序論:在您撰寫控制系統(tǒng)網(wǎng)絡(luò)安全時���,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
根據(jù)馬太效應(yīng)��,隨著人類社會的飛速發(fā)展��,未來城市發(fā)展將日趨巨大�,人口日趨密集。目前�,我國城市涉及民生公共服務(wù)等相關(guān)問題日趨嚴重。自IBM2008年提出智慧地球的概念后���,利用智慧手段管理城市成為熱門話題之一�。為解決城市發(fā)展難題���,實現(xiàn)城市可持續(xù)發(fā)展�,智慧城市的理念應(yīng)運而生�����。所謂智慧城市就是充分運用工業(yè)自動控制��、城域網(wǎng)�����、大數(shù)據(jù)分析技術(shù)����、云計算、移動支付等信息化和通信技術(shù)手段����,以數(shù)字化、智能分析�、整合城市運營的各項關(guān)鍵信息�����,從而實現(xiàn)智能化管理和運營各類城市公共服務(wù)��、民生生活和各類工商業(yè)活動�����,滿足人民日益增長的美好生活需求�����。在智慧城市的大框架下�,智慧水務(wù)應(yīng)運而生�����。智慧水務(wù)是利用現(xiàn)代化技術(shù)將傳統(tǒng)水務(wù)的水源管理��、供水�、排水、水質(zhì)監(jiān)測�、污水處理及回收利用等所有涉水業(yè)務(wù)流程數(shù)字化管理[1],以達到優(yōu)化資源配置�����、增強水資源利用效率、滿足不同用戶的用水需求��、保障城市用水安全的目的���。然而隨著現(xiàn)代化技術(shù)的廣泛應(yīng)用,也帶來了新一輪的安全問題�,即網(wǎng)絡(luò)空間安全問題?��!皼]有網(wǎng)絡(luò)安全�,就沒有國家安全”����,網(wǎng)絡(luò)空間已成為繼陸海空天之后的第五空間����,網(wǎng)絡(luò)空間安全已經(jīng)上升到國家安全的高度[2]。我國在中央和各省市大力推進智慧城市建設(shè)的過程中�,城市的網(wǎng)絡(luò)空間安全問題研究顯得尤為重要。正如前文所說���,智慧水務(wù)就是利用現(xiàn)代化技術(shù)將傳統(tǒng)水務(wù)的水源管理���、供水����、排水�����、水質(zhì)監(jiān)測�����、污水處理及回收利用等所有涉水業(yè)務(wù)流程的數(shù)字化管理�����,這里的現(xiàn)代化技術(shù)包括工業(yè)自動控制��、大數(shù)據(jù)分析��、網(wǎng)絡(luò)支付等�����。本文主要從工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的角度來探討智慧水務(wù)建設(shè)過程的網(wǎng)絡(luò)空間安全問題。
1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全
工業(yè)控制實際上是利用計算機設(shè)備控制工業(yè)過程����,達到降低人力成本,提高工作效率或是用以替代人類在惡劣環(huán)境工作�。傳統(tǒng)的工業(yè)控制系統(tǒng)是封閉系統(tǒng),即使出現(xiàn)安全問題影響范圍也十分有限��,例如一臺傳統(tǒng)的數(shù)控加工機床�����,即使數(shù)控模塊出現(xiàn)了病毒����,影響范圍也僅局限于這臺機床加工出來的產(chǎn)品��,后續(xù)的質(zhì)量檢測可以很快發(fā)現(xiàn)問題�����。然而隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展���,工業(yè)控制系統(tǒng)已成為物聯(lián)網(wǎng)的主要組成部分�,大多和國計民生相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),包括基礎(chǔ)設(shè)施����、民生智慧城市、先進制造業(yè)和軍隊軍工等�����。當前以工業(yè)控制系統(tǒng)為基礎(chǔ)的工業(yè)網(wǎng)絡(luò)安全面臨著巨大威脅�,直接威脅到國家安全。從早期澳大利亞昆士蘭的馬盧奇污水處理廠事件(2000年3月)�、美國俄亥俄州Davis-Besse核電站SQLSlammer蠕蟲病毒攻擊事件(2003年1月的)到最近的“超級電廠”病毒事件(2014年)、烏克蘭的年“BlackEnergy”病毒事件(2015)��、烏克蘭機場受攻擊事件(2016年)[3-4]都表明:工業(yè)控制系統(tǒng)不再安全��,工業(yè)控制系統(tǒng)安全事件造成的社會影響也越來越大����,大量證據(jù)表明工業(yè)安全事件背后有著巨大的經(jīng)濟利益和國家政治利益。
2智慧水務(wù)
智慧水務(wù)是智慧城市的重要組成之一���,智慧水務(wù)的建設(shè)過程中���,業(yè)務(wù)流程和工業(yè)控制息息相關(guān)���,例如利用傳感器獲取水源水質(zhì)信息或管網(wǎng)網(wǎng)水壓流量信息,通過自動控制管網(wǎng)水量調(diào)節(jié)均衡不同區(qū)域用水�,利用自動控制排水開關(guān)提高排水效率,通過自動控制污水處理流程來降低污水處理能耗和廢水再利用等��。智慧水務(wù)建設(shè)中的工業(yè)控制網(wǎng)絡(luò)安全主要包括物理感知和數(shù)據(jù)采集安全�����、設(shè)備自動控制安全和安全管理安全等�����。
2.1物理感知和數(shù)據(jù)采集安全
物理感知和數(shù)據(jù)采集安全主要面向智慧水務(wù)基礎(chǔ)設(shè)施�,包括水源水質(zhì)監(jiān)測�����、管網(wǎng)水壓監(jiān)測����、排水流量監(jiān)測等,利用各類傳感設(shè)備將所需各類監(jiān)測信息采集并做基礎(chǔ)分析后傳回水務(wù)中心的過程。智慧水務(wù)中的感知監(jiān)測設(shè)備大多由成本低���、體積小�����、能耗低和計算機資源有限的傳感器節(jié)點組成��,監(jiān)測環(huán)境大多也比較惡劣�,主要安全問題包括感知節(jié)點易被破壞�����、通信易受干擾�����、傳輸通道不穩(wěn)定不可靠��、數(shù)據(jù)信息容易污染等[5]���。物理感知和數(shù)據(jù)采集帶來的安全問題大多是基礎(chǔ)數(shù)據(jù)源問題���,會直接影響智慧水務(wù)的大數(shù)據(jù)分析結(jié)果及管理層的水務(wù)管理決策�����,嚴重的還可對民生產(chǎn)生重大影響�����,可實現(xiàn)例如水源監(jiān)測點傳來水源污染錯誤信息�,很可能導(dǎo)致水務(wù)中心水源報警�,甚至關(guān)閉供水,由此造成的損失將不可估量�。物理感知和數(shù)據(jù)采集的安全問題可從以下兩方面入手:(1)傳感感知節(jié)點采用信號防干擾技術(shù),根據(jù)不同需要和環(huán)境可采用防水防雷防腐蝕等措施��,條件允許的情況下采用冗余部署���。(2)信號傳輸采用多種可靠傳輸方式�,同時要采用信息加密防纂改和雙因子認證���,保證傳輸信息的來源合法和信息本身的完整性和安全性。
2.2設(shè)備自動控制安全
智慧水務(wù)中的工業(yè)控制系統(tǒng)通過信號指令以弱電控制強電的方式來管控機械設(shè)備的運作����,從網(wǎng)絡(luò)空間安全的角度來看�����,設(shè)備自動控制的安全主要有以下幾方面:(1)控制信號安全�����,控制信號的來源分為兩種:一種直接從設(shè)備本身產(chǎn)生或設(shè)備上配套的感知原件產(chǎn)生����,無需經(jīng)智慧水務(wù)管控中心處理��;另一種是從智慧水務(wù)管控中心傳遞過來的控制信號���。第一種控制信號的安全性和設(shè)備直接相關(guān)���,需要保障信號可靠性,防止人為物理破壞�。第二類控制信號需要從傳統(tǒng)網(wǎng)絡(luò)安全方面保障傳輸過程的可靠性和安全性,同時需要在控制終端驗證信號是否被纂改等�����。(2)弱電控制強電過程的安全性���。和水務(wù)業(yè)務(wù)相關(guān)的大型機械設(shè)備的啟停運作�,一般都是通過弱電信號來控制設(shè)備運作動力,改變設(shè)備運行方式等����。弱電控制強電過程中,存在的安全問題主要有兩方面:一是控制裝置本身的安全性���,是否具有電磁隔離能力����,是否具備防雷措施�,控制裝置本身的可靠性主要采用冗余來保障;二是強電能源動力的安全性�����,是否具有良好的接地��、觸電防護措施等��,強電本身的安全性需符合國家相關(guān)安全標準�����。(3)機械設(shè)備運作的安全性����。設(shè)備自動控制的最終表現(xiàn)在于設(shè)備是否可以正常運行,設(shè)備的正常運行主要通過設(shè)備定期或不定期維檢來保障���,智慧水務(wù)建設(shè)也體現(xiàn)在設(shè)備運行狀態(tài)的自動采集和預(yù)警上��,主要可通過設(shè)備的狀態(tài)傳感器實時傳遞設(shè)備狀態(tài)信息及時發(fā)現(xiàn)設(shè)備故障�����。
2.3安全管理
智慧水務(wù)建設(shè)過程中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)建設(shè)相較傳統(tǒng)網(wǎng)絡(luò)體系而言�,更多傾向于設(shè)備部署��,易使人們忽視安全管理����。實際上工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題更大程度是人為因素:一是基層工作人員相對素質(zhì)較低,在水務(wù)設(shè)備的安裝和巡檢過程中��,麻痹大意��,忽視安全問題��;二是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)缺少日志自動化管理,需要人工建立臺賬�。智慧水務(wù)建設(shè)過程需要提高安全管理意識,建立獨立的安全管理制度:一是加強日志管理和審計管理����,盡可能利用信息化手段管理日志,可設(shè)立專崗專管�����。二是加大安全培訓(xùn)力度�,提高基層工作人員的安全意識,發(fā)現(xiàn)問題及時報告��。
3結(jié)語
"智慧水務(wù)"是現(xiàn)代化城市建設(shè)的必然趨勢�����,智慧水務(wù)和國家網(wǎng)絡(luò)空間安全息息相關(guān)��。在建設(shè)初期�����,提高安全意識,建立安全管理制度��,加強每個環(huán)節(jié)的安全建設(shè)��,尤其是工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)���,至關(guān)重要。本文主要分析了智慧水務(wù)建設(shè)過程的工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全問題�����,并給出了相應(yīng)的解決辦法�,對生產(chǎn)實踐具有一定的參考借鑒意義。
參考文獻
[1]卜云飛,閆健卓.基于大數(shù)據(jù)的智慧水務(wù)架構(gòu)研究[C]//中國自動化大會(CAC2017)����,濟南:2017.
