部网络易受到病毒入侵的现象，以及计算机本身存在的漏洞直接影响化工企业信息安全的情况，应根据常规的网络安全防范措施，对化工企业的网络信息安全进行管理，从多方面进行预防，选择合适的杀毒软件安装在局域网或者办公计算机中，同时可以充分利用防火墙技术，高效预防病毒的入侵。另外，应当做好相应的数据备份工作，由于化工本身具有一定的特殊性，很多内部数据需要进行处理，工作人员除了定期对数据进行备份和加密以外，还应当保证信息数据传输过程中的安全性，防止出现信息泄露或者丢失。对于计算机的主机和相关设备需要做好防护措施，使用实时监控技术对网络安全数据进行有效监测，确保计算机网络始终处于安全状态。

2.5控制用户和权限，防范黑客攻击

从系统用户的特性出发，系统也可以通过设置相应的访问权限来控制用户对某些数据的访问，以提高数据的安全性。网络系统也拥有以用户身份为前提的控制权限，在具有正确的系统配置和合理的访问许可权配置条件下，文件有权利拒绝超出权限访问的合法用户。同时，为了加强信息的有效利用，企业可以引用身份认证产品和技术。身份认证技术是指能够识别信息发送者和接收者真实身份的技术，是保障网络信息安全的第一道门。身份认证技术主要识别和验证用户身份的可靠性，授权访问以确保安全，并拒绝非法访客。在网络中，为了防止信息的丢失和泄露，网络可操作性和可管理性的重要性日益凸显，访问控制也是必然趋势。专业的操作人员能把优质软件系统和硬件设备的作用发挥到极致，因此，专业人才培养是网络信息安全建设的首要措施。企业应尽可能地为网络管理人员安排定期专业培训或者举办技能大赛等，还可以为技能优秀者提供进入网络信息建设较为优秀的企业的学习、进修机会，增强其网络安全意识的同时提升专业能力。

结语

工控网络安全防护工作除充分利用技术手段加强防护外，还应建立比较全面的网络安全管理制度，提高控制系统管理人员网络安全防护意识，将安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合，形成一套符合国家政策要求、覆盖全面、重点突出、持续运行的网络安全保障体系，达到国内一流的工控网络安全保障水平，保障工控系统和业务的安全稳定运行。

参考文献

[1]訾立强，王庆伟，王锐.工控系统信息设备数据采集建设[J].工业信息安全，2022,2(02):51-59.

[2]李季.大型炼化厂工控系统安全防护方案研究[J].网络安全技术与应用，2019,224(08):129-131.

[3]何作峰，李华中，张宝琨.某化工采油作业区工控安全技术研究[J].信息安全研究，2019,5(08):696-

702.