序論:在您撰寫(xiě)控制系統(tǒng)網(wǎng)絡(luò)安全時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野��,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
根據(jù)馬太效應(yīng)��,隨著人類社會(huì)的飛速發(fā)展�����,未來(lái)城市發(fā)展將日趨巨大�,人口日趨密集。目前�,我國(guó)城市涉及民生公共服務(wù)等相關(guān)問(wèn)題日趨嚴(yán)重����。自IBM2008年提出智慧地球的概念后�����,利用智慧手段管理城市成為熱門(mén)話題之一��。為解決城市發(fā)展難題�����,實(shí)現(xiàn)城市可持續(xù)發(fā)展��,智慧城市的理念應(yīng)運(yùn)而生����。所謂智慧城市就是充分運(yùn)用工業(yè)自動(dòng)控制、城域網(wǎng)��、大數(shù)據(jù)分析技術(shù)��、云計(jì)算���、移動(dòng)支付等信息化和通信技術(shù)手段�,以數(shù)字化、智能分析�、整合城市運(yùn)營(yíng)的各項(xiàng)關(guān)鍵信息,從而實(shí)現(xiàn)智能化管理和運(yùn)營(yíng)各類城市公共服務(wù)�、民生生活和各類工商業(yè)活動(dòng),滿足人民日益增長(zhǎng)的美好生活需求����。在智慧城市的大框架下,智慧水務(wù)應(yīng)運(yùn)而生���。智慧水務(wù)是利用現(xiàn)代化技術(shù)將傳統(tǒng)水務(wù)的水源管理���、供水、排水��、水質(zhì)監(jiān)測(cè)���、污水處理及回收利用等所有涉水業(yè)務(wù)流程數(shù)字化管理[1],以達(dá)到優(yōu)化資源配置��、增強(qiáng)水資源利用效率���、滿足不同用戶的用水需求�、保障城市用水安全的目的。然而隨著現(xiàn)代化技術(shù)的廣泛應(yīng)用���,也帶來(lái)了新一輪的安全問(wèn)題���,即網(wǎng)絡(luò)空間安全問(wèn)題?�!皼](méi)有網(wǎng)絡(luò)安全����,就沒(méi)有國(guó)家安全”,網(wǎng)絡(luò)空間已成為繼陸?����?仗熘蟮牡谖蹇臻g����,網(wǎng)絡(luò)空間安全已經(jīng)上升到國(guó)家安全的高度[2]。我國(guó)在中央和各省市大力推進(jìn)智慧城市建設(shè)的過(guò)程中��,城市的網(wǎng)絡(luò)空間安全問(wèn)題研究顯得尤為重要���。正如前文所說(shuō)�����,智慧水務(wù)就是利用現(xiàn)代化技術(shù)將傳統(tǒng)水務(wù)的水源管理�����、供水���、排水�、水質(zhì)監(jiān)測(cè)����、污水處理及回收利用等所有涉水業(yè)務(wù)流程的數(shù)字化管理,這里的現(xiàn)代化技術(shù)包括工業(yè)自動(dòng)控制�、大數(shù)據(jù)分析、網(wǎng)絡(luò)支付等��。本文主要從工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的角度來(lái)探討智慧水務(wù)建設(shè)過(guò)程的網(wǎng)絡(luò)空間安全問(wèn)題�。
1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全
工業(yè)控制實(shí)際上是利用計(jì)算機(jī)設(shè)備控制工業(yè)過(guò)程,達(dá)到降低人力成本���,提高工作效率或是用以替代人類在惡劣環(huán)境工作����。傳統(tǒng)的工業(yè)控制系統(tǒng)是封閉系統(tǒng)��,即使出現(xiàn)安全問(wèn)題影響范圍也十分有限�����,例如一臺(tái)傳統(tǒng)的數(shù)控加工機(jī)床����,即使數(shù)控模塊出現(xiàn)了病毒,影響范圍也僅局限于這臺(tái)機(jī)床加工出來(lái)的產(chǎn)品�����,后續(xù)的質(zhì)量檢測(cè)可以很快發(fā)現(xiàn)問(wèn)題���。然而隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展��,工業(yè)控制系統(tǒng)已成為物聯(lián)網(wǎng)的主要組成部分�����,大多和國(guó)計(jì)民生相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)�����,包括基礎(chǔ)設(shè)施���、民生智慧城市�、先進(jìn)制造業(yè)和軍隊(duì)軍工等���。當(dāng)前以工業(yè)控制系統(tǒng)為基礎(chǔ)的工業(yè)網(wǎng)絡(luò)安全面臨著巨大威脅���,直接威脅到國(guó)家安全。從早期澳大利亞昆士蘭的馬盧奇污水處理廠事件(2000年3月)��、美國(guó)俄亥俄州Davis-Besse核電站SQLSlammer蠕蟲(chóng)病毒攻擊事件(2003年1月的)到最近的“超級(jí)電廠”病毒事件(2014年)����、烏克蘭的年“BlackEnergy”病毒事件(2015)、烏克蘭機(jī)場(chǎng)受攻擊事件(2016年)[3-4]都表明:工業(yè)控制系統(tǒng)不再安全�����,工業(yè)控制系統(tǒng)安全事件造成的社會(huì)影響也越來(lái)越大�����,大量證據(jù)表明工業(yè)安全事件背后有著巨大的經(jīng)濟(jì)利益和國(guó)家政治利益。
2智慧水務(wù)
智慧水務(wù)是智慧城市的重要組成之一��,智慧水務(wù)的建設(shè)過(guò)程中����,業(yè)務(wù)流程和工業(yè)控制息息相關(guān)��,例如利用傳感器獲取水源水質(zhì)信息或管網(wǎng)網(wǎng)水壓流量信息�����,通過(guò)自動(dòng)控制管網(wǎng)水量調(diào)節(jié)均衡不同區(qū)域用水�����,利用自動(dòng)控制排水開(kāi)關(guān)提高排水效率���,通過(guò)自動(dòng)控制污水處理流程來(lái)降低污水處理能耗和廢水再利用等�����。智慧水務(wù)建設(shè)中的工業(yè)控制網(wǎng)絡(luò)安全主要包括物理感知和數(shù)據(jù)采集安全����、設(shè)備自動(dòng)控制安全和安全管理安全等。
2.1物理感知和數(shù)據(jù)采集安全
物理感知和數(shù)據(jù)采集安全主要面向智慧水務(wù)基礎(chǔ)設(shè)施��,包括水源水質(zhì)監(jiān)測(cè)��、管網(wǎng)水壓監(jiān)測(cè)���、排水流量監(jiān)測(cè)等���,利用各類傳感設(shè)備將所需各類監(jiān)測(cè)信息采集并做基礎(chǔ)分析后傳回水務(wù)中心的過(guò)程。智慧水務(wù)中的感知監(jiān)測(cè)設(shè)備大多由成本低���、體積小���、能耗低和計(jì)算機(jī)資源有限的傳感器節(jié)點(diǎn)組成,監(jiān)測(cè)環(huán)境大多也比較惡劣�����,主要安全問(wèn)題包括感知節(jié)點(diǎn)易被破壞����、通信易受干擾、傳輸通道不穩(wěn)定不可靠、數(shù)據(jù)信息容易污染等[5]�����。物理感知和數(shù)據(jù)采集帶來(lái)的安全問(wèn)題大多是基礎(chǔ)數(shù)據(jù)源問(wèn)題���,會(huì)直接影響智慧水務(wù)的大數(shù)據(jù)分析結(jié)果及管理層的水務(wù)管理決策,嚴(yán)重的還可對(duì)民生產(chǎn)生重大影響���,可實(shí)現(xiàn)例如水源監(jiān)測(cè)點(diǎn)傳來(lái)水源污染錯(cuò)誤信息�����,很可能導(dǎo)致水務(wù)中心水源報(bào)警�,甚至關(guān)閉供水�����,由此造成的損失將不可估量�。物理感知和數(shù)據(jù)采集的安全問(wèn)題可從以下兩方面入手:(1)傳感感知節(jié)點(diǎn)采用信號(hào)防干擾技術(shù),根據(jù)不同需要和環(huán)境可采用防水防雷防腐蝕等措施����,條件允許的情況下采用冗余部署。(2)信號(hào)傳輸采用多種可靠傳輸方式,同時(shí)要采用信息加密防纂改和雙因子認(rèn)證�����,保證傳輸信息的來(lái)源合法和信息本身的完整性和安全性�����。
2.2設(shè)備自動(dòng)控制安全
智慧水務(wù)中的工業(yè)控制系統(tǒng)通過(guò)信號(hào)指令以弱電控制強(qiáng)電的方式來(lái)管控機(jī)械設(shè)備的運(yùn)作��,從網(wǎng)絡(luò)空間安全的角度來(lái)看���,設(shè)備自動(dòng)控制的安全主要有以下幾方面:(1)控制信號(hào)安全���,控制信號(hào)的來(lái)源分為兩種:一種直接從設(shè)備本身產(chǎn)生或設(shè)備上配套的感知原件產(chǎn)生,無(wú)需經(jīng)智慧水務(wù)管控中心處理�����;另一種是從智慧水務(wù)管控中心傳遞過(guò)來(lái)的控制信號(hào)�����。第一種控制信號(hào)的安全性和設(shè)備直接相關(guān)�����,需要保障信號(hào)可靠性,防止人為物理破壞�����。第二類控制信號(hào)需要從傳統(tǒng)網(wǎng)絡(luò)安全方面保障傳輸過(guò)程的可靠性和安全性�,同時(shí)需要在控制終端驗(yàn)證信號(hào)是否被纂改等。(2)弱電控制強(qiáng)電過(guò)程的安全性�。和水務(wù)業(yè)務(wù)相關(guān)的大型機(jī)械設(shè)備的啟停運(yùn)作,一般都是通過(guò)弱電信號(hào)來(lái)控制設(shè)備運(yùn)作動(dòng)力����,改變?cè)O(shè)備運(yùn)行方式等�。弱電控制強(qiáng)電過(guò)程中,存在的安全問(wèn)題主要有兩方面:一是控制裝置本身的安全性�����,是否具有電磁隔離能力�,是否具備防雷措施,控制裝置本身的可靠性主要采用冗余來(lái)保障����;二是強(qiáng)電能源動(dòng)力的安全性,是否具有良好的接地、觸電防護(hù)措施等���,強(qiáng)電本身的安全性需符合國(guó)家相關(guān)安全標(biāo)準(zhǔn)�。(3)機(jī)械設(shè)備運(yùn)作的安全性�。設(shè)備自動(dòng)控制的最終表現(xiàn)在于設(shè)備是否可以正常運(yùn)行,設(shè)備的正常運(yùn)行主要通過(guò)設(shè)備定期或不定期維檢來(lái)保障�,智慧水務(wù)建設(shè)也體現(xiàn)在設(shè)備運(yùn)行狀態(tài)的自動(dòng)采集和預(yù)警上,主要可通過(guò)設(shè)備的狀態(tài)傳感器實(shí)時(shí)傳遞設(shè)備狀態(tài)信息及時(shí)發(fā)現(xiàn)設(shè)備故障�����。
2.3安全管理
智慧水務(wù)建設(shè)過(guò)程中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)建設(shè)相較傳統(tǒng)網(wǎng)絡(luò)體系而言���,更多傾向于設(shè)備部署�,易使人們忽視安全管理����。實(shí)際上工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題更大程度是人為因素:一是基層工作人員相對(duì)素質(zhì)較低,在水務(wù)設(shè)備的安裝和巡檢過(guò)程中�����,麻痹大意��,忽視安全問(wèn)題;二是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)缺少日志自動(dòng)化管理�,需要人工建立臺(tái)賬。智慧水務(wù)建設(shè)過(guò)程需要提高安全管理意識(shí)�����,建立獨(dú)立的安全管理制度:一是加強(qiáng)日志管理和審計(jì)管理����,盡可能利用信息化手段管理日志,可設(shè)立專崗專管����。二是加大安全培訓(xùn)力度,提高基層工作人員的安全意識(shí)�,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告����。
3結(jié)語(yǔ)
"智慧水務(wù)"是現(xiàn)代化城市建設(shè)的必然趨勢(shì),智慧水務(wù)和國(guó)家網(wǎng)絡(luò)空間安全息息相關(guān)���。在建設(shè)初期����,提高安全意識(shí),建立安全管理制度�,加強(qiáng)每個(gè)環(huán)節(jié)的安全建設(shè),尤其是工業(yè)自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)���,至關(guān)重要��。本文主要分析了智慧水務(wù)建設(shè)過(guò)程的工業(yè)自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題�����,并給出了相應(yīng)的解決辦法���,對(duì)生產(chǎn)實(shí)踐具有一定的參考借鑒意義。
參考文獻(xiàn)
[1]卜云飛,閆健卓.基于大數(shù)據(jù)的智慧水務(wù)架構(gòu)研究[C]//中國(guó)自動(dòng)化大會(huì)(CAC2017)���,濟(jì)南:2017.