[2]張煥國,韓文報,來學(xué)嘉,等.網(wǎng)絡(luò)空間安全綜述[J].中國科學(xué):信息科學(xué),2016(2):125-164.
[3]谷神星網(wǎng)絡(luò)科技有限公司.工業(yè)控制網(wǎng)絡(luò)安全系列之四典型的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件[J].微型機與應(yīng)用���,2015�����,34(5):1���,5.
[4]魏欽志.工業(yè)網(wǎng)絡(luò)控制系統(tǒng)的安全與管理[J].測控技術(shù)����,2013(2):87-92.
[5]旭日.無線傳感器網(wǎng)絡(luò)安全技術(shù)及運用實踐微探[J].數(shù)碼世界��,2017(1):126-127.
[6]彭勇,江常表.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學(xué)學(xué)報(自然科學(xué)版)����,2012,52(10):1396-1408.
第2篇
1過程控制系統(tǒng)網(wǎng)絡(luò)的特點與風(fēng)險點
改革開放以來���,我國石油化工企業(yè)的自動化和信息化水平���,無論在裝備上、技術(shù)水平上�����、功能與規(guī)模上都有了較大的發(fā)展���。測量和控制裝置不斷更新升級���,DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]。而由DCS�、PLC和FCS等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)在石化行業(yè)中也得到了廣泛的應(yīng)用。
1.1過程控制系統(tǒng)網(wǎng)絡(luò)的特點過程控制系統(tǒng)的網(wǎng)絡(luò)與傳統(tǒng)的IT網(wǎng)絡(luò)不同����,具有以下特點。1)較高的實時性和可靠性�����。過程控制系統(tǒng)網(wǎng)絡(luò)主要需要保證所有傳輸數(shù)據(jù)的實時性以及網(wǎng)絡(luò)的可靠性��,在傳輸過程中不允許有中斷出現(xiàn)����,需要整個傳輸過程始終在系統(tǒng)的可控范圍內(nèi)�,不能出現(xiàn)失控的狀態(tài)。2)專有通信協(xié)議��。早先每一個過程控制系統(tǒng)供應(yīng)商都有自己獨自研發(fā)的專有通信協(xié)議�,但隨著過程控制系統(tǒng)的網(wǎng)絡(luò)面逐漸擴大,而在彼此的通信傳輸中需要進行轉(zhuǎn)換����,不同通訊協(xié)議導(dǎo)致的不便捷性逐漸顯露出來。近幾年隨著系統(tǒng)開放性呼聲越來越高,在行業(yè)內(nèi)部出現(xiàn)了一些開放的公用的專有通信協(xié)議�,例如OPC,ModbusTCP�����,現(xiàn)場總線(Foundation/Hart/Profibus)等���。3)相對的獨立性�。過程控制系統(tǒng)通常都是根據(jù)工藝設(shè)備的要求而進行獨立設(shè)計���,所以無論從前期網(wǎng)絡(luò)設(shè)計到實際物理安裝����,整個控制系統(tǒng)網(wǎng)絡(luò)都是相當獨立的���,不會與其他任何應(yīng)用存在交聯(lián)部分�。在與外界交互的通道上僅僅開放OPCServer一個接口����,通過OPC工業(yè)通信協(xié)議與外部進行數(shù)據(jù)交換。4)較長的產(chǎn)品更新周期�。過程控制系統(tǒng)產(chǎn)品不以追求設(shè)備的先進性為目標���,更多地是強調(diào)安全性與穩(wěn)定性。所以結(jié)合實際工藝生產(chǎn)以及設(shè)備投資來進行綜合考慮��,過程控制系統(tǒng)通常具有較長的更新周期����,這樣就導(dǎo)致系統(tǒng)操作平臺的安全漏洞得不到及時的維護。5)與殺毒軟件兼容性差��。目前市場上的殺毒軟件廠商基本都是針對常用的應(yīng)用軟件進行兼容性測試�����,針對市場上使用頻率較高的軟件進行病毒防治策略的研究���。而在網(wǎng)絡(luò)中基于Windows平臺上安裝的所有過程控制軟件,幾乎沒有殺毒軟件廠商對其進行過完整的兼容性測試����。這種情況同樣也適應(yīng)于過程控制系統(tǒng)制造商,各家控制系統(tǒng)制造商一般只認可少數(shù)幾種防病毒軟件��,所以在工控領(lǐng)域的操作層級進行統(tǒng)一部署防護策略是一件很困難的事�。
1.2過程控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險點根據(jù)對過程控制系統(tǒng)結(jié)構(gòu)的分析�����,通常易受病毒侵襲的主要風(fēng)險點主要有“數(shù)據(jù)采集網(wǎng)絡(luò)的連接”��,“先進過程控制站的連接”����,“操作站”之間的三處連接���。1)與數(shù)據(jù)采集網(wǎng)絡(luò)的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機���,但無其他任何防護措施。雖然OPC數(shù)據(jù)采集機采用雙網(wǎng)卡配置���,并已經(jīng)將控制網(wǎng)與信息網(wǎng)進行隔離�����,信息網(wǎng)已經(jīng)無法對控制網(wǎng)進行操縱攻擊��,但是雙網(wǎng)卡結(jié)構(gòu)的配置���,對病毒的傳播沒有任何阻擋作用�����,所以來自上層信息網(wǎng)對控制網(wǎng)的病毒感染是目前的最大隱患����。2)先進控制過程站的病毒感染隱患例如先進控制過程站通?����?梢杂绍浖?yīng)商進行自由操作����,先進控制過程站本身并無任何防護措施,具有較高的病毒感染風(fēng)險����。首先先進控制過程站的安裝��、調(diào)試�����、運行一般需要較長的時間���,而且需要項目工程師進行不斷的調(diào)試�、修改。期間先進控制過程站需要頻繁與外界進行數(shù)據(jù)交換����,這給先進控制過程站本身帶來很大感染病毒的風(fēng)險。一旦先進控制過程站受到病毒感染��,其對實時運行的控制系統(tǒng)安全會造成極大隱患����。另外先進過程控制站是應(yīng)用OPC通信協(xié)議進行數(shù)據(jù)通信的,所以采用常規(guī)IT策略(例如常規(guī)的通用防火墻)無法提供適宜的防護�����。3)操作站互相感染的隱患目前大多數(shù)操作站都運行一個工作網(wǎng)絡(luò)中�,但在網(wǎng)絡(luò)內(nèi)部沒有采取任何有效防護措施。而工業(yè)平臺基本采用PC+Windows架構(gòu)�����,同時也廣泛應(yīng)用以太網(wǎng)進行連接�,TCP,STMP��,POP3,ICMP����,Netbios等大量開放的通信協(xié)議被廣泛應(yīng)用。但活躍在這些通訊協(xié)議上的木馬���、蠕蟲等計算機病毒也具有一定的規(guī)模����。目前普通的防火墻無法實現(xiàn)工業(yè)通信協(xié)議的過濾�����,所以當網(wǎng)絡(luò)中某個操作站或工程師站感染病毒時���,可能會馬上通過數(shù)據(jù)交換傳播到該工作網(wǎng)絡(luò)中的其他PC機上�����,這就容易造成網(wǎng)絡(luò)上所有操作站同時發(fā)生故障,嚴重時可導(dǎo)致所有操作站同時失控���,甚至造成不可估計的損失���。
2防護措施與建議
通過考慮石油化工過程控制系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)和安全設(shè)計�����,同時參考保護層理論����,列出了硬件�、網(wǎng)絡(luò)通信預(yù)防手段、殺毒軟件預(yù)防手段�、網(wǎng)絡(luò)管理規(guī)章制度、良好的個人工作習(xí)慣等多個“保護層”�����,下圖為石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護洋蔥模型�。圖1石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護洋蔥模型根據(jù)上圖列出的各個風(fēng)險點,可以參考以下措施進行有針對性的安全防護��。
2.1設(shè)置防火墻相關(guān)單位或部門應(yīng)該針對過程控制系統(tǒng)設(shè)置防火墻�。防火墻是一項信息安全的防護系統(tǒng),依照特定的規(guī)則��,允許或是限制傳輸?shù)臄?shù)據(jù)通過。在網(wǎng)絡(luò)通信中采用防火墻�,它能允許系統(tǒng)預(yù)設(shè)的人員和數(shù)據(jù)(白名單)進入你的網(wǎng)絡(luò),同時將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門外�,可以最大限度地阻止網(wǎng)絡(luò)中的黑客訪問公司內(nèi)部網(wǎng)絡(luò),在內(nèi)部網(wǎng)和外部網(wǎng)之間���、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造一道保護屏障����,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入����。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm�����、瑞星個人防火墻�����、卡巴斯基等均有完善的白名單以及黑名單設(shè)置���,管理員可以根據(jù)相應(yīng)的軟件說明書和自身狀況進行詳細設(shè)置���。
