推荐星级：

工业控制网络系统安全防护的思考

更新时间：2020-01-01 15:00:02 大小：3M 上传用户：xiaohei1810 查看TA发布的资源 标签：工业控制 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

工业控制网络系统的安全问题日益突出,目前所提出的各种解决方案,都存在一个共性问题,就是不能满足工业控制网络的可用性要求.从网络安全性、可靠性、可用性方面进行分析,提出采用终端集中管控技术和安全白名单技术的防御性安全策略来解决工业控制网络的安全问题的方法.

部分文件列表

文件名	大小
工业控制网络系统安全防护的思考.pdf	3M

立即下载

【关注B站账户领20积分】

部分页面预览

（完整内容请下载后查看）

工业控制网络系统安全防护的思考

Thoughts on security protection of industrial control network system

，

李小强¹陈涤新²

LI Xiao-qiang¹, CHEN Di-xin²

1.北京朋创天地科技有限公司北京 100089 2.北京市自动化物流装备工程技术研究中心北京 100007

）

（

，

；

，

摘要：工业控制网络系统的安全问题日益突出，目前所提出的各种解决方案，都存在一个共性问题，

就是不能满足工业控制网络的可用性要求。从网络安全性、可靠性、可用性方面进行分析，

提出采用终端集中管控技术和安全白名单技术的防御性安全策略来解决工业控制网络的安全

问题的方法。

关键词：工业控制网络；系统信息安全白名单技术虚拟化技术

中图分类号：TP309.2 文献标识码：A

文章编号：1009-0134(2017)06-0140-04

0 引言

远程终端单元（RTU）、智能电子设备（IED）等设备

之间的通信以及与上位系统设备的通信所采用的协议是

OPC、Modbus、Profinet、Profibus等；这些协议都是基

于TCP/IP协议标准；而监控管理层及以上的通信协议就

是TCP/IP协议标准的，两层网络之间所遵循的协议标准

是一致的。工业控制网络系统已经不再是一个“孤岛”