[2]張煥國(guó),韓文報(bào),來(lái)學(xué)嘉,等.網(wǎng)絡(luò)空間安全綜述[J].中國(guó)科學(xué):信息科學(xué)�,2016(2):125-164.
[3]谷神星網(wǎng)絡(luò)科技有限公司.工業(yè)控制網(wǎng)絡(luò)安全系列之四典型的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件[J].微型機(jī)與應(yīng)用��,2015�����,34(5):1�����,5.
[4]魏欽志.工業(yè)網(wǎng)絡(luò)控制系統(tǒng)的安全與管理[J].測(cè)控技術(shù),2013(2):87-92.
[5]旭日.無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)及運(yùn)用實(shí)踐微探[J].數(shù)碼世界���,2017(1):126-127.
[6]彭勇,江常表.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版)�����,2012���,52(10):1396-1408.
第2篇
1過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)與風(fēng)險(xiǎn)點(diǎn)
改革開(kāi)放以來(lái),我國(guó)石油化工企業(yè)的自動(dòng)化和信息化水平��,無(wú)論在裝備上���、技術(shù)水平上����、功能與規(guī)模上都有了較大的發(fā)展����。測(cè)量和控制裝置不斷更新升級(jí)��,DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]�����。而由DCS����、PLC和FCS等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)在石化行業(yè)中也得到了廣泛的應(yīng)用。
1.1過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)過(guò)程控制系統(tǒng)的網(wǎng)絡(luò)與傳統(tǒng)的IT網(wǎng)絡(luò)不同�����,具有以下特點(diǎn)���。1)較高的實(shí)時(shí)性和可靠性���。過(guò)程控制系統(tǒng)網(wǎng)絡(luò)主要需要保證所有傳輸數(shù)據(jù)的實(shí)時(shí)性以及網(wǎng)絡(luò)的可靠性,在傳輸過(guò)程中不允許有中斷出現(xiàn)����,需要整個(gè)傳輸過(guò)程始終在系統(tǒng)的可控范圍內(nèi),不能出現(xiàn)失控的狀態(tài)��。2)專有通信協(xié)議����。早先每一個(gè)過(guò)程控制系統(tǒng)供應(yīng)商都有自己獨(dú)自研發(fā)的專有通信協(xié)議���,但隨著過(guò)程控制系統(tǒng)的網(wǎng)絡(luò)面逐漸擴(kuò)大,而在彼此的通信傳輸中需要進(jìn)行轉(zhuǎn)換����,不同通訊協(xié)議導(dǎo)致的不便捷性逐漸顯露出來(lái)。近幾年隨著系統(tǒng)開(kāi)放性呼聲越來(lái)越高�,在行業(yè)內(nèi)部出現(xiàn)了一些開(kāi)放的公用的專有通信協(xié)議,例如OPC�,ModbusTCP,現(xiàn)場(chǎng)總線(Foundation/Hart/Profibus)等�����。3)相對(duì)的獨(dú)立性�。過(guò)程控制系統(tǒng)通常都是根據(jù)工藝設(shè)備的要求而進(jìn)行獨(dú)立設(shè)計(jì),所以無(wú)論從前期網(wǎng)絡(luò)設(shè)計(jì)到實(shí)際物理安裝����,整個(gè)控制系統(tǒng)網(wǎng)絡(luò)都是相當(dāng)獨(dú)立的,不會(huì)與其他任何應(yīng)用存在交聯(lián)部分�����。在與外界交互的通道上僅僅開(kāi)放OPCServer一個(gè)接口�,通過(guò)OPC工業(yè)通信協(xié)議與外部進(jìn)行數(shù)據(jù)交換。4)較長(zhǎng)的產(chǎn)品更新周期�����。過(guò)程控制系統(tǒng)產(chǎn)品不以追求設(shè)備的先進(jìn)性為目標(biāo)���,更多地是強(qiáng)調(diào)安全性與穩(wěn)定性����。所以結(jié)合實(shí)際工藝生產(chǎn)以及設(shè)備投資來(lái)進(jìn)行綜合考慮����,過(guò)程控制系統(tǒng)通常具有較長(zhǎng)的更新周期,這樣就導(dǎo)致系統(tǒng)操作平臺(tái)的安全漏洞得不到及時(shí)的維護(hù)���。5)與殺毒軟件兼容性差����。目前市場(chǎng)上的殺毒軟件廠商基本都是針對(duì)常用的應(yīng)用軟件進(jìn)行兼容性測(cè)試���,針對(duì)市場(chǎng)上使用頻率較高的軟件進(jìn)行病毒防治策略的研究��。而在網(wǎng)絡(luò)中基于Windows平臺(tái)上安裝的所有過(guò)程控制軟件�,幾乎沒(méi)有殺毒軟件廠商對(duì)其進(jìn)行過(guò)完整的兼容性測(cè)試。這種情況同樣也適應(yīng)于過(guò)程控制系統(tǒng)制造商���,各家控制系統(tǒng)制造商一般只認(rèn)可少數(shù)幾種防病毒軟件���,所以在工控領(lǐng)域的操作層級(jí)進(jìn)行統(tǒng)一部署防護(hù)策略是一件很困難的事。
1.2過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)點(diǎn)根據(jù)對(duì)過(guò)程控制系統(tǒng)結(jié)構(gòu)的分析�,通常易受病毒侵襲的主要風(fēng)險(xiǎn)點(diǎn)主要有“數(shù)據(jù)采集網(wǎng)絡(luò)的連接”,“先進(jìn)過(guò)程控制站的連接”���,“操作站”之間的三處連接�����。1)與數(shù)據(jù)采集網(wǎng)絡(luò)的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機(jī)�����,但無(wú)其他任何防護(hù)措施�。雖然OPC數(shù)據(jù)采集機(jī)采用雙網(wǎng)卡配置�����,并已經(jīng)將控制網(wǎng)與信息網(wǎng)進(jìn)行隔離,信息網(wǎng)已經(jīng)無(wú)法對(duì)控制網(wǎng)進(jìn)行操縱攻擊�,但是雙網(wǎng)卡結(jié)構(gòu)的配置��,對(duì)病毒的傳播沒(méi)有任何阻擋作用�����,所以來(lái)自上層信息網(wǎng)對(duì)控制網(wǎng)的病毒感染是目前的最大隱患�����。2)先進(jìn)控制過(guò)程站的病毒感染隱患例如先進(jìn)控制過(guò)程站通?���?梢杂绍浖?yīng)商進(jìn)行自由操作,先進(jìn)控制過(guò)程站本身并無(wú)任何防護(hù)措施����,具有較高的病毒感染風(fēng)險(xiǎn)。首先先進(jìn)控制過(guò)程站的安裝�����、調(diào)試、運(yùn)行一般需要較長(zhǎng)的時(shí)間�,而且需要項(xiàng)目工程師進(jìn)行不斷的調(diào)試、修改�����。期間先進(jìn)控制過(guò)程站需要頻繁與外界進(jìn)行數(shù)據(jù)交換��,這給先進(jìn)控制過(guò)程站本身帶來(lái)很大感染病毒的風(fēng)險(xiǎn)�。一旦先進(jìn)控制過(guò)程站受到病毒感染,其對(duì)實(shí)時(shí)運(yùn)行的控制系統(tǒng)安全會(huì)造成極大隱患����。另外先進(jìn)過(guò)程控制站是應(yīng)用OPC通信協(xié)議進(jìn)行數(shù)據(jù)通信的,所以采用常規(guī)IT策略(例如常規(guī)的通用防火墻)無(wú)法提供適宜的防護(hù)�����。3)操作站互相感染的隱患目前大多數(shù)操作站都運(yùn)行一個(gè)工作網(wǎng)絡(luò)中����,但在網(wǎng)絡(luò)內(nèi)部沒(méi)有采取任何有效防護(hù)措施。而工業(yè)平臺(tái)基本采用PC+Windows架構(gòu)��,同時(shí)也廣泛應(yīng)用以太網(wǎng)進(jìn)行連接�,TCP�,STMP��,POP3���,ICMP�����,Netbios等大量開(kāi)放的通信協(xié)議被廣泛應(yīng)用。但活躍在這些通訊協(xié)議上的木馬�����、蠕蟲(chóng)等計(jì)算機(jī)病毒也具有一定的規(guī)模��。目前普通的防火墻無(wú)法實(shí)現(xiàn)工業(yè)通信協(xié)議的過(guò)濾�,所以當(dāng)網(wǎng)絡(luò)中某個(gè)操作站或工程師站感染病毒時(shí),可能會(huì)馬上通過(guò)數(shù)據(jù)交換傳播到該工作網(wǎng)絡(luò)中的其他PC機(jī)上���,這就容易造成網(wǎng)絡(luò)上所有操作站同時(shí)發(fā)生故障��,嚴(yán)重時(shí)可導(dǎo)致所有操作站同時(shí)失控��,甚至造成不可估計(jì)的損失�。
2防護(hù)措施與建議
通過(guò)考慮石油化工過(guò)程控制系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)和安全設(shè)計(jì),同時(shí)參考保護(hù)層理論���,列出了硬件�、網(wǎng)絡(luò)通信預(yù)防手段��、殺毒軟件預(yù)防手段�����、網(wǎng)絡(luò)管理規(guī)章制度���、良好的個(gè)人工作習(xí)慣等多個(gè)“保護(hù)層”����,下圖為石油化工過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型����。圖1石油化工過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型根據(jù)上圖列出的各個(gè)風(fēng)險(xiǎn)點(diǎn),可以參考以下措施進(jìn)行有針對(duì)性的安全防護(hù)�。
2.1設(shè)置防火墻相關(guān)單位或部門(mén)應(yīng)該針對(duì)過(guò)程控制系統(tǒng)設(shè)置防火墻。防火墻是一項(xiàng)信息安全的防護(hù)系統(tǒng)�,依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)����。在網(wǎng)絡(luò)通信中采用防火墻����,它能允許系統(tǒng)預(yù)設(shè)的人員和數(shù)據(jù)(白名單)進(jìn)入你的網(wǎng)絡(luò)��,同時(shí)將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門(mén)外����,可以最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)公司內(nèi)部網(wǎng)絡(luò),在內(nèi)部網(wǎng)和外部網(wǎng)之間�����、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造一道保護(hù)屏障�����,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入���。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm��、瑞星個(gè)人防火墻��、卡巴斯基等均有完善的白名單以及黑名單設(shè)置,管理員可以根據(jù)相應(yīng)的軟件說(shuō)明書(shū)和自身狀況進(jìn)行詳細(xì)設(shè)置�。
