(贵州鸭溪发电有限公司 贵州省遵义市 563000)
摘要:新时期发展下我国电力工业控制系统应用水平不断提高,这在一定程度上实现了工业化、信息化的转变。文章通过对工业控制系统进行分析,结合当前工业信息系统安全问题,探讨电力工业控制系统安全技术的方法措施,希望通过文章论述能够为相关工作提供一些参考。
关键词:电力控制;控制系统;工业控制;安全技术
引言
工业控制系统在工业生产和公共服务领域的广泛应用使其成为国家关键基础设施的重压组成部分。随着计算机技术在工业领域的不断渗透融合,制造业技术和生产效率于世瞩目,工业控制系统逐渐成为网络攻击的对象。当前工业控制系统安全事件在国内外频发,造成巨大经济损失和社会危害,得到各国政府与专家的高度重视,工业控制系统安全性问题的解决显得尤为重要和迫切。
1工业控制系统
工业控制系统安全包括功能安全、物理安全和信息安全3类。物理安全是减少系统环境因素造成的危害。功能安全是系统失效或故障时,能够保证系统处于安全状态且正常运行。信息安全是避免非授权对系统进行入侵、访问、操作、破坏,而确保被授权的各项权利不受阻止。从应用角度来看工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成。工业控制系统涉及管理级、过程级,同时包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。
2影响电力工业控制系统的风险因素
2.1工业控制系统设备问题
电力工业控制系统和传统的系统相比,系统在开启安全防护工作的过程中,更多将重点集中在生产设备中。电力系统中最重要的控制单元是终端生产设备,通过强行控制整体的生产运行,一定程度上可以有效监管系统中的数据信息。为了有效保障计算机设备整体的安全,需要加强对终端服务的控制与监督。电力工程系统网络在整体运行过程中,并没有适当的安全防护措施。当一些重大自然灾害来临时,很容易使系统中的设备受到损伤,进而会影响整个工业系统的运行。此外,由于在进行接地工作时没有得到正确的处理,系统会受到静电干扰,以至于造成系统的动荡。
2.2信息安全知识匮乏,没有安全运维规范
部分工业控制系统已经部署安全设施,如工业安全审计、工业防火墙、防病毒软件、主机卫士等,众多的安全技术与安全设备的应用却加重了运维人员负担。在当前工业信息安全形势下,安全事件时有发生,导致安全设备在工业控制网络中越来越普遍,而安全状况却不见好转。究其原因就是没有理想的安全运维机制以及对安全事件的关联性分析和评估分析,没有对安全事件处理的方法和流程。
2.3 传统的安全手段使用受限
由于工业控制系统的安全目标与传统IT系统的目标不同,导致一些原来对IT系统非常有效的安全手段在工业控制系统中并不适用,需要开发新的技术体系来应对日益复杂的安全挑战。例如对系统进行安全扫描,由于很多工业控制系统的网络协议对时延非常敏感,如果硬扫描,则可能会导致整个网络瘫痪,限制了安全扫描在工业控制系统中的应用。
3电力工业控制系统安全技术措施
3.1应用渗透验证技术
为了可以有效控制系统的终端通信工作,需要进一步应用自动化工具。对系统终端进行检测检修的过程中,可以应用漏洞扫描技术。该技术基于主机终端。
漏洞扫描技术主要是被动的工作形式,对电力行业工业控制系统并不会产生破坏性的结果,也不会更改系统中的文件属性,能够扫描出系统中存在漏洞。在网络大环境中安装管理器,可以有效扫描整个体系。控制台一般安装在终端主机中,以快速获取扫描漏洞的相关信息报告,以便更好地开展后期的扫描工作。
3.2网络安全隔离技术
网络隔离是保障电力工业控制系统网络安全较为有效的技术措施之一,该技术能够在断开网络连接的前提条件下,完成信息交互与资源共享。在电力工业控制系统网络安全防护中,可以对网络隔离装置进行合理运用,由此可使网络安全性得到大幅度提升,通过对网络隔离装置,能够对可疑的服务进行过滤,从而降低网络的安全风险。在应用网络隔离装置对控制系统进行保护时,要对通信协议进行优选,这样可以使整个网络环境变得更加安全。网络隔离装置能够对基于路由的攻击进行保护,如IP地址中的源路由攻击、重定向路径等等,当隔离装置发现上述攻击后,会做出主动防御,并发出提示。运用网络安全隔离技术,可以将电力工业控制系统与其他系统划分开,以此来实现网段隔离,并对系统中的安全漏洞进行隐藏。如,网络地址转换,该技术简称NAT,其能够指定一台设备对所有的外部链接进行管理,由于IP源地址发生改变,从而使得外界很难获取到主机的IP地址,这样控制系统的网络便不会受到来自于外部的攻击,网络安全性随之得到显著提升。
3.3安全计算环境
安全计算环境的防护从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护等方面开展。为了确保网络、安全、服务器、终端、应用系统、数据和其他设备等计算环境的安全,应对待登录用户身份进行鉴别,并具有登录失败处理能力,设置用户级别及操作权限,避免多余和过期用户的存在,具有恶意代码防范功能,确保数据的完整性和保密性。
3.4纵深防御体系
工业控制系统是一个复杂的系统,仅依赖于单一的安全技术和解决方案无法满足其信息安全需求,必须综合使用多种安全技术来提升系统的整体防御能力。基于此目的,美国国土安全部DHS提出了工业控制系统“纵深防御”战略,将工业控制网络划分为不同的安全区,部署防火墙、入侵检测等多种安全措施,形成整体防护能力。“纵深防御”体系得到了传统信息安全厂商的大力推崇,但是在实现过程中,大多数项目演变为信息安全产品的简单堆砌,并不能完全适应工业网络安全的特点。
3.5漏洞扫描与挖掘技术
工控系统漏洞扫描技术是指通过扫描及时发现可以利用的工控系统漏洞的一种技术。漏洞扫描技术可以帮助系统管理员及时发现系统中潜在的安全威胁,并快速排除这些安全问题。漏洞扫描技术可分为基于网络的漏洞扫描技术和基于主机的漏洞扫描技术。两种漏洞扫描技术都有一个共同的特点,即通过非破坏性、主动的方法检测系统漏洞。漏洞挖掘技术是指通过特定手段发掘系统漏洞的一种技术。和漏洞扫描技术不同的是漏洞挖掘技术发掘的是未知的漏洞。工控漏洞挖掘有动态测试和静态分析两种技术:动态测试技术是指在运行状态下采用模糊测试]、双向测试和风暴测试等手段进行的漏洞挖掘办法;静态测试是指在非运行状态下进行的漏洞挖掘技术,如静态代码审计、二进制比对及逆向分析等。
结语
综上所述,当前我国的科学技术在快速向前发展,电力工业行业朝着工业化和信息化方向发展。为了保障电力工业控制系统能够得到稳定运行,需要加强对系统信息的保护,加强对电力工业的基础建设。建设电力工业控制系统的过程中,需要根据具体的行业标准和要求开展相应的工作,全方位分析与研究系统,切实提高电力工业控制系统的运行水平,更好的应对网络环境、系统运行下的各种问题。
参考文献
[1]陶耀东,李宁,曾广圣.工业控制系统安全综述[J].计算机工程与应用,2016(52):18.
[2]华镕.工业控制网络中的防火墙[J].自动化博览,2018(4):58-60.
[3]赖英旭,刘增辉,蔡晓田,等.工业控制系统入侵检测研究综述[J].通信学报,2017(2).