而是和企业网甚至互联网实现了互联互通。这也就意味

着，在传统办公网络中所出现的各种网络安全问题一样

工业控制系统是关系到国家基础设施运行的核心

大脑，是国家的关键信息。随着网络信息技术的发展、

随着信息化和工业化的深度融合和以太网技术的广泛应

用，工业控制系统在飞速发展的同时，系统安全风险日

益突出，信息安全问题成为了该领域关注的重点之一。

1 工业控制系统网络结构

随着网络信息技术

的发展，从最初的分立

元器件组成一个个控制

系统，发展到计算机集

中控制系统（CCS），

再到分散控制系统

（DCS），再到由如今

Sever

站

Sever

站

的现场总线控制系统

（FCS），工业控制系

统现在已发展到了由现

场控制层、监控管理层

和数据采集层的三层网

络架构。工业控制系统

（ICS）已经从独立分散

模式迈向互联互通的网

络控制模式，其结构如

图1所示。

控制器

在图 1 中，现场控

制层中的控制设备如可

编程控制器（PLC）、

图1 工业控制网络系统 ICS 三层网络结构示意图

（

）

收稿日期：2017-05-16

作者简介：李小强 1975

（

），

男

湖北人工程师本科主要从事工业控制网络信息安全研究

，，，，。

【140】第39卷第6期 2017-06

万方数据

会在工业控制网络系统出现，传统的工业控制系统在现

在的网络架构中不再是安全的，可靠的。因此如何保障工

业控制网络系统的安全是现在所面临的首要解决问题。

码的引入创造了条件。据了解，在相关机构的现场检查

中，就曾发现HMI上的USB口有智能手机接入，查原因

是现场工人为给手机充电将手机接到HMI的USB口上。

其他终端设备上也有违规接入外设的情况，而且非常普

遍。我们知道发生在伊朗核电站的“震网病毒”其实就

是因为一个移动存储设备的违规接入而导致的。其三，

无线设备在工业网络中应用也是越来越普及，很多无线

设备是直接与核心网络连接在一起的，而现在很多智能

设备也是带无线Wi-Fi功能，如果没有对这些Wi-Fi连接

进行有效管控，外部设备未经许可非法连接也是危害控

制网络安全的主要因素；第四，随着PLC技术的发展，

现在很多中大型PLC在性能上相当于一台计算机系统。

针对PLC的维护和故障诊断，很多维护人员都是直接将

笔记本连接到PLC上，这些笔记本同时也是公网进行连

接，这也导致控制网络随时处在恶意代码和黑客的威胁

之中。第五，工业通信协议的“私有性”导致传统信息

网络安全策略根本无法起到任何安全防护作用。增加任

何工控网络安全设备如工业防火墙、网闸等安全设备以

及部署查杀毒软件等这些只会增加网络传输延时、指令

或数据包的误审计而被隔离或者丢包，影响整个控制网

络系统的正常安全运行和可靠性，根本就不能保证控制

网络系统“可用性”要求。

2 传统网络的防护方法

如何解决工业控制网络系统的信息安全问题呢？

是不是将传统办公网络安全的解决办法移植过来就可行

呢？传统办公网络的信息安全解决方式有以下三种：

1）针对服务器等主机设备，主要采用的是在服务

器安装部署各种安全防护软件，同时部署安全访问策略

来限制访问权限；

2）针对网络系统，首先是基于不同网络设备的安

全要求将他们部署在不同的安全域中；其次在网络中部

署IDS/IPS，防火墙，堡垒机等网络安全设备；

3）针对终端设备就是在终端上安装防杀毒软件、

终端安全管理软件等。

3 工业网络对信息要求的特殊性及结构特点

3.1 工控网络和办公网络的差别

办公网络系统对于信息传输的要求是“安全性”、

“完整性”、“可用性”，“安全性”是第一位，信息

的传输首先要保证安全，而对于信息的可用性要求不

高；而工业控制网络系统对于信息传输的要求是“可用

性”、“完整性”、“安全性”，“可用性”是首位

的。在ICS系统中，信息传输的及时性要求非常高，这

是因为在ICS系统中所传输的信息都是现场各种实时信

号和实时指令，这些数据需要及时的传送，否则就会导

致设备执行出现偏差，从而导致设备故障、损害，甚至

人身伤害，直接导致企业出现经济损失等等。从可用性

要求来看，在ICS网络系统中，若部署各种安全设备，

必将改变网络结构，这将导致数据输送的延迟甚至丢

失；若部署安全软件，则可能引起对数据的误判而导致

数据延迟或丢失。所以ICS系统的网络安全必须区别于

传统办公信息网络的安全部署方案，以确保数据的可用

性作为首要要求。

鉴于上述种种对工控网络的安全威胁，我们可以

认识到任何改变工控网络的结构，增加安全设备或者部

署安全软件的网络安全策略都是会改变工控网络的可用

性，影响工控网络的正常、稳定、安全、可靠的运行，

这也是这些工业控制网络安全解决方案不被用户所接受

的主要原因。

4 基于终端虚拟化技术和安全白名单技术

的防御性策略安全解决方案

根据对现有的ICS系统的安全威胁的分析，并结合

ICS系统对于网络“可用性”是第一要求，可以发现所

有用户操作终端及各种接口是控制网络系统安全最大短

板，这点和在传统信息网络的用户操作终端是局域网的

安全边界相类似，那么从安全边界的积极防御性安全隔

离策略出发，提高网络边界的安全防御技术措施，并结

合有效的安全管理制度，就可以做好工业控制网络的安

全，保护控制网络不受各种恶意代码和黑客的危害，保

证控制网络的“可用性”和“安全性”。基于这一思

想，提出采用“围城”的方式，将所有的工控网络设备

包围在一个坚固的“城堡”内，将“城墙”做的坚固，

足以防止任何外来威胁入侵。对于有必要需要进出的地

方，像“城池”一样筑“城门”作为和外界沟通的唯一

渠道。因“城门”是“城堡”内外交流的通道，因此必

须部署重兵严防，做好“门禁”工作。所有进出“城堡”