2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過程控制系統(tǒng)工業(yè)計算機上安裝相應(yīng)的殺毒軟件,以降低電腦病毒���、特洛伊木馬和惡意軟件等感染計算機的概率���。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能��,有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能���,是計算機防御系統(tǒng)(包含殺毒軟件�����,防火墻����,特洛伊木馬和其他惡意軟件的查殺程序�����,入侵預(yù)防系統(tǒng)等)的重要組成部分�。但是需要注意的是,有的時候殺毒軟件會對工業(yè)計算機上的一些正常行為誤報為病毒或木馬。這時候就需要網(wǎng)絡(luò)安全管理人員在安裝殺毒軟件的同時����,將已確認的工業(yè)正常行為錄入殺毒軟件的信任列表,以避免誤刪重要程序或?qū)е孪到y(tǒng)停機的情況發(fā)生�。
2.3建立完善的規(guī)章管理制度公司應(yīng)建立完善的網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章制度,安排專人(網(wǎng)絡(luò)安全管理人員)負責(zé)公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全運行工作�。同時設(shè)置一定的權(quán)限,以阻止管理員之外的人員進行隨意操作與變更��。
第3篇
關(guān)鍵詞:互聯(lián)網(wǎng)+ 工業(yè)控制系統(tǒng) 網(wǎng)絡(luò)安全
中圖分類號:TU746 文獻標識碼:A 文章編號:1007-9416(2016)11-0206-01
隨著信息技術(shù)的發(fā)展�����,所有的傳統(tǒng)產(chǎn)業(yè)都在受到影響��,它使得整個傳統(tǒng)產(chǎn)業(yè)可以實現(xiàn)遠程的智能化管理和控制�,就像一個人有了神經(jīng)系統(tǒng)。傳統(tǒng)產(chǎn)業(yè)同網(wǎng)絡(luò)信息技術(shù)的融合就構(gòu)成了物聯(lián)網(wǎng)��、車聯(lián)網(wǎng)�、工業(yè)互聯(lián)網(wǎng)等一系列概念,不過這些概念的核心在于網(wǎng)絡(luò)互連�。在網(wǎng)絡(luò)互連的大趨勢下,工業(yè)控制系統(tǒng)的互連也就成為必然要發(fā)生的趨勢��。
1 “互聯(lián)網(wǎng)+”時代下工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)互連的優(yōu)勢在于能夠顯著提升生產(chǎn)力,增強創(chuàng)新力�,降低工業(yè)原材料以及生產(chǎn)能源的損耗,推動產(chǎn)業(yè)模式高效變革���。但是,網(wǎng)絡(luò)互連也帶來了安全問題�,由于互聯(lián)而引發(fā)各種各樣的網(wǎng)絡(luò)安全問題,工業(yè)控制系統(tǒng)不斷遭遇著來自內(nèi)部和外部的各類網(wǎng)絡(luò)病毒的進攻���。今天�����,工業(yè)控制系統(tǒng)受到的網(wǎng)絡(luò)攻擊已經(jīng)變成我們國家所遭受的最危險的安全挑戰(zhàn)之一�。
工業(yè)控制系統(tǒng)最初設(shè)計的目的在于實現(xiàn)各類實時控制功能���,并沒能想到有關(guān)安全的問題����。今天�����,這些都暴露在網(wǎng)絡(luò)上,這給它們所控制的例如像重要基礎(chǔ)設(shè)備�����,關(guān)鍵系統(tǒng)等都造成了大量的危險和隱患���。近年來����,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題多次出現(xiàn)�����,因為工業(yè)控制系統(tǒng)的安全觸及國家經(jīng)濟和人民生活�,如果受到損害,將會造成非常嚴重的后果���。
比如�,澳大利亞污水處理廠發(fā)生的安全問題��,導(dǎo)致了大量的污水還沒有經(jīng)過凈化就被直接排到了大自然中��,引發(fā)了十分嚴重的環(huán)境污染�。德國的一家鋼鐵廠曾經(jīng)受到一次網(wǎng)絡(luò)黑客入侵��,其侵入了鋼鐵廠的熔爐控制系統(tǒng)��,導(dǎo)致了熔爐控制系統(tǒng)停止工作一整天�,據(jù)估計�,這一天的經(jīng)濟損失就超過了1.5億美元。伊朗布什爾核電站遭受的黑客攻擊導(dǎo)致其部分離心機損壞���,發(fā)生放射性物質(zhì)外泄,危害甚至達到了當年的切爾諾貝利核電站事故����,直接造成了伊朗的戰(zhàn)略核計劃后退了兩整年。中東能源產(chǎn)業(yè)受到的網(wǎng)絡(luò)病毒攻擊�,造成了許多的重要信息外泄,有可能引發(fā)大規(guī)模的網(wǎng)絡(luò)攻擊����。
大家可以看到,世界上的許多國家都已經(jīng)將網(wǎng)絡(luò)安全當作國家安全的一個關(guān)鍵環(huán)節(jié)�����,而工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全又是其中最為重要的�。首先�����,在國家與國家的競爭中����,獲得了他國的重要基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)的關(guān)鍵信息����,在各國的網(wǎng)絡(luò)空間競爭中就會占得先機。其次�����,國際上出現(xiàn)的像恐怖組織����、極端勢力等在內(nèi)的非國家行為體,不斷試圖利用正在發(fā)展的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全隱患來達到他們不可告人的目的���。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展及其與生俱來的開放性特點���,造成攻擊難度以及代價不斷下降,工業(yè)控制系統(tǒng)已逐步變成今天各類非法組織����、個人等網(wǎng)絡(luò)攻擊的首要目標�,而這就給我們國家的安全帶來了非常大的威脅�。
2 工業(yè)控制系統(tǒng)在線監(jiān)測能力的建設(shè)
面對“互聯(lián)網(wǎng)+”時代下工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題給我們國家的安全帶來了威脅,我們需要掌握有哪些工業(yè)控制系統(tǒng)運行在互聯(lián)網(wǎng)中�,有哪些產(chǎn)業(yè)、哪些區(qū)域的工業(yè)控制系統(tǒng)運行在互聯(lián)網(wǎng)中�,而且這些運行在互聯(lián)網(wǎng)中的工業(yè)控制系統(tǒng)到底有怎樣的威脅?所以�,工業(yè)控制系統(tǒng)在線監(jiān)測能力的建設(shè)也就變成了當務(wù)之急。
為了解決網(wǎng)絡(luò)安全問題帶來的威脅����,各國都特別重視工業(yè)控制系統(tǒng)的在線監(jiān)測能力����。2008年開始,美國國土安全部建立ProjectShine項目����,查詢在互聯(lián)網(wǎng)上互聯(lián)的所有工業(yè)控制系統(tǒng)設(shè)施及重要信息基礎(chǔ)設(shè)備,到2012年為止�,已匯集了世界范圍內(nèi)的220多萬條數(shù)據(jù)。不只美國��,比如英國,也都發(fā)展了本國的工業(yè)控制系統(tǒng)查詢設(shè)施來了解和查找本國以及別的國家的重要基礎(chǔ)設(shè)備�����。
2013年初����,我國工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所逐步進行關(guān)鍵控制系統(tǒng)在線查詢監(jiān)測工作,開始構(gòu)建起關(guān)鍵控制系統(tǒng)在線監(jiān)測平臺�,對互聯(lián)在網(wǎng)絡(luò)上的關(guān)鍵工業(yè)控制系統(tǒng)實施安全監(jiān)測以及危險警示工作,到今天已經(jīng)開始形成了對關(guān)鍵工業(yè)控制系統(tǒng)的在線監(jiān)測能力��。在查詢我國關(guān)鍵工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施的前提下�����,工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所還自主開發(fā)了關(guān)鍵工業(yè)控制系統(tǒng)在線監(jiān)測預(yù)警平臺��,研發(fā)了工業(yè)控制系統(tǒng)的在線搜索系統(tǒng)����。通過不斷查詢網(wǎng)絡(luò)信息,判斷出與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)指紋特征相符合的IP�,查詢運行在互聯(lián)網(wǎng)上的關(guān)鍵工業(yè)控制系統(tǒng)的基本信息。為了未來進一步的開展工作,還開發(fā)了與平臺配套的硬件化設(shè)備���。當前��,在線監(jiān)測預(yù)警平臺監(jiān)測的設(shè)施包括:工業(yè)控制設(shè)施:PLC�、DCS�、RTU等等;智能設(shè)備:如當前智慧城市中使用的視頻監(jiān)控設(shè)備等�。
經(jīng)過近些年來的工作,監(jiān)測平臺取得了部分階段性的成果�����。到今天平臺已經(jīng)搜尋了十余類重要工控專用協(xié)議以及工控專有的網(wǎng)絡(luò)端口�;獲得了國內(nèi)外工業(yè)控制系統(tǒng)及設(shè)施的基礎(chǔ)情況、分布概況以及發(fā)展方向���;增強了我國對關(guān)鍵工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題的預(yù)警能力;推動重要基礎(chǔ)設(shè)施運行企業(yè)增強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護能力�����;為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測以及預(yù)警提供重要保障�����。
3 結(jié)語