2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過(guò)程控制系統(tǒng)工業(yè)計(jì)算機(jī)上安裝相應(yīng)的殺毒軟件,以降低電腦病毒��、特洛伊木馬和惡意軟件等感染計(jì)算機(jī)的概率���。殺毒軟件通常集成監(jiān)控識(shí)別�、病毒掃描和清除和自動(dòng)升級(jí)等功能�����,有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能���,是計(jì)算機(jī)防御系統(tǒng)(包含殺毒軟件����,防火墻�����,特洛伊木馬和其他惡意軟件的查殺程序��,入侵預(yù)防系統(tǒng)等)的重要組成部分。但是需要注意的是��,有的時(shí)候殺毒軟件會(huì)對(duì)工業(yè)計(jì)算機(jī)上的一些正常行為誤報(bào)為病毒或木馬�����。這時(shí)候就需要網(wǎng)絡(luò)安全管理人員在安裝殺毒軟件的同時(shí)����,將已確認(rèn)的工業(yè)正常行為錄入殺毒軟件的信任列表,以避免誤刪重要程序或?qū)е孪到y(tǒng)停機(jī)的情況發(fā)生�。
2.3建立完善的規(guī)章管理制度公司應(yīng)建立完善的網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章制度,安排專人(網(wǎng)絡(luò)安全管理人員)負(fù)責(zé)公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行工作���。同時(shí)設(shè)置一定的權(quán)限�����,以阻止管理員之外的人員進(jìn)行隨意操作與變更。
第3篇
關(guān)鍵詞:互聯(lián)網(wǎng)+ 工業(yè)控制系統(tǒng) 網(wǎng)絡(luò)安全
中圖分類號(hào):TU746 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)11-0206-01
隨著信息技術(shù)的發(fā)展�����,所有的傳統(tǒng)產(chǎn)業(yè)都在受到影響�,它使得整個(gè)傳統(tǒng)產(chǎn)業(yè)可以實(shí)現(xiàn)遠(yuǎn)程的智能化管理和控制,就像一個(gè)人有了神經(jīng)系統(tǒng)��。傳統(tǒng)產(chǎn)業(yè)同網(wǎng)絡(luò)信息技術(shù)的融合就構(gòu)成了物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)����、工業(yè)互聯(lián)網(wǎng)等一系列概念,不過(guò)這些概念的核心在于網(wǎng)絡(luò)互連�����。在網(wǎng)絡(luò)互連的大趨勢(shì)下�����,工業(yè)控制系統(tǒng)的互連也就成為必然要發(fā)生的趨勢(shì)�����。
1 “互聯(lián)網(wǎng)+”時(shí)代下工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題
網(wǎng)絡(luò)互連的優(yōu)勢(shì)在于能夠顯著提升生產(chǎn)力��,增強(qiáng)創(chuàng)新力�����,降低工業(yè)原材料以及生產(chǎn)能源的損耗��,推動(dòng)產(chǎn)業(yè)模式高效變革。但是���,網(wǎng)絡(luò)互連也帶來(lái)了安全問(wèn)題����,由于互聯(lián)而引發(fā)各種各樣的網(wǎng)絡(luò)安全問(wèn)題����,工業(yè)控制系統(tǒng)不斷遭遇著來(lái)自內(nèi)部和外部的各類網(wǎng)絡(luò)病毒的進(jìn)攻。今天���,工業(yè)控制系統(tǒng)受到的網(wǎng)絡(luò)攻擊已經(jīng)變成我們國(guó)家所遭受的最危險(xiǎn)的安全挑戰(zhàn)之一�。
工業(yè)控制系統(tǒng)最初設(shè)計(jì)的目的在于實(shí)現(xiàn)各類實(shí)時(shí)控制功能�,并沒(méi)能想到有關(guān)安全的問(wèn)題。今天��,這些都暴露在網(wǎng)絡(luò)上�����,這給它們所控制的例如像重要基礎(chǔ)設(shè)備����,關(guān)鍵系統(tǒng)等都造成了大量的危險(xiǎn)和隱患。近年來(lái)�����,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題多次出現(xiàn)����,因?yàn)楣I(yè)控制系統(tǒng)的安全觸及國(guó)家經(jīng)濟(jì)和人民生活,如果受到損害����,將會(huì)造成非常嚴(yán)重的后果。
比如�����,澳大利亞污水處理廠發(fā)生的安全問(wèn)題���,導(dǎo)致了大量的污水還沒(méi)有經(jīng)過(guò)凈化就被直接排到了大自然中�,引發(fā)了十分嚴(yán)重的環(huán)境污染�����。德國(guó)的一家鋼鐵廠曾經(jīng)受到一次網(wǎng)絡(luò)黑客入侵���,其侵入了鋼鐵廠的熔爐控制系統(tǒng)����,導(dǎo)致了熔爐控制系統(tǒng)停止工作一整天,據(jù)估計(jì)���,這一天的經(jīng)濟(jì)損失就超過(guò)了1.5億美元�����。伊朗布什爾核電站遭受的黑客攻擊導(dǎo)致其部分離心機(jī)損壞���,發(fā)生放射性物質(zhì)外泄,危害甚至達(dá)到了當(dāng)年的切爾諾貝利核電站事故�,直接造成了伊朗的戰(zhàn)略核計(jì)劃后退了兩整年。中東能源產(chǎn)業(yè)受到的網(wǎng)絡(luò)病毒攻擊���,造成了許多的重要信息外泄�,有可能引發(fā)大規(guī)模的網(wǎng)絡(luò)攻擊���。
大家可以看到�,世界上的許多國(guó)家都已經(jīng)將網(wǎng)絡(luò)安全當(dāng)作國(guó)家安全的一個(gè)關(guān)鍵環(huán)節(jié)�,而工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全又是其中最為重要的。首先����,在國(guó)家與國(guó)家的競(jìng)爭(zhēng)中,獲得了他國(guó)的重要基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)的關(guān)鍵信息�,在各國(guó)的網(wǎng)絡(luò)空間競(jìng)爭(zhēng)中就會(huì)占得先機(jī)。其次���,國(guó)際上出現(xiàn)的像恐怖組織�、極端勢(shì)力等在內(nèi)的非國(guó)家行為體��,不斷試圖利用正在發(fā)展的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全隱患來(lái)達(dá)到他們不可告人的目的����。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展及其與生俱來(lái)的開(kāi)放性特點(diǎn),造成攻擊難度以及代價(jià)不斷下降�����,工業(yè)控制系統(tǒng)已逐步變成今天各類非法組織����、個(gè)人等網(wǎng)絡(luò)攻擊的首要目標(biāo),而這就給我們國(guó)家的安全帶來(lái)了非常大的威脅����。
2 工業(yè)控制系統(tǒng)在線監(jiān)測(cè)能力的建設(shè)
面對(duì)“互聯(lián)網(wǎng)+”時(shí)代下工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題給我們國(guó)家的安全帶來(lái)了威脅����,我們需要掌握有哪些工業(yè)控制系統(tǒng)運(yùn)行在互聯(lián)網(wǎng)中��,有哪些產(chǎn)業(yè)���、哪些區(qū)域的工業(yè)控制系統(tǒng)運(yùn)行在互聯(lián)網(wǎng)中��,而且這些運(yùn)行在互聯(lián)網(wǎng)中的工業(yè)控制系統(tǒng)到底有怎樣的威脅�����?所以��,工業(yè)控制系統(tǒng)在線監(jiān)測(cè)能力的建設(shè)也就變成了當(dāng)務(wù)之急���。
為了解決網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的威脅,各國(guó)都特別重視工業(yè)控制系統(tǒng)的在線監(jiān)測(cè)能力��。2008年開(kāi)始��,美國(guó)國(guó)土安全部建立ProjectShine項(xiàng)目���,查詢?cè)诨ヂ?lián)網(wǎng)上互聯(lián)的所有工業(yè)控制系統(tǒng)設(shè)施及重要信息基礎(chǔ)設(shè)備��,到2012年為止��,已匯集了世界范圍內(nèi)的220多萬(wàn)條數(shù)據(jù)�。不只美國(guó)����,比如英國(guó),也都發(fā)展了本國(guó)的工業(yè)控制系統(tǒng)查詢?cè)O(shè)施來(lái)了解和查找本國(guó)以及別的國(guó)家的重要基礎(chǔ)設(shè)備�。
2013年初,我國(guó)工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所逐步進(jìn)行關(guān)鍵控制系統(tǒng)在線查詢監(jiān)測(cè)工作���,開(kāi)始構(gòu)建起關(guān)鍵控制系統(tǒng)在線監(jiān)測(cè)平臺(tái)���,對(duì)互聯(lián)在網(wǎng)絡(luò)上的關(guān)鍵工業(yè)控制系統(tǒng)實(shí)施安全監(jiān)測(cè)以及危險(xiǎn)警示工作,到今天已經(jīng)開(kāi)始形成了對(duì)關(guān)鍵工業(yè)控制系統(tǒng)的在線監(jiān)測(cè)能力�。在查詢我國(guó)關(guān)鍵工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施的前提下,工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所還自主開(kāi)發(fā)了關(guān)鍵工業(yè)控制系統(tǒng)在線監(jiān)測(cè)預(yù)警平臺(tái)��,研發(fā)了工業(yè)控制系統(tǒng)的在線搜索系統(tǒng)�。通過(guò)不斷查詢網(wǎng)絡(luò)信息,判斷出與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)指紋特征相符合的IP�,查詢運(yùn)行在互聯(lián)網(wǎng)上的關(guān)鍵工業(yè)控制系統(tǒng)的基本信息�。為了未來(lái)進(jìn)一步的開(kāi)展工作����,還開(kāi)發(fā)了與平臺(tái)配套的硬件化設(shè)備。當(dāng)前���,在線監(jiān)測(cè)預(yù)警平臺(tái)監(jiān)測(cè)的設(shè)施包括:工業(yè)控制設(shè)施:PLC�����、DCS���、RTU等等;智能設(shè)備:如當(dāng)前智慧城市中使用的視頻監(jiān)控設(shè)備等�。
經(jīng)過(guò)近些年來(lái)的工作,監(jiān)測(cè)平臺(tái)取得了部分階段性的成果��。到今天平臺(tái)已經(jīng)搜尋了十余類重要工控專用協(xié)議以及工控專有的網(wǎng)絡(luò)端口���;獲得了國(guó)內(nèi)外工業(yè)控制系統(tǒng)及設(shè)施的基礎(chǔ)情況�����、分布概況以及發(fā)展方向�����;增強(qiáng)了我國(guó)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的預(yù)警能力�;推動(dòng)重要基礎(chǔ)設(shè)施運(yùn)行企業(yè)增強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力;為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)以及預(yù)警提供重要保障����。