3.2 工控网络系统的结构特点

首先分析下企业工控网络系统结构和所出现的安

全问题。在控制网络中，现场设备层的控制设备主要是

PLC、IPC以及HMI等设备，在现场监控层和数据采集

层除了各种服务器外，作为人机交互的就是工程师站、

操作员站、数据管理终端以及配套的外设。这些终端设

备就是控制网络的安全边界，主要体现在终端设备和服

务器及现场控制设备在逻辑上是直通的，数据可以直接

交换。其次，这些终端设备都有各种接口，尤其是USB

口，在方便移动存储设备的接入的同时也为各种恶意代

第39卷第6期 2017-06 【141】

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

最新上传

打赏
30日榜单

21ic小能手打赏5.00元 3天前

资料：YuToo墨水屏时钟
21ic小能手打赏5.00元 3天前

资料：项目总结：触摸电源
21ic小能手打赏5.00元 3天前

资料：STM32四轴飞行器单片机开发（原创）
21ic小能手打赏10.00元 3天前

资料：51单片机的智能手环（全套完整）程序仿真 PCB 报告原创
21ic小能手打赏10.00元 3天前

资料：51单片机八路抢答器设计（全套完整）程序仿真原理图演示视频报告原创
21ic小能手打赏10.00元 3天前

资料：51单片机厨房电子秤（全套）程序仿真 PCB 报告答辩PPT 原理图原创
21ic小能手打赏10.00元 3天前

资料：51单片机人体电子秤（全套）程序仿真 PCB 报告答辩PPT 原理图原创
21ic小能手打赏5.00元 3天前

资料：51单片机的光控路灯系统程序仿真原理图原创
21ic小能手打赏5.00元 3天前

资料：51单片机的农作物自动灌溉程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的大量程电压采集仿真程序
21ic小能手打赏5.00元 3天前

资料：STM32F103RCT6的离线升级和在线调试两种功能的CMSIS调试下载器
21ic小能手打赏5.00元 3天前

资料：51单片机的串口音乐和弹琴程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的秒表计时汇编.程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的两机远程控制程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的打乒乓球系统.程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的模拟停车场刷卡系统程序仿真原创
21ic小能手打赏5.00元 3天前

资料：51单片机的智能家居终端程序仿真原创
21ic小能手打赏5.00元 3天前

资料：红外接收管批量测试验证板
21ic小能手打赏5.00元 3天前

资料：STM32HAL库-freertos-SD卡-FATFS操作
21ic小能手打赏5.00元 3天前

资料：WS2815B功能验证+DMA+拖影功能+伽马校正
21ic小能手打赏5.00元 3天前

资料：GD32F103通过安卓屏升级固件源码

21ic小能手打赏10.00元 3天前

资料：51单片机的电梯系统仿真程序演示视频
21ic小能手打赏5.00元 3天前

资料：51单片机的简易计算器（程序+AD的PCB板子）
21ic小能手打赏5.00元 3天前

资料：51单片机的LED和点阵显示屏的实验程序仿真原创
21ic小能手打赏5.00元 3天前

资料：CMSIS和DAPlink调试器自制工具
21ic小能手打赏5.00元 3天前

资料：51单片机的光感传感器（可调阈值+LCD显示）程序仿真
21ic小能手打赏5.00元 3天前

资料：STM32的电子时钟设计程序仿真 PPT 报告讲解视频原创
21ic小能手打赏5.00元 3天前

资料：模电课设--多功能电子时钟 Mulitism实现报告
21ic小能手打赏5.00元 3天前

资料：51单片机的电子钟程序（清翔开发板实现）
21ic小能手打赏5.00元 3天前

资料：51单片机的交通灯程序仿真报告原理图原创
21ic小能手打赏5.00元 3天前

资料：51单片机多功能电子钟（带秒表显示湿度闹钟）-（仿真+代码
21ic小能手打赏5.00元 3天前

资料：51单片机的数字时钟（含AD原理图+程序）
21ic小能手打赏5.00元 3天前

资料：51单片机的电子密码锁程序仿真报告原创
21ic小能手打赏10.00元 3天前

资料：51单片机的洗衣机控制系统（全套）keil程序 proteus仿真报告原创
21ic小能手打赏5.00元 3天前

资料：51单片机的无线防丢报警器（全套）keil程序 proteus仿真答辩PPT 报告原创
21ic小能手打赏5.00元 3天前

资料：51单片机的自动灌溉系统（全套）keil程序 proteus仿真报告原创
21ic小能手打赏5.00元 3天前

资料：网线IAP方式更新STM32固件源码
21ic小能手打赏5.00元 3天前

资料：51单片机的智能窗帘(全套)[程序仿真答辩PPT 报告原创]
21ic小能手打赏5.00元 3天前

资料：51单片机的温控风扇(全套)[程序仿真答辩PPT 报告原创]
21ic小能手打赏5.00元 3天前

资料：STM32标准库-freertos-SD卡-FATFS操作

工业控制网络系统安全防护的思考

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

资料专题

推荐下载

专栏首页