“互聯(lián)網(wǎng)+”時代下,信息技術(shù)的發(fā)展推動了傳統(tǒng)產(chǎn)業(yè)的創(chuàng)新和提升���,但是���,隨之也帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題,因此����,我們必須將工業(yè)控制系統(tǒng)在線監(jiān)測能力的建設(shè)及完善提上議事日程,為我們國家的安全提供保障����。
參考文獻
[1]陳月華,馮偉.“互聯(lián)網(wǎng)+”時代工業(yè)控制系統(tǒng)面臨新挑戰(zhàn)[J].中國科技投資�����,2015(16):48-51.
[2]王德吉.“互聯(lián)網(wǎng)+”時代的“工業(yè)4.0”信息安全探索與實踐[J].自動化博覽���,2015(z2).
第4篇
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分���,對保證工業(yè)安全���、穩(wěn)定、可持續(xù)競爭發(fā)展具有重要意義��?���;诖耍恼聫墓I(yè)控制系統(tǒng)相關(guān)概述出發(fā)����,對工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題,以及當今工業(yè)控制系網(wǎng)絡(luò)安全防護體系設(shè)計的優(yōu)化進行了分析與闡述����,以供參考。
關(guān)鍵詞:
工業(yè)控制系統(tǒng)���;網(wǎng)絡(luò)安全��;防護體系
0引言
工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分��,在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化��、自動化、智能化的創(chuàng)新與發(fā)展���,工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化��、智能化���、數(shù)字化發(fā)展趨勢,并在我國工業(yè)領(lǐng)域各行業(yè)控制機制中�����,如能源開發(fā)����、水文建設(shè)、機械制作生產(chǎn)�、工業(yè)產(chǎn)品運輸?shù)鹊玫搅藦V泛應(yīng)用。因此��,在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下����,對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的研究與分析具有重要現(xiàn)實意義,已成為當今社會關(guān)注的重點內(nèi)容之一�。
1工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(IndustrialControlSystem����,ICS)是由一定的計算機設(shè)備與各種自動化控制組件���、工業(yè)信息數(shù)據(jù)采集�����、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]����。工業(yè)控制系統(tǒng)體系在通常情況下���,大致可分為五個部分���,分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠程控制終端系統(tǒng)部分(PLC/RTU)”�����、“分布式控制系統(tǒng)部分(DCS)”�����、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分(SCADA)”以及“企業(yè)整體信息控制系統(tǒng)(EIS)”[2]��。近年來���,在互聯(lián)網(wǎng)技術(shù)�、計算機技術(shù)���、電子通信技術(shù)以及控制技術(shù)����,不斷創(chuàng)新與廣泛應(yīng)用的推動下�����,工業(yè)控制系統(tǒng)已經(jīng)實現(xiàn)了由傳統(tǒng)機械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展��,工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計算機集約控制系統(tǒng)(CCS)”轉(zhuǎn)換為“分散式控制系統(tǒng)(DCS)”�,并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)(FCS)”的創(chuàng)新與改革發(fā)展。目前�,隨著我國工業(yè)領(lǐng)域的高速發(fā)展,工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)�����、鋼鐵行業(yè)、石油化工行業(yè)��、交通建設(shè)行業(yè)�、城市電氣工程建設(shè)行業(yè)、環(huán)境保護等眾多領(lǐng)域與行業(yè)中�����,其安全性��、穩(wěn)定性�����、優(yōu)化性運行對我國經(jīng)濟發(fā)展與社會穩(wěn)定具有重要影響作用�。
2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅
2.1工業(yè)控制系統(tǒng)本身存在的問題
由于工業(yè)控制系統(tǒng)是一項綜合性、技術(shù)復(fù)雜性的控制體系�,且應(yīng)用領(lǐng)域相對較廣。因此�,在設(shè)計與應(yīng)用過程中對工作人員具有較高的要求,從而導(dǎo)致系統(tǒng)本身在設(shè)計或操作中容易出現(xiàn)安全隱患���。
2.2外界網(wǎng)絡(luò)風(fēng)險滲透問題
目前����,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計與應(yīng)用,已成為時展的必然趨勢�,在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時,對于數(shù)據(jù)信息的采集��、分析與管理��,需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進行一定的鏈接或遠程操控���。在這一過程中,工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中��,而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題�,這在一定程度上將會導(dǎo)致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響���,從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題�����。例如��,“百度百科”網(wǎng)站���,通過利用SHODAN引擎進行OpenDirectory搜索時��,將會獲得八千多個處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息�����,一旦出現(xiàn)黑客或人為惡意攻擊���,將為網(wǎng)站管理系統(tǒng)帶來嚴重的影響[3]。
2.3OPC接口開放性以及協(xié)議漏洞存在的問題
由于工業(yè)控制系統(tǒng)中��,其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進行構(gòu)建的��,因此�,在既定環(huán)境下,工業(yè)過程控制標準OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強的開放性[4]。當對工業(yè)控制系統(tǒng)進行操作時,基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護舉措的缺失����,加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞��,且其漏洞易受外界不確定性風(fēng)險因素的攻擊與干擾�,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險�����。
2.4工業(yè)控制系統(tǒng)脆弱性問題
目前,我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題�����,致使工業(yè)控制系統(tǒng)具有“脆弱性”特征���,例如����,網(wǎng)絡(luò)配置問題�����、網(wǎng)絡(luò)設(shè)備硬件問題�、網(wǎng)絡(luò)通信問題��、無線連接問題�����、網(wǎng)絡(luò)邊界問題����、網(wǎng)絡(luò)監(jiān)管問題等等[5]�。這些問題�,在一定程度上為網(wǎng)絡(luò)信息風(fēng)險因素的發(fā)生提供了可行性,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題���。
3加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的建議
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建�,不僅需要加強相關(guān)技術(shù)的研發(fā)與利用����,同時也需要相關(guān)部門(如,設(shè)備生產(chǎn)廠家�、政府結(jié)構(gòu)、用戶等)基于自身實際情況與優(yōu)勢加以輔助�,從而實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系多元化、全方位的構(gòu)建���。
3.1強化工業(yè)控制系統(tǒng)用戶使用安全防護能力