3 結(jié)語(yǔ)
“互聯(lián)網(wǎng)+”時(shí)代下�����,信息技術(shù)的發(fā)展推動(dòng)了傳統(tǒng)產(chǎn)業(yè)的創(chuàng)新和提升�,但是,隨之也帶來(lái)了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題�����,因此��,我們必須將工業(yè)控制系統(tǒng)在線監(jiān)測(cè)能力的建設(shè)及完善提上議事日程����,為我們國(guó)家的安全提供保障。
參考文獻(xiàn)
[1]陳月華,馮偉.“互聯(lián)網(wǎng)+”時(shí)代工業(yè)控制系統(tǒng)面臨新挑戰(zhàn)[J].中國(guó)科技投資��,2015(16):48-51.
[2]王德吉.“互聯(lián)網(wǎng)+”時(shí)代的“工業(yè)4.0”信息安全探索與實(shí)踐[J].自動(dòng)化博覽���,2015(z2).
第4篇
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分���,對(duì)保證工業(yè)安全、穩(wěn)定�����、可持續(xù)競(jìng)爭(zhēng)發(fā)展具有重要意義����。基于此����,文章從工業(yè)控制系統(tǒng)相關(guān)概述出發(fā),對(duì)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題���,以及當(dāng)今工業(yè)控制系網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化進(jìn)行了分析與闡述�,以供參考����。
關(guān)鍵詞:
工業(yè)控制系統(tǒng)���;網(wǎng)絡(luò)安全;防護(hù)體系
0引言
工業(yè)控制系統(tǒng)是我國(guó)工業(yè)領(lǐng)域建設(shè)中的重要組成部分�,在我國(guó)現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來(lái)我國(guó)工業(yè)信息化���、自動(dòng)化�����、智能化的創(chuàng)新與發(fā)展�,工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化���、智能化、數(shù)字化發(fā)展趨勢(shì)�����,并在我國(guó)工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中���,如能源開(kāi)發(fā)�����、水文建設(shè)���、機(jī)械制作生產(chǎn)�、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用��。因此����,在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下,對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義����,已成為當(dāng)今社會(huì)關(guān)注的重點(diǎn)內(nèi)容之一。
1工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(IndustrialControlSystem��,ICS)是由一定的計(jì)算機(jī)設(shè)備與各種自動(dòng)化控制組件�����、工業(yè)信息數(shù)據(jù)采集���、生產(chǎn)與監(jiān)管過(guò)程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]����。工業(yè)控制系統(tǒng)體系在通常情況下,大致可分為五個(gè)部分��,分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”�、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分(PLC/RTU)”、“分布式控制系統(tǒng)部分(DCS)”�、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分(SCADA)”以及“企業(yè)整體信息控制系統(tǒng)(EIS)”[2]。近年來(lái)��,在互聯(lián)網(wǎng)技術(shù)�����、計(jì)算機(jī)技術(shù)����、電子通信技術(shù)以及控制技術(shù),不斷創(chuàng)新與廣泛應(yīng)用的推動(dòng)下�,工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展��,工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計(jì)算機(jī)集約控制系統(tǒng)(CCS)”轉(zhuǎn)換為“分散式控制系統(tǒng)(DCS)”�����,并逐漸趨向于“生產(chǎn)現(xiàn)場(chǎng)一體化控制系統(tǒng)(FCS)”的創(chuàng)新與改革發(fā)展。目前�,隨著我國(guó)工業(yè)領(lǐng)域的高速發(fā)展,工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)�、鋼鐵行業(yè)、石油化工行業(yè)��、交通建設(shè)行業(yè)���、城市電氣工程建設(shè)行業(yè)��、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中����,其安全性�、穩(wěn)定性、優(yōu)化性運(yùn)行對(duì)我國(guó)經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定具有重要影響作用���。
2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅
2.1工業(yè)控制系統(tǒng)本身存在的問(wèn)題
由于工業(yè)控制系統(tǒng)是一項(xiàng)綜合性��、技術(shù)復(fù)雜性的控制體系�,且應(yīng)用領(lǐng)域相對(duì)較廣��。因此���,在設(shè)計(jì)與應(yīng)用過(guò)程中對(duì)工作人員具有較高的要求����,從而導(dǎo)致系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患。
2.2外界網(wǎng)絡(luò)風(fēng)險(xiǎn)滲透問(wèn)題
目前�,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用,已成為時(shí)展的必然趨勢(shì)�����,在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時(shí)����,對(duì)于數(shù)據(jù)信息的采集、分析與管理�,需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過(guò)程中����,工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中,而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問(wèn)題�,這在一定程度上將會(huì)導(dǎo)致工業(yè)控制系統(tǒng)受到來(lái)自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響�����,從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題�����。例如����,“百度百科”網(wǎng)站,通過(guò)利用SHODAN引擎進(jìn)行OpenDirectory搜索時(shí)�,將會(huì)獲得八千多個(gè)處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息,一旦出現(xiàn)黑客或人為惡意攻擊����,將為網(wǎng)站管理系統(tǒng)帶來(lái)嚴(yán)重的影響[3]。
2.3OPC接口開(kāi)放性以及協(xié)議漏洞存在的問(wèn)題
由于工業(yè)控制系統(tǒng)中����,其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的,因此��,在既定環(huán)境下��,工業(yè)過(guò)程控制標(biāo)準(zhǔn)OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強(qiáng)的開(kāi)放性[4]����。當(dāng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行操作時(shí)��,基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失�,加之OPC協(xié)議����、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風(fēng)險(xiǎn)因素的攻擊與干擾��,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)��。
2.4工業(yè)控制系統(tǒng)脆弱性問(wèn)題
目前����,我國(guó)多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問(wèn)題,致使工業(yè)控制系統(tǒng)具有“脆弱性”特征���,例如�,網(wǎng)絡(luò)配置問(wèn)題����、網(wǎng)絡(luò)設(shè)備硬件問(wèn)題、網(wǎng)絡(luò)通信問(wèn)題����、無(wú)線連接問(wèn)題���、網(wǎng)絡(luò)邊界問(wèn)題����、網(wǎng)絡(luò)監(jiān)管問(wèn)題等等[5]。這些問(wèn)題����,在一定程度上為網(wǎng)絡(luò)信息風(fēng)險(xiǎn)因素的發(fā)生提供了可行性,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題����。
3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用����,同時(shí)也需要相關(guān)部門(mén)(如,設(shè)備生產(chǎn)廠家���、政府結(jié)構(gòu)����、用戶等)基于自身實(shí)際情況與優(yōu)勢(shì)加以輔助,從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化����、全方位的構(gòu)建。
3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力
