关键词:煤矿工控系统;安全防护方案;研究
引言
由于工业控制系统运行连续性、操作周期性、功能实时确定性和现场环境易燃、易爆、有毒、强腐蚀、强电磁干扰的工程特征,面对日益复杂的纵深渗透、动态协同的集团化攻击,仅依靠传统信息安全技术体系已无法有效应对,亟须在攻防地位严重不对称、存在大量被利用的漏洞或后门的现实环境中,建立覆盖设计、建设、验收、运维和退役等全生命周期安全防护技术体系,突破信息物理空间深度融合场景下的工控安全防护难题,完善或制定工控网络安全产品标准体系。
1、加强工控系统安全防护建设的重要性
近年来,随着“两化融合”走向深入,工业数字化、网络化、智能化快速发展,大量工业系统和生产设备与工业互联网连接。以往由物理环境的封闭性和专用性所带来的安全性将不复存在,关系到国计民生的诸多重要工业领域成为网络攻击的主要目标,针对能源、交通、制造业等重要领域的网络攻击事件频发。经过实践,中控工控信息安全整体解决方案及产品在各种大型项目中进行应用,并取得了良好的效果。建立与企业信息化发展战略相匹配的安全管理制度和技术防护体系,加大安全工作的人力、资金和技术投入力度,是提升工控安全防护水平的基本前提。促进工控安全防护解决方案与企业信息化建设深度融合,构建与实际生产环境紧耦合的安全防护策略,是提升工控安全防护水平的必然要求。培养工业自动化和网络安全复合型人才,加强专业技能培训,建立人才选拔机制,是提升工控安全防护水平的核心关键。
2、重点示范先行
《指南》发布以来,在工业和信息化部指导下,包括中国电子技术标准化研究院在内的部属技术支撑机构,每年根据产业发展状况、企业信息化水平、安全态势焦点等情况,选取具有典型代表性的重点工业企业开展工控安全检查评估专项工作,为工业企业“问诊把脉”,全面分析安全威胁现状,找准安全问题短板,开具堵漏补缺的整改“药方”,对企业乃至产业的整体工控安全防护水平提升具有重大促进作用。三年来,通过这种“政府搭台、机构主导、企业唱戏”的工控安全防护工作模式,工控安全的理念已在业界深入人心,大部分工业企业建立了科学的安全意识观,明确了要将“工控安全与生产业务两手一起抓”作为长期发展指导思想,并能够从技术和管理双重维度部署安全防护工作,为重要工业控制系统的安全运行奠定了坚实基础。
3、监控系统安全防护
3.1系统架构设计
实际煤矿井下工控环网干路内直接进行流量采集,会因为获取的数据包含了其他工控系统的数据噪声,不能很好体现未受干扰的系统数据体征。所以本方案采用在监控系统通信根节点位置进行数据流量获取(在真实场景流量嗅探器会放置在系统分站与环网干路连接的上行端口)。为了更好执行模拟动作攻击和流量监测,搭建仿真安全监控系统网络。试验架构根据KJ83X(A)煤矿安全数字式监控系统结构来构建。主要的物理设备由上位机主机、隔爆兼本安环网交换机、协议转换器、下位机分站、传感器、断电控制器(MCU)组成。
期刊文章分类查询,尽在期刊图书馆试验场景包含监控系统和流量嗅探分析2部分,对于流量嗅探设备软件本文使用python的软件开发语言,实现获取映射端口流量,并执行数据记录和标准化转换,以及系统体征总结。监测系统启动运行,工业交换机开启端口映射功能,试验设备接入映射端口,并启动python环境下的scapy软件模块来获上位机与下位机(分站)之间的数据流量情况。
3.2结果评价
(1)煤炭企业工控网络内生产和监测监控类系统较多,设计和部署实施工控网络安全防护过程中,还应当考虑对多个系统上位机之间进行安全隔离。(2)对工控环网中不加密的协议流量进行定向控制,实现端口对端口的传输。并在对控制系统设计过程中,系统的基因安全也是不可忽略的因素,应尽量采用可信计算、自主芯片和国产操作系统来实现。(3)基于大数据分析的思路,利用LM神经网络建模预测网络异常的方法,具有较强的分类功能,适合解决井下工控网络局部体征突发异常的预测预警问题。
3.3重要工控系统必须部署工控网络安全防护系统
重要工控系统部署的工控网络安全防护系统应具备以下特点:针对内置预埋代码,切断危害,进行应急处置;在安全区域、系统出口,加强预警防范;以不影响生产和生产安全为前提,注意数据保护和操作保护;对系统重要性识别、系统资产识别、系统脆弱性识别、系统威胁识别及系统风险识别等维度进行安全防护;采用软件防护、边界维护、PLC嵌入式代码防护、控制异常监测与阻断等措施进行立体防护;对工控系统进行无扰动实时在线修复,并启动安全应急系统,实现数字化、网络化、智能化环境中工业企业的工控网络安全。
3.4行为安全
煤矿工控系统的行为安全是指由外部攻击和内部误操作甚至恶意操作行为引起的安全问题,这些行为一般隐藏在正常的通信流量中、合法的操作行为中不易被察觉,所以需要通过对通信流量的检测、操作行为的控制与审计等一系列技术保护措施保障工控网络内的行为安全可信。(1)入侵行为检测。在煤矿生产控制大区内部部署网络入侵检测系统,通过合理设置检测规则,检测网络数据包的恶意代码或漏洞攻击的迹象,分析潜在威胁并进行安全审计。(2)应用控制。在煤矿生产控制大区内控制区内部和监测区内部部署应用控制系统,通过学习和合理设置安全规则,对规则以外的异常数据和操作行为进行告警,防止误操作。(3)安全审计。对生产控制大区内的操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为,并生成完整记录便于事件追溯。
结束语
放眼整个世界工业领域,自动化、智能化、网联化是工业控制系统的大势所趋,工控安全已经是不得不考虑的关键影响因素,越是重要的工控系统越需要加固安全。委内瑞拉水电站遭受攻击引发大规模断电,挪威铝业集团工业控制系统危机导致生产停滞,这些案例不断警示着我们,工控安全是一项长期斗争,要切实且全面抓好防护工作。我国是工业大国,更是工业控制系统应用大国,要不留死角地落实好工控安全防护任务,我们的工作模式就需要与时俱进的转变。相信在“放管服”改革思想指导下,充分宣传、引导、利用标准化服务这一有力武器能够实现既定目标,推动工控安全防护全面迈入“齐头并进”的新征程。
参考文献
[1]常红霞.工业控制系统网络安全防护建设[J].甘肃冶金,2018,40(06):127-128.
[2]柯巍.工业控制系统信息安全研究综述[A].中国计量协会冶金分会、《冶金自动化》杂志社.中国计量协会冶金分会2018年会论文集[C].中国计量协会冶金分会、《冶金自动化》杂志社:《冶金自动化》杂志社,2018:4.
[3]穆伟然.工控系统信息安全检查技术初探[J].中外企业家,2018(33):82-83.
[4]李冰.工业控制系统网络安全防护的思考[J].保密科学技术,2018(11):62-65.
论文作者:常化磊
论文发表刊物:《工程管理前沿》2019年5卷20期
论文发表时间:2019/12/2
标签:工控论文; 安全防护论文; 系统论文; 工业论文; 控制系统论文; 网络论文; 流量论文; 《工程管理前沿》2019年5卷20期论文;