首先�����,構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護安全策略:安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計與執(zhí)行的重要前提條件���,對保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用��。對此����,相關(guān)工作人員應(yīng)在結(jié)合當今工業(yè)控制系統(tǒng)存在的“脆弱性”問題�����,在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢的基礎(chǔ)上�����,有針對性的制定一系列網(wǎng)絡(luò)防護安全策略��,用以保證工業(yè)控制系統(tǒng)安全設(shè)計����、操作��、管理��、養(yǎng)護維修規(guī)范化��、系統(tǒng)化��、全面化、標準化施行����。例如,基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補丁管理��,結(jié)合工業(yè)控制系統(tǒng)實際需求����,對工業(yè)控制系統(tǒng)核心系統(tǒng)進行“補丁升級”,用以彌補工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項漏洞危機[6]����。在此過程中,設(shè)計人員以及相關(guān)工作者應(yīng)通過“試驗測驗”的方式���,為工業(yè)控制系統(tǒng)營造仿真應(yīng)用環(huán)境���,并在此試驗環(huán)境中對系統(tǒng)進行反復(fù)測驗、審核����、評價,并對系統(tǒng)核心配置����、代碼進行備份處理�,在保證補丁的全面化升級的同時����,降低升級過程中存在的潛在風(fēng)險。其次���,注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護體系的構(gòu)建:網(wǎng)絡(luò)隔離防護的構(gòu)建與執(zhí)行��,對降低工業(yè)控制系統(tǒng)外界風(fēng)險具有重要意義�。對此����,相關(guān)設(shè)計與工作人員應(yīng)在明確認知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護目標的基礎(chǔ)上,制定相應(yīng)的網(wǎng)絡(luò)隔離防護方案�,并給予有效應(yīng)用。通常情況下�����,工業(yè)控制系統(tǒng)設(shè)計人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求���,對系統(tǒng)所需設(shè)備進行整理��,并依據(jù)整理內(nèi)容進行具體測評與調(diào)試�����,用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮�����,避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生����;根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點對隔離防護區(qū)域進行分類與規(guī)劃(包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域�、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域�����、工業(yè)控制系統(tǒng)安全隔離區(qū)域等)�,并針對不同區(qū)域情況與待保護程度要求,采用相應(yīng)的舉措進行改善��,實現(xiàn)不同風(fēng)險的不同控制[7]���。與此同時�����,構(gòu)建合理�、有效的物理層防護體系:實踐證明,物理層防護體系的構(gòu)建(物理保護)��,對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護具有至關(guān)重要的作用��,是工業(yè)控制系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項目�,也是核心項目,對工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護體系整體效果的優(yōu)化���,具有決定性作用�����。因此����,在進行工業(yè)控制防護系統(tǒng)網(wǎng)絡(luò)安全防護體系優(yōu)化設(shè)計時����,設(shè)計人員以及相關(guān)企業(yè)應(yīng)注重對工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化����。例如���,通過配置企業(yè)門禁體系,用以避免外來人員對工業(yè)現(xiàn)場的侵害�;依據(jù)企業(yè)特色,配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備��,如備用發(fā)電機�����、備用操作工具��、備用電線����、備用油庫等,用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計或生產(chǎn)出現(xiàn)問題�����;通過配置一定的監(jiān)測管理方案或設(shè)施����,對系統(tǒng)進行一體化監(jiān)管�����,用以及時發(fā)現(xiàn)問題(包括自然風(fēng)險因素�、設(shè)備生產(chǎn)安全風(fēng)險因素等)并解決問題����,保證工業(yè)控制系統(tǒng)運行的優(yōu)化性。此外��,加強互聯(lián)網(wǎng)滲透與分析防治:設(shè)計工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題���,可通過換位思考的形式��,對已經(jīng)設(shè)計的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系進行測評�����,并從對方的角度進行思考���,制定防護對策,用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性��。
3.2強化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護能力
工業(yè)控制系統(tǒng)生產(chǎn)企業(yè),作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者����,應(yīng)提升自身對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計的重視程度����,從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時��,系統(tǒng)生產(chǎn)企業(yè)在引進先進設(shè)計技術(shù)與經(jīng)驗的基礎(chǔ)上����,強化自身綜合能力與開發(fā)水平,保證工業(yè)控制系統(tǒng)緊跟時展需求�,推動工業(yè)控制系統(tǒng)不斷創(chuàng)新,從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險��。
3.3加大政府扶持與監(jiān)管力度
由上述分析可知�,工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用,并占據(jù)著重要的地位���,其安全性�、穩(wěn)定性����、創(chuàng)新性�����、優(yōu)化性對我國市場經(jīng)濟發(fā)展與社會的穩(wěn)定具有直接影響作用����。由此可見�,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建,不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題���,政府以及社會等外部體系的構(gòu)建同樣具有重要意義�。對此��,政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會責(zé)任的執(zhí)行���,加強對工業(yè)控制系統(tǒng)安全防護體系環(huán)境的管理與監(jiān)督�,促進工業(yè)控制系統(tǒng)安全防護外部體系的構(gòu)建���。例如����,通過制定相應(yīng)的網(wǎng)絡(luò)安全運行規(guī)范與行為懲罰措施,用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生����;通過制定行業(yè)網(wǎng)絡(luò)安全防護機制與準則,嚴格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性����,加大自身維權(quán)效益�����。
4結(jié)論
綜上所述��,本文針對“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系”課題研究的基礎(chǔ)上���,分析了工業(yè)控制系統(tǒng)以及當今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題���,并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的基礎(chǔ)上,提供了加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的優(yōu)化對策�,以期對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認知與理解,從而促進我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)的優(yōu)化發(fā)展��。
參考文獻:
[1]王棟,陳傳鵬,顏佳,郭靚,來風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016(2):6-11.
[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護體系設(shè)計[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.