首先��,構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略:安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)與執(zhí)行的重要前提條件�����,對(duì)保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用��。對(duì)此��,相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問(wèn)題���,在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢(shì)的基礎(chǔ)上�,有針對(duì)性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略���,用以保證工業(yè)控制系統(tǒng)安全設(shè)計(jì)����、操作�、管理�����、養(yǎng)護(hù)維修規(guī)范化����、系統(tǒng)化����、全面化��、標(biāo)準(zhǔn)化施行����。例如,基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理�,結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求,對(duì)工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級(jí)”���,用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項(xiàng)漏洞危機(jī)[6]��。在此過(guò)程中����,設(shè)計(jì)人員以及相關(guān)工作者應(yīng)通過(guò)“試驗(yàn)測(cè)驗(yàn)”的方式,為工業(yè)控制系統(tǒng)營(yíng)造仿真應(yīng)用環(huán)境�����,并在此試驗(yàn)環(huán)境中對(duì)系統(tǒng)進(jìn)行反復(fù)測(cè)驗(yàn)�、審核、評(píng)價(jià)��,并對(duì)系統(tǒng)核心配置����、代碼進(jìn)行備份處理,在保證補(bǔ)丁的全面化升級(jí)的同時(shí)���,降低升級(jí)過(guò)程中存在的潛在風(fēng)險(xiǎn)����。其次��,注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建:網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行����,對(duì)降低工業(yè)控制系統(tǒng)外界風(fēng)險(xiǎn)具有重要意義。對(duì)此��,相關(guān)設(shè)計(jì)與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上,制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案�,并給予有效應(yīng)用。通常情況下���,工業(yè)控制系統(tǒng)設(shè)計(jì)人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求�����,對(duì)系統(tǒng)所需設(shè)備進(jìn)行整理���,并依據(jù)整理內(nèi)容進(jìn)行具體測(cè)評(píng)與調(diào)試��,用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮�����,避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問(wèn)題的產(chǎn)生����;根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對(duì)隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃(包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域��、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域���、工業(yè)控制系統(tǒng)安全隔離區(qū)域等)�����,并針對(duì)不同區(qū)域情況與待保護(hù)程度要求�,采用相應(yīng)的舉措進(jìn)行改善,實(shí)現(xiàn)不同風(fēng)險(xiǎn)的不同控制[7]���。與此同時(shí)����,構(gòu)建合理�、有效的物理層防護(hù)體系:實(shí)踐證明,物理層防護(hù)體系的構(gòu)建(物理保護(hù))����,對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用,是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項(xiàng)目��,也是核心項(xiàng)目����,對(duì)工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化,具有決定性作用����。因此�,在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計(jì)時(shí)�����,設(shè)計(jì)人員以及相關(guān)企業(yè)應(yīng)注重對(duì)工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化�。例如,通過(guò)配置企業(yè)門(mén)禁體系�,用以避免外來(lái)人員對(duì)工業(yè)現(xiàn)場(chǎng)的侵害;依據(jù)企業(yè)特色�,配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備,如備用發(fā)電機(jī)���、備用操作工具、備用電線���、備用油庫(kù)等�����,用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計(jì)或生產(chǎn)出現(xiàn)問(wèn)題�;通過(guò)配置一定的監(jiān)測(cè)管理方案或設(shè)施���,對(duì)系統(tǒng)進(jìn)行一體化監(jiān)管�����,用以及時(shí)發(fā)現(xiàn)問(wèn)題(包括自然風(fēng)險(xiǎn)因素�、設(shè)備生產(chǎn)安全風(fēng)險(xiǎn)因素等)并解決問(wèn)題,保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性���。此外��,加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治:設(shè)計(jì)工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問(wèn)題����,可通過(guò)換位思考的形式�����,對(duì)已經(jīng)設(shè)計(jì)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測(cè)評(píng)����,并從對(duì)方的角度進(jìn)行思考,制定防護(hù)對(duì)策���,用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性���。
3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力
工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)�,作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者����,應(yīng)提升自身對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的重視程度,從而在生產(chǎn)過(guò)程中保證工業(yè)控制系統(tǒng)的質(zhì)量��。與此同時(shí)�����,系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計(jì)技術(shù)與經(jīng)驗(yàn)的基礎(chǔ)上�,強(qiáng)化自身綜合能力與開(kāi)發(fā)水平,保證工業(yè)控制系統(tǒng)緊跟時(shí)展需求�,推動(dòng)工業(yè)控制系統(tǒng)不斷創(chuàng)新,從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險(xiǎn)��。
3.3加大政府扶持與監(jiān)管力度
由上述分析可知�,工業(yè)控制系統(tǒng)在我國(guó)各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用�,并占據(jù)著重要的地位,其安全性�、穩(wěn)定性、創(chuàng)新性��、優(yōu)化性對(duì)我國(guó)市場(chǎng)經(jīng)濟(jì)發(fā)展與社會(huì)的穩(wěn)定具有直接影響作用。由此可見(jiàn)��,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建����,不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問(wèn)題,政府以及社會(huì)等外部體系的構(gòu)建同樣具有重要意義����。對(duì)此,政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會(huì)責(zé)任的執(zhí)行����,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督,促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建��。例如��,通過(guò)制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施��,用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生��;通過(guò)制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則�����,嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性,加大自身維權(quán)效益�。
4結(jié)論
綜上所述,本文針對(duì)“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上�,分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題,并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的基礎(chǔ)上��,提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化對(duì)策�����,以期對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解�,從而促進(jìn)我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。
參考文獻(xiàn):
[1]王棟,陳傳鵬,顏佳,郭靚,來(lái)風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016(2):6-11.
[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢(qián)秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.
[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.
[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場(chǎng),2013(6):314.
[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對(duì)策研究[J].保密科學(xué)技術(shù),2013(4):16-21.
第5篇
Abstract: The paper mainly introduces the components and the related technology of network security access control system and explores the application of this technology on railway information system.