[4]羅常.工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應(yīng)用研究[J].機電工程技術(shù),2016(12):97-100.
[5]劉秋紅.關(guān)于構(gòu)建信息安全防護體系的思考——基于現(xiàn)代計算機網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場,2013(6):314.
[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對策研究[J].保密科學(xué)技術(shù),2013(4):16-21.
第5篇
Abstract: The paper mainly introduces the components and the related technology of network security access control system and explores the application of this technology on railway information system.
關(guān)鍵詞:網(wǎng)絡(luò)安全;準入控制;鐵路
Key words: network security; access control; railway
中圖分類號:TP319文獻標識碼:A文章編號:1006-4311(2010)27-0170-01
0引言
隨著網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜,國家對鐵路信息系統(tǒng)的安全級別提高到了《信息安全等級保護》的范疇,這就意味著鐵路信息系統(tǒng)需要進一步提高安全等級���。為此,鐵路部門非常重視各種信息系統(tǒng)的安全建設(shè)�。
現(xiàn)有鐵路各信息系統(tǒng)中一般都部署了防病毒、補丁分發(fā)等安全措施,起到了一定的網(wǎng)絡(luò)安全防護作用��。但隨著網(wǎng)絡(luò)的發(fā)展,這些單個��、相對靜態(tài)的防護措施如何能夠進一步的增強和擴展,如何能夠有效的結(jié)合在一起提高系統(tǒng)安全性,達到國家對鐵路系統(tǒng)的安全要求,這就是需要探討的網(wǎng)絡(luò)安全準入控制系統(tǒng)����。
1網(wǎng)絡(luò)安全準入控制技術(shù)概述
網(wǎng)絡(luò)安全準入控制的核心概念是從網(wǎng)絡(luò)接入端點的安全控制入手,結(jié)合認證服務(wù)器,安全策略服務(wù)器和網(wǎng)絡(luò)設(shè)備,以及第三方防病毒、系統(tǒng)補丁等服務(wù)器,完成對接入終端用戶的強制認證和安全策略應(yīng)用,從而保障網(wǎng)絡(luò)安全��。
現(xiàn)今,思科���、賽門鐵克�、H3C等廠家已有成熟的網(wǎng)絡(luò)安全準入控制系統(tǒng),可以支持常見的準入控制���、安全管理����、防病毒����、補丁分發(fā)�����、ACL(訪問控制列表)下發(fā)�、防ARP攻擊���、U盤外設(shè)管理等功能����。其可以實現(xiàn)對整個系統(tǒng)的接入控制�、可視化和動態(tài)的管理,增強系統(tǒng)的高安全�。
2鐵路系統(tǒng)應(yīng)用方案
對于鐵路各信息系統(tǒng)應(yīng)用網(wǎng)絡(luò)安全準入控制系統(tǒng),只需增加安全策略服務(wù)器、認證服務(wù)器,并結(jié)合已有的防病毒��、補丁分發(fā)�����、網(wǎng)絡(luò)設(shè)備等,即可進行無縫��、有效的整合,形成一套聯(lián)動的系統(tǒng),實現(xiàn)準入控制等強大的功能����。
2.1 鐵路信息系統(tǒng)現(xiàn)狀鐵路行業(yè)各信息系統(tǒng)的網(wǎng)絡(luò)構(gòu)架以典型的E1環(huán)形網(wǎng)絡(luò)為主,網(wǎng)絡(luò)接入節(jié)點為車站,核心節(jié)點一般為鐵路局�。鐵路信息系統(tǒng)具備常用的防病毒和漏洞補丁等安全設(shè)備,可以起到對網(wǎng)內(nèi)固定的計算機�����、服務(wù)器等設(shè)備進行病毒防護和補丁升級,但對于系統(tǒng)中是否有其他終端接入,接入的終端設(shè)備是否合法,合法用戶終端系統(tǒng)是否安全等并未做更進一步的控制��。
2.2 網(wǎng)絡(luò)安全準入控制實現(xiàn)方式網(wǎng)絡(luò)安全準入控制系統(tǒng)以既有系統(tǒng)網(wǎng)絡(luò)為基礎(chǔ),在網(wǎng)絡(luò)核心交換機處設(shè)置隔離區(qū),增加安全策略和認證服務(wù)器,并利舊補丁分發(fā)和防病毒服務(wù)器��。隔離區(qū)中服務(wù)器與既有服務(wù)器群采用不同VLAN子網(wǎng)隔離開來�。在既有車站路由器開啟802.1x通用認證協(xié)議。
2.2.1 系統(tǒng)構(gòu)成�����。①安全策略服務(wù)器及安全客戶端���。②認證服務(wù)器�����。③防病毒��、補丁分發(fā)服務(wù)器�����。④網(wǎng)絡(luò)設(shè)備���。
2.2.2 系統(tǒng)要求���。用戶終端計算機必須安裝準入控制系統(tǒng)客戶端軟件,在接入網(wǎng)絡(luò)前首先要進行802.1x和安全認證,否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。在接入路由器或交換機中要部署802.1x認證,結(jié)合認證服務(wù)器進行聯(lián)動,強制進行基于用戶的802.1x認證和動態(tài)ACL��、VLAN控制�。安全策略服務(wù)器中配置用戶的服務(wù)策略、接入策略�����、安全策略,用戶進行802.1x認證時,由安全策略服務(wù)器驗證用戶身份的合法性,并基于用戶角色(服務(wù))向安全客戶端下發(fā)安全評估策略(如檢查病毒庫版本���、補丁安裝情況等),完成身份和安全評估后,由安全策略服務(wù)器確定用戶的ACL、VLAN以及病毒監(jiān)控策略等�。防病毒、漏洞補丁服務(wù)器部署于隔離區(qū)�����。
2.2.3 流程說明�����。①用戶上網(wǎng)前必須首先進行身份認證,確認是合法用戶后,安全客戶端還要檢測病毒軟件和補丁安裝情況,上報安全策略服務(wù)器。②安全策略服務(wù)器檢測補丁安裝����、病毒庫版本等是否合格。③安全策略服務(wù)器通知接入設(shè)備,將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)���。此時,用戶只能訪問補丁服務(wù)器�、防病毒服務(wù)器等安全資源,因此不會受到外部病毒和攻擊的威脅���。④安全客戶端通知用戶進行補丁和病毒庫的升級操作���。⑤用戶升級完成后,可重新進行安全認證。⑥如果用戶補丁升級不成功,用戶仍然無法訪問其他網(wǎng)絡(luò)資源,可進行相應(yīng)檢測��。⑦用戶可以正常訪問其他授權(quán)(ACL�����、VLAN)的網(wǎng)絡(luò)資源�����。
2.3 實施效果①由于接入節(jié)點路由器或交換機對端口部署了802.1x認證,所有非法用戶將不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。并且認證通過前,用戶終端之間無法實現(xiàn)互訪(前提是車站交換機支持802.1x,如果是在路由器實現(xiàn)802.1x則無法控制車站內(nèi)的終端之間互訪)����。②合法用戶接入網(wǎng)絡(luò)后,其訪問權(quán)限受路由器或交換機中的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問�����。③合法用戶接入網(wǎng)絡(luò)后,其互訪權(quán)限受路由器控制,實現(xiàn)對終端接入網(wǎng)絡(luò)訪問控制����。④用戶正常接入網(wǎng)絡(luò)前,必須通過安全客戶端的安全檢查,確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網(wǎng)帶來的安全風(fēng)險����。⑤通過使用網(wǎng)絡(luò)準入系統(tǒng)客戶端軟件,可對用戶的終端使用行為進行嚴格管理,比如禁止U盤、禁止光驅(qū)等�。
3網(wǎng)絡(luò)安全準入控制系統(tǒng)優(yōu)勢
①系統(tǒng)整合后將安全防范由靜態(tài)轉(zhuǎn)向動態(tài)方式,對于所有網(wǎng)絡(luò)接入用戶可實現(xiàn)接入控制和監(jiān)控,及時發(fā)現(xiàn)非法接入情況,對整個系統(tǒng)實現(xiàn)“透明可視”,降低了系統(tǒng)風(fēng)險。②系統(tǒng)整合后將以往部署的防病毒�、補丁分發(fā)功能進一步的功能擴大,可實現(xiàn)對于既有系統(tǒng)正常用戶進行“體檢”,發(fā)現(xiàn)其安全缺陷,而進一步的進行修復(fù),更加智能化,同時帶來的是更高的安全性��。③該系統(tǒng)可以無縫的直接整合在既有系統(tǒng)中,具備一定的兼容和適用性���。④整合現(xiàn)有防病毒�、補丁分發(fā)、終端操作系統(tǒng)管理維護等功能,進行集中��、統(tǒng)一管理和維護,減少維護管理工作量����。
4結(jié)束語
網(wǎng)絡(luò)安全準入控制系統(tǒng)旨在整合現(xiàn)有資源,全面、可靠的保證系統(tǒng)安全性和可靠性���。在鐵路信息系統(tǒng)應(yīng)用,可以以較少的投入實現(xiàn)高安全性�����、可視化和動態(tài)防護的功能���。同時,對于鐵路各信息系統(tǒng)之間的訪問控制,則可以新增或利舊既有的防火墻、網(wǎng)閘來實現(xiàn)安全隔離訪問,進一步完善系統(tǒng)間的安全性�����。
隨著國家鐵路信息化安全建設(shè)的推進,網(wǎng)絡(luò)安全準入控制系統(tǒng)以其全面���、高效��、安全的特點,必將在行業(yè)內(nèi)得到應(yīng)用和推廣����。
參考文獻:
[1]H3C EAD終端準入控制解決方案[Z].2010,3.