關(guān)鍵詞:網(wǎng)絡(luò)安全;準(zhǔn)入控制;鐵路
Key words: network security; access control; railway
中圖分類號(hào):TP319文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)27-0170-01
0引言
隨著網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜,國(guó)家對(duì)鐵路信息系統(tǒng)的安全級(jí)別提高到了《信息安全等級(jí)保護(hù)》的范疇,這就意味著鐵路信息系統(tǒng)需要進(jìn)一步提高安全等級(jí)�。為此,鐵路部門(mén)非常重視各種信息系統(tǒng)的安全建設(shè)。
現(xiàn)有鐵路各信息系統(tǒng)中一般都部署了防病毒�、補(bǔ)丁分發(fā)等安全措施,起到了一定的網(wǎng)絡(luò)安全防護(hù)作用。但隨著網(wǎng)絡(luò)的發(fā)展,這些單個(gè)���、相對(duì)靜態(tài)的防護(hù)措施如何能夠進(jìn)一步的增強(qiáng)和擴(kuò)展,如何能夠有效的結(jié)合在一起提高系統(tǒng)安全性,達(dá)到國(guó)家對(duì)鐵路系統(tǒng)的安全要求,這就是需要探討的網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)�����。
1網(wǎng)絡(luò)安全準(zhǔn)入控制技術(shù)概述
網(wǎng)絡(luò)安全準(zhǔn)入控制的核心概念是從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手,結(jié)合認(rèn)證服務(wù)器,安全策略服務(wù)器和網(wǎng)絡(luò)設(shè)備,以及第三方防病毒、系統(tǒng)補(bǔ)丁等服務(wù)器,完成對(duì)接入終端用戶的強(qiáng)制認(rèn)證和安全策略應(yīng)用,從而保障網(wǎng)絡(luò)安全。
現(xiàn)今,思科��、賽門(mén)鐵克�����、H3C等廠家已有成熟的網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng),可以支持常見(jiàn)的準(zhǔn)入控制�����、安全管理�����、防病毒�����、補(bǔ)丁分發(fā)�����、ACL(訪問(wèn)控制列表)下發(fā)�����、防ARP攻擊、U盤(pán)外設(shè)管理等功能���。其可以實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的接入控制��、可視化和動(dòng)態(tài)的管理,增強(qiáng)系統(tǒng)的高安全���。
2鐵路系統(tǒng)應(yīng)用方案
對(duì)于鐵路各信息系統(tǒng)應(yīng)用網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng),只需增加安全策略服務(wù)器、認(rèn)證服務(wù)器,并結(jié)合已有的防病毒�、補(bǔ)丁分發(fā)、網(wǎng)絡(luò)設(shè)備等,即可進(jìn)行無(wú)縫����、有效的整合,形成一套聯(lián)動(dòng)的系統(tǒng),實(shí)現(xiàn)準(zhǔn)入控制等強(qiáng)大的功能。
2.1 鐵路信息系統(tǒng)現(xiàn)狀鐵路行業(yè)各信息系統(tǒng)的網(wǎng)絡(luò)構(gòu)架以典型的E1環(huán)形網(wǎng)絡(luò)為主,網(wǎng)絡(luò)接入節(jié)點(diǎn)為車(chē)站,核心節(jié)點(diǎn)一般為鐵路局�����。鐵路信息系統(tǒng)具備常用的防病毒和漏洞補(bǔ)丁等安全設(shè)備,可以起到對(duì)網(wǎng)內(nèi)固定的計(jì)算機(jī)�����、服務(wù)器等設(shè)備進(jìn)行病毒防護(hù)和補(bǔ)丁升級(jí),但對(duì)于系統(tǒng)中是否有其他終端接入,接入的終端設(shè)備是否合法,合法用戶終端系統(tǒng)是否安全等并未做更進(jìn)一步的控制���。
2.2 網(wǎng)絡(luò)安全準(zhǔn)入控制實(shí)現(xiàn)方式網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)以既有系統(tǒng)網(wǎng)絡(luò)為基礎(chǔ),在網(wǎng)絡(luò)核心交換機(jī)處設(shè)置隔離區(qū),增加安全策略和認(rèn)證服務(wù)器,并利舊補(bǔ)丁分發(fā)和防病毒服務(wù)器���。隔離區(qū)中服務(wù)器與既有服務(wù)器群采用不同VLAN子網(wǎng)隔離開(kāi)來(lái)�。在既有車(chē)站路由器開(kāi)啟802.1x通用認(rèn)證協(xié)議�。
2.2.1 系統(tǒng)構(gòu)成��。①安全策略服務(wù)器及安全客戶端�。②認(rèn)證服務(wù)器。③防病毒���、補(bǔ)丁分發(fā)服務(wù)器�����。④網(wǎng)絡(luò)設(shè)備�����。
2.2.2 系統(tǒng)要求����。用戶終端計(jì)算機(jī)必須安裝準(zhǔn)入控制系統(tǒng)客戶端軟件,在接入網(wǎng)絡(luò)前首先要進(jìn)行802.1x和安全認(rèn)證,否則將不能接入網(wǎng)絡(luò)或者只能訪問(wèn)隔離區(qū)的資源���。在接入路由器或交換機(jī)中要部署802.1x認(rèn)證,結(jié)合認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng),強(qiáng)制進(jìn)行基于用戶的802.1x認(rèn)證和動(dòng)態(tài)ACL�、VLAN控制。安全策略服務(wù)器中配置用戶的服務(wù)策略��、接入策略�����、安全策略,用戶進(jìn)行802.1x認(rèn)證時(shí),由安全策略服務(wù)器驗(yàn)證用戶身份的合法性,并基于用戶角色(服務(wù))向安全客戶端下發(fā)安全評(píng)估策略(如檢查病毒庫(kù)版本�����、補(bǔ)丁安裝情況等),完成身份和安全評(píng)估后,由安全策略服務(wù)器確定用戶的ACL��、VLAN以及病毒監(jiān)控策略等�。防病毒、漏洞補(bǔ)丁服務(wù)器部署于隔離區(qū)����。
2.2.3 流程說(shuō)明。①用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證,確認(rèn)是合法用戶后,安全客戶端還要檢測(cè)病毒軟件和補(bǔ)丁安裝情況,上報(bào)安全策略服務(wù)器��。②安全策略服務(wù)器檢測(cè)補(bǔ)丁安裝���、病毒庫(kù)版本等是否合格�����。③安全策略服務(wù)器通知接入設(shè)備,將該用戶的訪問(wèn)權(quán)限限制到隔離區(qū)內(nèi)���。此時(shí),用戶只能訪問(wèn)補(bǔ)丁服務(wù)器���、防病毒服務(wù)器等安全資源,因此不會(huì)受到外部病毒和攻擊的威脅。④安全客戶端通知用戶進(jìn)行補(bǔ)丁和病毒庫(kù)的升級(jí)操作�����。⑤用戶升級(jí)完成后,可重新進(jìn)行安全認(rèn)證�����。⑥如果用戶補(bǔ)丁升級(jí)不成功,用戶仍然無(wú)法訪問(wèn)其他網(wǎng)絡(luò)資源,可進(jìn)行相應(yīng)檢測(cè)�����。⑦用戶可以正常訪問(wèn)其他授權(quán)(ACL����、VLAN)的網(wǎng)絡(luò)資源����。
2.3 實(shí)施效果①由于接入節(jié)點(diǎn)路由器或交換機(jī)對(duì)端口部署了802.1x認(rèn)證,所有非法用戶將不能訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)��。并且認(rèn)證通過(guò)前,用戶終端之間無(wú)法實(shí)現(xiàn)互訪(前提是車(chē)站交換機(jī)支持802.1x,如果是在路由器實(shí)現(xiàn)802.1x則無(wú)法控制車(chē)站內(nèi)的終端之間互訪)�。②合法用戶接入網(wǎng)絡(luò)后,其訪問(wèn)權(quán)限受路由器或交換機(jī)中的ACL控制�。特定的服務(wù)器只能由被授權(quán)的用戶訪問(wèn)。③合法用戶接入網(wǎng)絡(luò)后,其互訪權(quán)限受路由器控制,實(shí)現(xiàn)對(duì)終端接入網(wǎng)絡(luò)訪問(wèn)控制�����。④用戶正常接入網(wǎng)絡(luò)前,必須通過(guò)安全客戶端的安全檢查,確保沒(méi)有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)����。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)。⑤通過(guò)使用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)客戶端軟件,可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格管理,比如禁止U盤(pán)�、禁止光驅(qū)等。
3網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)優(yōu)勢(shì)
①系統(tǒng)整合后將安全防范由靜態(tài)轉(zhuǎn)向動(dòng)態(tài)方式,對(duì)于所有網(wǎng)絡(luò)接入用戶可實(shí)現(xiàn)接入控制和監(jiān)控,及時(shí)發(fā)現(xiàn)非法接入情況,對(duì)整個(gè)系統(tǒng)實(shí)現(xiàn)“透明可視”,降低了系統(tǒng)風(fēng)險(xiǎn)��。②系統(tǒng)整合后將以往部署的防病毒����、補(bǔ)丁分發(fā)功能進(jìn)一步的功能擴(kuò)大,可實(shí)現(xiàn)對(duì)于既有系統(tǒng)正常用戶進(jìn)行“體檢”,發(fā)現(xiàn)其安全缺陷,而進(jìn)一步的進(jìn)行修復(fù),更加智能化,同時(shí)帶來(lái)的是更高的安全性。③該系統(tǒng)可以無(wú)縫的直接整合在既有系統(tǒng)中,具備一定的兼容和適用性����。④整合現(xiàn)有防病毒、補(bǔ)丁分發(fā)、終端操作系統(tǒng)管理維護(hù)等功能,進(jìn)行集中�����、統(tǒng)一管理和維護(hù),減少維護(hù)管理工作量���。
4結(jié)束語(yǔ)
網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)旨在整合現(xiàn)有資源,全面�����、可靠的保證系統(tǒng)安全性和可靠性��。在鐵路信息系統(tǒng)應(yīng)用,可以以較少的投入實(shí)現(xiàn)高安全性、可視化和動(dòng)態(tài)防護(hù)的功能�。同時(shí),對(duì)于鐵路各信息系統(tǒng)之間的訪問(wèn)控制,則可以新增或利舊既有的防火墻、網(wǎng)閘來(lái)實(shí)現(xiàn)安全隔離訪問(wèn),進(jìn)一步完善系統(tǒng)間的安全性�。
隨著國(guó)家鐵路信息化安全建設(shè)的推進(jìn),網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)以其全面、高效���、安全的特點(diǎn),必將在行業(yè)內(nèi)得到應(yīng)用和推廣�����。
參考文獻(xiàn):
[1]H3C EAD終端準(zhǔn)入控制解決方案[Z].2010,3.
第6篇
關(guān)鍵詞:工業(yè)控制系統(tǒng);安全威脅;無(wú)線網(wǎng)絡(luò)安全
工業(yè)控制系統(tǒng)包括了多種控制系統(tǒng)�,是對(duì)監(jiān)控?cái)?shù)據(jù)采集系統(tǒng)(SCADA)���、可編程邏輯控制器(PLC)�、分布式控制系統(tǒng)(DCS)等控制系統(tǒng)的總稱。工業(yè)控制系統(tǒng)在國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中廣泛運(yùn)用����,是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)的基礎(chǔ)。隨著無(wú)線網(wǎng)絡(luò)技術(shù)運(yùn)用到工控系統(tǒng)中��,無(wú)線網(wǎng)絡(luò)的安全問(wèn)題便備受關(guān)注����。無(wú)線網(wǎng)絡(luò)的開(kāi)放性和脆弱性使得工控系統(tǒng)容易遭受惡意攻擊和竊聽(tīng)、詐騙等安全威脅�����,加強(qiáng)工業(yè)控制系統(tǒng)無(wú)線網(wǎng)絡(luò)安全具有重要意義�。基于現(xiàn)今主要安全防護(hù)策略����,從密鑰管理、加密算法和路由層安全技術(shù)三方面來(lái)提升工控系統(tǒng)中無(wú)線網(wǎng)絡(luò)的安全度�����。
1.工業(yè)控制系統(tǒng)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題
工業(yè)控制系統(tǒng)對(duì)國(guó)家社會(huì)生活有關(guān)鍵作用,交通���、工業(yè)���、能源、市政等都離不開(kāi)工控系統(tǒng)的支持和運(yùn)作���。無(wú)線網(wǎng)絡(luò)應(yīng)用于工控系統(tǒng)大大方便了國(guó)民基礎(chǔ)設(shè)施的正常運(yùn)行��,但由于無(wú)線網(wǎng)絡(luò)的公開(kāi)性和目前技術(shù)的限制��,工控系統(tǒng)中無(wú)線網(wǎng)絡(luò)面臨許多潛在的安全威脅�,如惡意攻擊���、無(wú)線網(wǎng)絡(luò)系統(tǒng)本身落后等,一旦工控系統(tǒng)遭遇不良破壞和干預(yù)�����,整個(gè)國(guó)民基礎(chǔ)設(shè)施便會(huì)處于癱瘓狀態(tài)���,給國(guó)民經(jīng)濟(jì)和生活帶來(lái)巨大障礙和損失��。
1.1惡意攻擊
惡意攻擊是指工控系統(tǒng)遭受到人為的破壞和干擾���,對(duì)工控系統(tǒng)安全造成嚴(yán)重威脅的行為�。這類攻擊可以分為兩種��,即主動(dòng)攻擊和被動(dòng)攻擊���。一般而言��,主動(dòng)攻擊包括通過(guò)偽造病毒并發(fā)送到目標(biāo)計(jì)算機(jī)系統(tǒng)中���,實(shí)現(xiàn)攻破、侵占的目的���。而不驚動(dòng)目標(biāo)計(jì)算機(jī)系統(tǒng)���,在不知不覺(jué)中直接獲取計(jì)算機(jī)內(nèi)的重要信息和數(shù)據(jù)的行為屬于被動(dòng)攻擊。惡意攻擊會(huì)流失基礎(chǔ)設(shè)施運(yùn)轉(zhuǎn)的資料和信息���,易被不法分子利用�����,對(duì)國(guó)家生活安全造成嚴(yán)重威脅����。
1.2無(wú)線網(wǎng)絡(luò)系統(tǒng)自身的落后性
無(wú)線網(wǎng)絡(luò)技術(shù)目前處于新興時(shí)期,所以無(wú)線網(wǎng)絡(luò)運(yùn)用在工控系統(tǒng)中突顯了它自身的技術(shù)缺陷�。首先,計(jì)算��、存儲(chǔ)能力不足�,工業(yè)控制現(xiàn)場(chǎng)采用的大多是嵌入式CPU,這種CPU存儲(chǔ)空間相對(duì)較小���、計(jì)算能力有限���,無(wú)法承擔(dān)大型的數(shù)據(jù)計(jì)算任務(wù)。另外��,無(wú)線網(wǎng)絡(luò)的能量消耗較大�����,而工業(yè)控制現(xiàn)場(chǎng)的終端設(shè)備不需要人工監(jiān)控��,為設(shè)備充電和更換電池的做法都不具有可行性�����,所以在保障無(wú)線網(wǎng)絡(luò)安全時(shí)要考慮低消耗問(wèn)題����。最后,節(jié)點(diǎn)分布的任意性使得無(wú)法確定節(jié)點(diǎn)與節(jié)點(diǎn)之間的位置和距離�。
1.3抗攻擊能力弱
傳感器節(jié)點(diǎn)是工控系統(tǒng)中無(wú)線網(wǎng)絡(luò)安全的關(guān)鍵組成部分,一旦節(jié)點(diǎn)受到破壞或攻擊��,將帶來(lái)巨大的損失��。這是因?yàn)閭鞲衅鞴?jié)點(diǎn)一般安置在比較惡劣�、困難的環(huán)境中,長(zhǎng)期下來(lái)容易受到物理性的破壞�,檢測(cè)并進(jìn)行維修存在較大困難,又由于傳感器節(jié)點(diǎn)所在區(qū)域是開(kāi)放的���,攻擊者便能迅速侵入漏洞�����,獲取該節(jié)點(diǎn)的敏感信息�,從而帶來(lái)一系列連鎖的惡性影響。
2.無(wú)線網(wǎng)絡(luò)在工控系統(tǒng)中的安全性
無(wú)線網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)中逐漸受到采納和青睞�����,是由于無(wú)線網(wǎng)絡(luò)的低成本���、組網(wǎng)靈活性高���、可靠度較高等方面的優(yōu)勢(shì)。而在這些優(yōu)勢(shì)中�,無(wú)線網(wǎng)絡(luò)技術(shù)的安全性是工業(yè)控制系統(tǒng)最關(guān)注的問(wèn)題。目前�,無(wú)線網(wǎng)絡(luò)在工控系統(tǒng)中主要研究密鑰模式、加密算法技術(shù)和路由層安全技術(shù)來(lái)提高其安全度���。
2.1創(chuàng)新密鑰模式
密鑰管理是無(wú)線網(wǎng)絡(luò)安全性的重要保障�����,對(duì)工控系統(tǒng)提供了安全保障����。密鑰管理涉及了密鑰預(yù)分配�、密鑰發(fā)現(xiàn)和維護(hù)三方面內(nèi)容,這其中又囊括數(shù)據(jù)加密��、數(shù)據(jù)認(rèn)證和節(jié)點(diǎn)身份認(rèn)證���,對(duì)維護(hù)無(wú)線網(wǎng)絡(luò)安全有重要作用�。密鑰模式能有效抵擋惡性攻擊��,增強(qiáng)無(wú)線網(wǎng)絡(luò)對(duì)攻擊者的抵御能力����。目前,較為成功的密鑰管理方案主要有posite隨機(jī)密鑰預(yù)分配方式�����、隨機(jī)密鑰預(yù)分配方案等����,這些密鑰管理方案都在一定程度上提高了工控系統(tǒng)的安全度。為了建立起有效的工控系統(tǒng)安全防護(hù)體系�����,還要繼續(xù)創(chuàng)新密鑰管理模式�����,增強(qiáng)其破解難度。
2.2提高加密算法技術(shù)
加密算法是保證工控系統(tǒng)信息安全的一個(gè)重要方面�。使用無(wú)線網(wǎng)絡(luò)的加密算法技術(shù)后,攻擊者只有破解了加密算法才能進(jìn)入工控系統(tǒng)���,而這無(wú)疑大大加大了惡意竊取信息的難度和復(fù)雜性����,從而對(duì)工控系統(tǒng)起到了安全維護(hù)的作用�。加密算法發(fā)展至今,已經(jīng)出現(xiàn)了多種有效的算法方式�����,如AES�、DES、TEA�、MD5等,在現(xiàn)今發(fā)展的基礎(chǔ)之上�����,加密算法的速度要不斷增強(qiáng),能量消耗也需要盡量降低����,使之更好地服務(wù)工控系統(tǒng)。
2.3加強(qiáng)路由層安全技術(shù)
工控系統(tǒng)底層通信的基礎(chǔ)是路由層技術(shù)���,因此提高路由層安全技術(shù)是保障工控系統(tǒng)安全的重要部分。路由層技術(shù)的提升能增強(qiáng)無(wú)線網(wǎng)絡(luò)的抗干擾性和自愈能力����,為工控系統(tǒng)通信安全提供保證。整個(gè)無(wú)線網(wǎng)絡(luò)的安全度需要路由層安全技術(shù)做支撐����,因此,必須針對(duì)現(xiàn)有的路由層技術(shù)缺陷�,研究出安全系數(shù)更高的路由層。
3.結(jié)束語(yǔ)
工業(yè)控制系統(tǒng)關(guān)系國(guó)計(jì)民生����,無(wú)線網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用能降低成本、方便維護(hù)和增強(qiáng)靈活性���,然而無(wú)線網(wǎng)絡(luò)的開(kāi)放性使工控系統(tǒng)安全性受到一定威脅�����。為了保障工控系統(tǒng)的安全性�,主要從密鑰管理模式、加密算法�、路由層安全技術(shù)者三方面著手,致力于增強(qiáng)密鑰管理的創(chuàng)新性和復(fù)雜度�����,開(kāi)發(fā)新型加密算法并提高路由層安全技術(shù)����。在新時(shí)期,建立高安全性能的無(wú)線網(wǎng)絡(luò)安全體系是完善國(guó)家工業(yè)控制系統(tǒng)的必然要求����。
參考文獻(xiàn):
[1]曲家興,周瑩���,王希忠�,張清江.工業(yè)控制系統(tǒng)無(wú)線網(wǎng)絡(luò)安全體系的研究[J].信息技術(shù)�����,2013,01:36-38.
第7篇
【關(guān)鍵詞】電廠�;生產(chǎn)控制系統(tǒng);網(wǎng)絡(luò)信息安全
中圖分類號(hào):F407 文獻(xiàn)標(biāo)識(shí)碼: A
一�、前言
作為電廠生產(chǎn)運(yùn)作的一項(xiàng)重要工具,生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應(yīng)用和深入的研究�。研究其網(wǎng)絡(luò)信息安全,能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性�����,從而更好地保證電廠生產(chǎn)的順利進(jìn)行��。本文從概述相關(guān)內(nèi)容開(kāi)始探究�����。
二����、概述
為了提高工作效率��,絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡(luò)���,內(nèi)部網(wǎng)絡(luò)存在的安全隱患同樣會(huì)對(duì)信息安全造成很多的威脅��,甚至?xí)?duì)電廠造成重大經(jīng)濟(jì)損失�����。電廠網(wǎng)絡(luò)面臨的威脅來(lái)自于電廠內(nèi)部和電廠外部?jī)蓚€(gè)方面����,安全隱患主要體現(xiàn)在管理不嚴(yán),導(dǎo)致非法入侵����;電廠內(nèi)部操作不規(guī)范,故意修改自己的IP地址等�,導(dǎo)致電廠內(nèi)部信息的泄漏;網(wǎng)絡(luò)黑客通過(guò)系統(tǒng)的漏洞進(jìn)行攻擊����,導(dǎo)致網(wǎng)絡(luò)的癱瘓,數(shù)據(jù)的盜?���。徊《就ㄟ^(guò)局域網(wǎng)資料的共享造成病毒的蔓延等�。
電廠網(wǎng)絡(luò)面臨的外部威脅主要是指黑客攻擊,它們憑借計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到電廠內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中����,非法獲得電廠內(nèi)部的機(jī)密文件和信息����。無(wú)論是操作系統(tǒng)還是網(wǎng)絡(luò)服務(wù)都存在一定的安全漏洞�,這些漏洞的存在,就給攻擊者提供了入侵的機(jī)會(huì)���。網(wǎng)絡(luò)黑客通過(guò)各種手段對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行攻擊�����,非法闖入信息系統(tǒng)����,竊取信息�,泄露信息系統(tǒng)內(nèi)的重要文件���。