第6篇
關(guān)鍵詞:工業(yè)控制系統(tǒng);安全威脅;無線網(wǎng)絡(luò)安全
工業(yè)控制系統(tǒng)包括了多種控制系統(tǒng),是對監(jiān)控數(shù)據(jù)采集系統(tǒng)(SCADA)�����、可編程邏輯控制器(PLC)��、分布式控制系統(tǒng)(DCS)等控制系統(tǒng)的總稱���。工業(yè)控制系統(tǒng)在國家關(guān)鍵基礎(chǔ)設(shè)施中廣泛運用�,是國家關(guān)鍵基礎(chǔ)設(shè)施正常運轉(zhuǎn)的基礎(chǔ)�����。隨著無線網(wǎng)絡(luò)技術(shù)運用到工控系統(tǒng)中���,無線網(wǎng)絡(luò)的安全問題便備受關(guān)注��。無線網(wǎng)絡(luò)的開放性和脆弱性使得工控系統(tǒng)容易遭受惡意攻擊和竊聽���、詐騙等安全威脅,加強工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)安全具有重要意義��?��;诂F(xiàn)今主要安全防護策略���,從密鑰管理、加密算法和路由層安全技術(shù)三方面來提升工控系統(tǒng)中無線網(wǎng)絡(luò)的安全度����。
1.工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)的安全問題
工業(yè)控制系統(tǒng)對國家社會生活有關(guān)鍵作用,交通����、工業(yè)、能源�、市政等都離不開工控系統(tǒng)的支持和運作。無線網(wǎng)絡(luò)應(yīng)用于工控系統(tǒng)大大方便了國民基礎(chǔ)設(shè)施的正常運行���,但由于無線網(wǎng)絡(luò)的公開性和目前技術(shù)的限制�����,工控系統(tǒng)中無線網(wǎng)絡(luò)面臨許多潛在的安全威脅�����,如惡意攻擊�����、無線網(wǎng)絡(luò)系統(tǒng)本身落后等���,一旦工控系統(tǒng)遭遇不良破壞和干預(yù)���,整個國民基礎(chǔ)設(shè)施便會處于癱瘓狀態(tài),給國民經(jīng)濟和生活帶來巨大障礙和損失���。
1.1惡意攻擊
惡意攻擊是指工控系統(tǒng)遭受到人為的破壞和干擾���,對工控系統(tǒng)安全造成嚴重威脅的行為。這類攻擊可以分為兩種����,即主動攻擊和被動攻擊。一般而言�����,主動攻擊包括通過偽造病毒并發(fā)送到目標計算機系統(tǒng)中,實現(xiàn)攻破��、侵占的目的�����。而不驚動目標計算機系統(tǒng)�,在不知不覺中直接獲取計算機內(nèi)的重要信息和數(shù)據(jù)的行為屬于被動攻擊��。惡意攻擊會流失基礎(chǔ)設(shè)施運轉(zhuǎn)的資料和信息�,易被不法分子利用,對國家生活安全造成嚴重威脅�。
1.2無線網(wǎng)絡(luò)系統(tǒng)自身的落后性
無線網(wǎng)絡(luò)技術(shù)目前處于新興時期,所以無線網(wǎng)絡(luò)運用在工控系統(tǒng)中突顯了它自身的技術(shù)缺陷�。首先,計算�����、存儲能力不足��,工業(yè)控制現(xiàn)場采用的大多是嵌入式CPU���,這種CPU存儲空間相對較小���、計算能力有限����,無法承擔大型的數(shù)據(jù)計算任務(wù)����。另外,無線網(wǎng)絡(luò)的能量消耗較大�����,而工業(yè)控制現(xiàn)場的終端設(shè)備不需要人工監(jiān)控��,為設(shè)備充電和更換電池的做法都不具有可行性�,所以在保障無線網(wǎng)絡(luò)安全時要考慮低消耗問題。最后���,節(jié)點分布的任意性使得無法確定節(jié)點與節(jié)點之間的位置和距離����。
1.3抗攻擊能力弱
傳感器節(jié)點是工控系統(tǒng)中無線網(wǎng)絡(luò)安全的關(guān)鍵組成部分����,一旦節(jié)點受到破壞或攻擊����,將帶來巨大的損失���。這是因為傳感器節(jié)點一般安置在比較惡劣�����、困難的環(huán)境中,長期下來容易受到物理性的破壞��,檢測并進行維修存在較大困難�����,又由于傳感器節(jié)點所在區(qū)域是開放的��,攻擊者便能迅速侵入漏洞��,獲取該節(jié)點的敏感信息�,從而帶來一系列連鎖的惡性影響。
2.無線網(wǎng)絡(luò)在工控系統(tǒng)中的安全性
無線網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)中逐漸受到采納和青睞�,是由于無線網(wǎng)絡(luò)的低成本、組網(wǎng)靈活性高����、可靠度較高等方面的優(yōu)勢�。而在這些優(yōu)勢中��,無線網(wǎng)絡(luò)技術(shù)的安全性是工業(yè)控制系統(tǒng)最關(guān)注的問題��。目前�,無線網(wǎng)絡(luò)在工控系統(tǒng)中主要研究密鑰模式、加密算法技術(shù)和路由層安全技術(shù)來提高其安全度��。
2.1創(chuàng)新密鑰模式
密鑰管理是無線網(wǎng)絡(luò)安全性的重要保障�����,對工控系統(tǒng)提供了安全保障���。密鑰管理涉及了密鑰預(yù)分配�����、密鑰發(fā)現(xiàn)和維護三方面內(nèi)容����,這其中又囊括數(shù)據(jù)加密、數(shù)據(jù)認證和節(jié)點身份認證�,對維護無線網(wǎng)絡(luò)安全有重要作用。密鑰模式能有效抵擋惡性攻擊�,增強無線網(wǎng)絡(luò)對攻擊者的抵御能力。目前�����,較為成功的密鑰管理方案主要有posite隨機密鑰預(yù)分配方式�、隨機密鑰預(yù)分配方案等,這些密鑰管理方案都在一定程度上提高了工控系統(tǒng)的安全度��。為了建立起有效的工控系統(tǒng)安全防護體系�����,還要繼續(xù)創(chuàng)新密鑰管理模式�����,增強其破解難度����。
2.2提高加密算法技術(shù)
加密算法是保證工控系統(tǒng)信息安全的一個重要方面�����。使用無線網(wǎng)絡(luò)的加密算法技術(shù)后,攻擊者只有破解了加密算法才能進入工控系統(tǒng)���,而這無疑大大加大了惡意竊取信息的難度和復(fù)雜性��,從而對工控系統(tǒng)起到了安全維護的作用�����。加密算法發(fā)展至今�����,已經(jīng)出現(xiàn)了多種有效的算法方式����,如AES��、DES����、TEA、MD5等��,在現(xiàn)今發(fā)展的基礎(chǔ)之上,加密算法的速度要不斷增強����,能量消耗也需要盡量降低,使之更好地服務(wù)工控系統(tǒng)�。
2.3加強路由層安全技術(shù)
工控系統(tǒng)底層通信的基礎(chǔ)是路由層技術(shù),因此提高路由層安全技術(shù)是保障工控系統(tǒng)安全的重要部分���。路由層技術(shù)的提升能增強無線網(wǎng)絡(luò)的抗干擾性和自愈能力�����,為工控系統(tǒng)通信安全提供保證���。整個無線網(wǎng)絡(luò)的安全度需要路由層安全技術(shù)做支撐,因此��,必須針對現(xiàn)有的路由層技術(shù)缺陷�,研究出安全系數(shù)更高的路由層���。
3.結(jié)束語
工業(yè)控制系統(tǒng)關(guān)系國計民生�,無線網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用能降低成本���、方便維護和增強靈活性����,然而無線網(wǎng)絡(luò)的開放性使工控系統(tǒng)安全性受到一定威脅。為了保障工控系統(tǒng)的安全性�����,主要從密鑰管理模式�����、加密算法�����、路由層安全技術(shù)者三方面著手�,致力于增強密鑰管理的創(chuàng)新性和復(fù)雜度,開發(fā)新型加密算法并提高路由層安全技術(shù)����。在新時期,建立高安全性能的無線網(wǎng)絡(luò)安全體系是完善國家工業(yè)控制系統(tǒng)的必然要求����。
參考文獻:
[1]曲家興���,周瑩,王希忠���,張清江.工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)安全體系的研究[J].信息技術(shù)�,2013�,01:36-38.