由于電廠內(nèi)部管理不善����,電廠員工的惡意行為也影響著信息的安全�����,內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報(bào)復(fù)。其中���,內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因�,有的工作人員利用自己的工作便利進(jìn)入電廠的信息系統(tǒng)�,竊取電廠信息系統(tǒng)內(nèi)的重要文件,并將信息泄漏給他人����,獲取一定的利益;有的員工直接打開(kāi)從網(wǎng)上下載的文件和視頻��,不經(jīng)過(guò)專業(yè)殺毒軟件的掃描�����,給電廠的內(nèi)部網(wǎng)絡(luò)帶來(lái)安全隱患��,甚至帶來(lái)的病毒在全網(wǎng)絡(luò)蔓延�,造成電廠內(nèi)網(wǎng)的癱瘓,嚴(yán)重?fù)p壞公司的利益���,影響公司的正常運(yùn)轉(zhuǎn)�����。
三�、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患
1.被動(dòng)攻擊形式
被動(dòng)攻擊這種情況下在計(jì)算機(jī)領(lǐng)域中稱作是流量分析現(xiàn)象。在計(jì)算機(jī)網(wǎng)絡(luò)安全中�����,最為典型的信息攻擊方式是信息的截獲���,信息的捕獲主要指的是在信息技術(shù)中����,網(wǎng)絡(luò)攻擊者通過(guò)網(wǎng)絡(luò)技術(shù)對(duì)他人的私人信息進(jìn)行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀����。在這個(gè)過(guò)程中����,網(wǎng)絡(luò)信息得到攻擊者通過(guò)對(duì)數(shù)據(jù)信息的觀察與分子,進(jìn)行相應(yīng)的網(wǎng)絡(luò)信息的攻擊�,尤其是對(duì)其中的一個(gè)數(shù)據(jù)單元進(jìn)行相應(yīng)的攻擊,其中攻擊的是網(wǎng)絡(luò)中的信息數(shù)據(jù)�,并不是信息流����。上述的這些網(wǎng)絡(luò)信息的安全隱患中����,網(wǎng)絡(luò)信息的攻擊者和黑客是無(wú)處不在的,總是對(duì)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息進(jìn)行攻擊���,盜取用戶的個(gè)人信息����,這些攻擊者主要是通過(guò)網(wǎng)絡(luò)中的數(shù)據(jù)協(xié)議PUD對(duì)用戶的信息資源進(jìn)行了一定的控制與盜取����,最終導(dǎo)致而來(lái)網(wǎng)絡(luò)信息資源安全隱患的產(chǎn)生。
2.主動(dòng)攻擊
計(jì)算機(jī)網(wǎng)絡(luò)安全注的主動(dòng)攻擊是指��,在計(jì)算機(jī)網(wǎng)絡(luò)通訊系統(tǒng)中�����,攻擊者或者是黑客����,通過(guò)網(wǎng)絡(luò)技術(shù)��,連接到具體的數(shù)據(jù)通訊協(xié)議進(jìn)行有目的有計(jì)劃的信息資源的獲取����。這個(gè)過(guò)程是一種目的性明確的信息盜取方式���,對(duì)于系統(tǒng)中的信息進(jìn)行有目的的安全性攻擊�����。并且在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)通訊技術(shù)的安全性攻擊過(guò)程中���,攻擊者通過(guò)對(duì)系統(tǒng)中的數(shù)據(jù)協(xié)議進(jìn)行攻擊,延遲了PDU的運(yùn)行����,嚴(yán)重情況下,最終將一種偽造的PDU輸送到相應(yīng)的網(wǎng)絡(luò)中進(jìn)行信息數(shù)據(jù)的傳輸���。其中�����,此處所述的信息中斷����、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說(shuō)的一種計(jì)算機(jī)網(wǎng)絡(luò)完全的被動(dòng)攻擊方式����。
四、電廠生產(chǎn)控制系統(tǒng)對(duì)網(wǎng)絡(luò)安全的改進(jìn)方案
1.物資需求計(jì)劃的應(yīng)用
MRP即物資需求計(jì)劃����,所謂物資需求計(jì)劃指根據(jù)產(chǎn)品結(jié)構(gòu)中不同層次的物品的從屬關(guān)系和數(shù)量關(guān)系,以單件產(chǎn)品為對(duì)象��,以完工時(shí)間為標(biāo)準(zhǔn)的倒排計(jì)劃�,根據(jù)提前期的長(zhǎng)短制定物品下達(dá)時(shí)間的先后順序,是一種電廠內(nèi)的物資計(jì)劃管理模式�。通過(guò)運(yùn)用物資需求計(jì)劃,精確地對(duì)每月的生產(chǎn)任務(wù)進(jìn)行合理安排�,可以有效解決電廠生產(chǎn)過(guò)程中出現(xiàn)的“月初任務(wù)松,月末任務(wù)緊”的現(xiàn)象��,通過(guò)合理調(diào)整生產(chǎn)計(jì)劃�����,使發(fā)電廠對(duì)市場(chǎng)的應(yīng)變能力加強(qiáng)。
2.完善身生產(chǎn)生產(chǎn)計(jì)劃和控制系統(tǒng)
發(fā)電廠需要將安全生產(chǎn)列為其主要的研究?jī)?nèi)容��,通過(guò)確保其生產(chǎn)質(zhì)量提高其在同行業(yè)中的競(jìng)爭(zhēng)力�����,從而獲得較大的經(jīng)濟(jì)效益�。通過(guò)完善發(fā)電廠自身的管理體系,使其在進(jìn)行安全生產(chǎn)的同時(shí)�����,保障其生產(chǎn)計(jì)劃的順利執(zhí)行�。建立并完善合理的監(jiān)督管理體系,有助于提高發(fā)電廠內(nèi)部員工的自覺(jué)性和職業(yè)素質(zhì)���,可以在滿足客戶需求的同時(shí)�����,有效地提高發(fā)電廠的經(jīng)濟(jì)效益�����。
3.主生產(chǎn)計(jì)劃方案編制
所謂主生產(chǎn)計(jì)劃�,是物資需求計(jì)劃的主要輸入因素,其以合同為依據(jù)�,并按一定的時(shí)間段對(duì)相關(guān)電力產(chǎn)品的數(shù)量以及交貨日期進(jìn)行合理分析�����,并在現(xiàn)有的生產(chǎn)計(jì)劃與設(shè)備資源中做出相應(yīng)的平衡的新型生產(chǎn)計(jì)劃��。另一方面����,從客戶和電廠的雙方面角度出發(fā),主生產(chǎn)計(jì)劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計(jì)劃�����,另一方面使得電廠的各項(xiàng)生產(chǎn)得以有序進(jìn)行��,從而提高了電廠與用戶的合作效率����。
五、強(qiáng)化生產(chǎn)控制系統(tǒng)安全的措施
1.對(duì)安全規(guī)劃產(chǎn)生足夠的重視
電廠網(wǎng)絡(luò)安全規(guī)劃就是全面的思考網(wǎng)絡(luò)的安全問(wèn)題���,對(duì)于安全問(wèn)題����,需要以系統(tǒng)觀點(diǎn)進(jìn)行考慮。要想提升安全管理的有效性��,就需要對(duì)信息安全管理體系進(jìn)行全面系統(tǒng)的構(gòu)建�����。
2.對(duì)安全域進(jìn)行合理劃分
電廠將電廠網(wǎng)絡(luò)的內(nèi)外網(wǎng)實(shí)行了物理隔離�����,但是在內(nèi)網(wǎng)上���,安全域的合理劃分依然非常重要�����。在劃分的時(shí)候���,需要結(jié)合整體的安全規(guī)劃和信息安全等級(jí)來(lái)進(jìn)行,對(duì)核心重點(diǎn)防范區(qū)域和一般防范區(qū)域以及開(kāi)放區(qū)域進(jìn)行劃分�。網(wǎng)絡(luò)安全的核心就是重點(diǎn)防范區(qū)域,用戶不能夠?qū)@個(gè)區(qū)域直接訪問(wèn)��,安全級(jí)別較高;應(yīng)該在這個(gè)區(qū)域內(nèi)放置各種重要數(shù)據(jù)�����、服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器���,在本區(qū)域內(nèi)運(yùn)行各種應(yīng)用系統(tǒng)、OA系統(tǒng)等����。
3.對(duì)安全管理進(jìn)行強(qiáng)化,對(duì)制度建設(shè)產(chǎn)生足夠的重視
為了促使電廠網(wǎng)絡(luò)信息安全得到保證����,就需要系統(tǒng)性的考慮電廠網(wǎng)絡(luò)信息安全,對(duì)于電廠網(wǎng)絡(luò)的安全問(wèn)題���,非常重要的一個(gè)方面就是安全管理和制度建設(shè)�。首先要對(duì)日志管理和安全審計(jì)產(chǎn)生足夠的重視��,通常情況下��,審計(jì)功能是防火墻和入侵檢測(cè)系統(tǒng)都具備的�,要將它們的審計(jì)功能給充分利用起來(lái)�,提升網(wǎng)絡(luò)日志管理和安全審計(jì)的質(zhì)量����。要嚴(yán)格管理審計(jì)數(shù)據(jù),任何人不得對(duì)審計(jì)記錄進(jìn)行隨意的修改和刪除����。
4.構(gòu)建內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)
網(wǎng)絡(luò)信息安全最為關(guān)鍵的一項(xiàng)技術(shù)就是認(rèn)證,通過(guò)認(rèn)證�����,身份鑒別服務(wù)����、訪問(wèn)控制服務(wù)以及機(jī)密都可以得到實(shí)現(xiàn)。對(duì)病毒防護(hù)體系進(jìn)行構(gòu)建�,將防病毒體系安裝于電廠網(wǎng)絡(luò)上,遠(yuǎn)程安裝�����、遠(yuǎn)程報(bào)警以及集中管理等都是防病毒軟件的功能��;要對(duì)防病毒的管理制度進(jìn)行構(gòu)建����,不能夠在內(nèi)網(wǎng)主機(jī)上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù)���,不能夠在聯(lián)網(wǎng)計(jì)算機(jī)上使用來(lái)歷不明的移動(dòng)存儲(chǔ)設(shè)備,發(fā)現(xiàn)病毒之后����,相關(guān)工作人員需要及時(shí)采取處理措施。
六�、結(jié)束語(yǔ)
通過(guò)對(duì)電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全的相關(guān)研究,我們可以發(fā)現(xiàn)���,威脅其安全的因素來(lái)自多方面,有關(guān)人員應(yīng)該從電廠生產(chǎn)控制系統(tǒng)運(yùn)作的客觀實(shí)際出發(fā)�����,充分分析威脅因素����,從而研究制定最為切合實(shí)際的網(wǎng)絡(luò)信息安全應(yīng)對(duì)策略。
參考文獻(xiàn):
[1] 覃冠標(biāo).關(guān)于發(fā)電廠生產(chǎn)計(jì)劃與控制系統(tǒng)的改進(jìn)研究[J].科技資訊.2013(34):141-143.
[2] 吳興波.S公司生產(chǎn)計(jì)劃與控制改進(jìn)研究[J].華南理工大學(xué)學(xué)報(bào).2010(01):88-89.
[3] 李隨成��,樊相宇.MRP生產(chǎn)計(jì)劃與控制系統(tǒng)的探討[J].西安理工大學(xué)學(xué)報(bào).2010(23):356-360.