第7篇
【關(guān)鍵詞】電廠;生產(chǎn)控制系統(tǒng)���;網(wǎng)絡(luò)信息安全
中圖分類號:F407 文獻標識碼: A
一��、前言
作為電廠生產(chǎn)運作的一項重要工具���,生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應(yīng)用和深入的研究。研究其網(wǎng)絡(luò)信息安全�����,能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性��,從而更好地保證電廠生產(chǎn)的順利進行���。本文從概述相關(guān)內(nèi)容開始探究�。
二����、概述
為了提高工作效率,絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡(luò)����,內(nèi)部網(wǎng)絡(luò)存在的安全隱患同樣會對信息安全造成很多的威脅,甚至?xí)﹄姀S造成重大經(jīng)濟損失����。電廠網(wǎng)絡(luò)面臨的威脅來自于電廠內(nèi)部和電廠外部兩個方面,安全隱患主要體現(xiàn)在管理不嚴�,導(dǎo)致非法入侵;電廠內(nèi)部操作不規(guī)范�����,故意修改自己的IP地址等�����,導(dǎo)致電廠內(nèi)部信息的泄漏���;網(wǎng)絡(luò)黑客通過系統(tǒng)的漏洞進行攻擊��,導(dǎo)致網(wǎng)絡(luò)的癱瘓����,數(shù)據(jù)的盜取��;病毒通過局域網(wǎng)資料的共享造成病毒的蔓延等�。
電廠網(wǎng)絡(luò)面臨的外部威脅主要是指黑客攻擊,它們憑借計算機技術(shù)和通信技術(shù)侵入到電廠內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中��,非法獲得電廠內(nèi)部的機密文件和信息���。無論是操作系統(tǒng)還是網(wǎng)絡(luò)服務(wù)都存在一定的安全漏洞�����,這些漏洞的存在��,就給攻擊者提供了入侵的機會����。網(wǎng)絡(luò)黑客通過各種手段對網(wǎng)絡(luò)中的計算機進行攻擊��,非法闖入信息系統(tǒng),竊取信息�����,泄露信息系統(tǒng)內(nèi)的重要文件�����。
由于電廠內(nèi)部管理不善�����,電廠員工的惡意行為也影響著信息的安全���,內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報復(fù)。其中��,內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因����,有的工作人員利用自己的工作便利進入電廠的信息系統(tǒng),竊取電廠信息系統(tǒng)內(nèi)的重要文件�,并將信息泄漏給他人,獲取一定的利益���;有的員工直接打開從網(wǎng)上下載的文件和視頻��,不經(jīng)過專業(yè)殺毒軟件的掃描�����,給電廠的內(nèi)部網(wǎng)絡(luò)帶來安全隱患����,甚至帶來的病毒在全網(wǎng)絡(luò)蔓延,造成電廠內(nèi)網(wǎng)的癱瘓�,嚴重損壞公司的利益,影響公司的正常運轉(zhuǎn)�����。
三����、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患
1.被動攻擊形式
被動攻擊這種情況下在計算機領(lǐng)域中稱作是流量分析現(xiàn)象。在計算機網(wǎng)絡(luò)安全中��,最為典型的信息攻擊方式是信息的截獲��,信息的捕獲主要指的是在信息技術(shù)中��,網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)技術(shù)對他人的私人信息進行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀。在這個過程中����,網(wǎng)絡(luò)信息得到攻擊者通過對數(shù)據(jù)信息的觀察與分子,進行相應(yīng)的網(wǎng)絡(luò)信息的攻擊�,尤其是對其中的一個數(shù)據(jù)單元進行相應(yīng)的攻擊�����,其中攻擊的是網(wǎng)絡(luò)中的信息數(shù)據(jù)����,并不是信息流。上述的這些網(wǎng)絡(luò)信息的安全隱患中����,網(wǎng)絡(luò)信息的攻擊者和黑客是無處不在的,總是對網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息進行攻擊���,盜取用戶的個人信息��,這些攻擊者主要是通過網(wǎng)絡(luò)中的數(shù)據(jù)協(xié)議PUD對用戶的信息資源進行了一定的控制與盜取��,最終導(dǎo)致而來網(wǎng)絡(luò)信息資源安全隱患的產(chǎn)生�����。
2.主動攻擊
計算機網(wǎng)絡(luò)安全注的主動攻擊是指��,在計算機網(wǎng)絡(luò)通訊系統(tǒng)中����,攻擊者或者是黑客,通過網(wǎng)絡(luò)技術(shù)�,連接到具體的數(shù)據(jù)通訊協(xié)議進行有目的有計劃的信息資源的獲取。這個過程是一種目的性明確的信息盜取方式�����,對于系統(tǒng)中的信息進行有目的的安全性攻擊�。并且在整個計算機網(wǎng)絡(luò)通訊技術(shù)的安全性攻擊過程中,攻擊者通過對系統(tǒng)中的數(shù)據(jù)協(xié)議進行攻擊����,延遲了PDU的運行,嚴重情況下�,最終將一種偽造的PDU輸送到相應(yīng)的網(wǎng)絡(luò)中進行信息數(shù)據(jù)的傳輸。其中��,此處所述的信息中斷���、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說的一種計算機網(wǎng)絡(luò)完全的被動攻擊方式��。
四�����、電廠生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)安全的改進方案
1.物資需求計劃的應(yīng)用
MRP即物資需求計劃����,所謂物資需求計劃指根據(jù)產(chǎn)品結(jié)構(gòu)中不同層次的物品的從屬關(guān)系和數(shù)量關(guān)系���,以單件產(chǎn)品為對象��,以完工時間為標準的倒排計劃�,根據(jù)提前期的長短制定物品下達時間的先后順序�����,是一種電廠內(nèi)的物資計劃管理模式����。通過運用物資需求計劃,精確地對每月的生產(chǎn)任務(wù)進行合理安排�,可以有效解決電廠生產(chǎn)過程中出現(xiàn)的“月初任務(wù)松����,月末任務(wù)緊”的現(xiàn)象�����,通過合理調(diào)整生產(chǎn)計劃��,使發(fā)電廠對市場的應(yīng)變能力加強�。
2.完善身生產(chǎn)生產(chǎn)計劃和控制系統(tǒng)
發(fā)電廠需要將安全生產(chǎn)列為其主要的研究內(nèi)容,通過確保其生產(chǎn)質(zhì)量提高其在同行業(yè)中的競爭力���,從而獲得較大的經(jīng)濟效益���。通過完善發(fā)電廠自身的管理體系,使其在進行安全生產(chǎn)的同時�,保障其生產(chǎn)計劃的順利執(zhí)行。建立并完善合理的監(jiān)督管理體系���,有助于提高發(fā)電廠內(nèi)部員工的自覺性和職業(yè)素質(zhì)���,可以在滿足客戶需求的同時,有效地提高發(fā)電廠的經(jīng)濟效益�。
3.主生產(chǎn)計劃方案編制
所謂主生產(chǎn)計劃�,是物資需求計劃的主要輸入因素��,其以合同為依據(jù)��,并按一定的時間段對相關(guān)電力產(chǎn)品的數(shù)量以及交貨日期進行合理分析���,并在現(xiàn)有的生產(chǎn)計劃與設(shè)備資源中做出相應(yīng)的平衡的新型生產(chǎn)計劃���。另一方面,從客戶和電廠的雙方面角度出發(fā)�,主生產(chǎn)計劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計劃,另一方面使得電廠的各項生產(chǎn)得以有序進行�,從而提高了電廠與用戶的合作效率。
五���、強化生產(chǎn)控制系統(tǒng)安全的措施
1.對安全規(guī)劃產(chǎn)生足夠的重視
電廠網(wǎng)絡(luò)安全規(guī)劃就是全面的思考網(wǎng)絡(luò)的安全問題,對于安全問題�,需要以系統(tǒng)觀點進行考慮。要想提升安全管理的有效性����,就需要對信息安全管理體系進行全面系統(tǒng)的構(gòu)建。
2.對安全域進行合理劃分
電廠將電廠網(wǎng)絡(luò)的內(nèi)外網(wǎng)實行了物理隔離�,但是在內(nèi)網(wǎng)上�����,安全域的合理劃分依然非常重要���。在劃分的時候,需要結(jié)合整體的安全規(guī)劃和信息安全等級來進行��,對核心重點防范區(qū)域和一般防范區(qū)域以及開放區(qū)域進行劃分�����。網(wǎng)絡(luò)安全的核心就是重點防范區(qū)域����,用戶不能夠?qū)@個區(qū)域直接訪問,安全級別較高�;應(yīng)該在這個區(qū)域內(nèi)放置各種重要數(shù)據(jù)、服務(wù)器和數(shù)據(jù)庫服務(wù)器��,在本區(qū)域內(nèi)運行各種應(yīng)用系統(tǒng)�����、OA系統(tǒng)等���。
3.對安全管理進行強化��,對制度建設(shè)產(chǎn)生足夠的重視
為了促使電廠網(wǎng)絡(luò)信息安全得到保證�,就需要系統(tǒng)性的考慮電廠網(wǎng)絡(luò)信息安全,對于電廠網(wǎng)絡(luò)的安全問題�����,非常重要的一個方面就是安全管理和制度建設(shè)�����。首先要對日志管理和安全審計產(chǎn)生足夠的重視���,通常情況下����,審計功能是防火墻和入侵檢測系統(tǒng)都具備的���,要將它們的審計功能給充分利用起來,提升網(wǎng)絡(luò)日志管理和安全審計的質(zhì)量����。要嚴格管理審計數(shù)據(jù)�,任何人不得對審計記錄進行隨意的修改和刪除���。
4.構(gòu)建內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)
網(wǎng)絡(luò)信息安全最為關(guān)鍵的一項技術(shù)就是認證�����,通過認證����,身份鑒別服務(wù)���、訪問控制服務(wù)以及機密都可以得到實現(xiàn)����。對病毒防護體系進行構(gòu)建�����,將防病毒體系安裝于電廠網(wǎng)絡(luò)上��,遠程安裝��、遠程報警以及集中管理等都是防病毒軟件的功能;要對防病毒的管理制度進行構(gòu)建�,不能夠在內(nèi)網(wǎng)主機上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù),不能夠在聯(lián)網(wǎng)計算機上使用來歷不明的移動存儲設(shè)備����,發(fā)現(xiàn)病毒之后,相關(guān)工作人員需要及時采取處理措施�。
六、結(jié)束語
通過對電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全的相關(guān)研究�,我們可以發(fā)現(xiàn),威脅其安全的因素來自多方面�����,有關(guān)人員應(yīng)該從電廠生產(chǎn)控制系統(tǒng)運作的客觀實際出發(fā)����,充分分析威脅因素,從而研究制定最為切合實際的網(wǎng)絡(luò)信息安全應(yīng)對策略����。
參考文獻:
[1] 覃冠標.關(guān)于發(fā)電廠生產(chǎn)計劃與控制系統(tǒng)的改進研究[J].科技資訊.2013(34):141-143.
[2] 吳興波.S公司生產(chǎn)計劃與控制改進研究[J].華南理工大學(xué)學(xué)報.2010(01):88-89.
[3] 李隨成,樊相宇.MRP生產(chǎn)計劃與控制系統(tǒng)的探討[J].西安理工大學(xué)學(xué)報.2010(23):356-360.
