工業網絡信息安全范文

時間:2023-10-10 18:05:19

導語:如何才能寫好一篇工業網絡信息安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

工業網絡信息安全

篇1

工程控制系統是建立在網絡信息基礎之上的,計算機充當各個監測和控制物理過程的端口,通過將不同端口之間有機的連接和限制訪問,實現網絡化系統控制。一般來講,工業控制系統分為幾個子系統,分別為過程控制系統、數據采集系統以及狀態監控系統。每個子系統分別擁有不同的功能,但相互之間又通過工業生產過程相互聯接,使整個工業控制系統成為一個整體。工業控制系統的基本組件有:計算機、傳感器、執行器、通訊設備及信息傳輸設備組成。其網絡結構一般采用樹狀分支結構,最上面是企業工作站,負責分析處理下級傳遞上來的信息并進行綜合分析,得出結論,向下級發出指令;企業工作站下面是操作員工作站,操作員工作站可能有一個或多個,具體與企業結構相關,其主要任務是收集下級傳遞上來的信息,并及時處理突況,向上級傳遞信息,執行上級指令;操作員工作站下面是傳感器和執行器,一般情況下,傳感器和執行器是并存的,傳感器感受到工業生產過程中的狀態信息,并向上級傳遞信息,執行器執行操作員工作站發出的指令,完成對工業生產過程的全方位控制。

2工業控制系統的網絡信息安全要求

相比較工業控制系統網絡信息安全來說,傳統IT信息安全的技術已經相當成熟,但IT控制系統在工業控制中無法有效得到應用。因此,工業控制系統的安全性不能直接采用IT信息安全技術進行防護。下面,筆者就根據工業控制系統的特點分析工業控制系統的安全性防護問題。工業控制系統一般用電負荷等級比較高,除了市電之外,一般由UPS不間斷電源作為備用電源,是由電池組、逆變器和其他電路組成,能在電網停電時提供交流電力的電源設備。UPS單臺計算機、計算機網絡系統或其他電力電子設備提供不間斷的電力供應。當市電輸入正常時,UPS將市電穩壓后供應給負載使用,此時的UPS就是一臺交流市電穩壓器,同時它還向機內電池充電;當市電中斷(事故停電)時,UPS立即將機內電池的電能,通過逆變轉換的方法向負載繼續供應220V交流電,使負載維持正常工作并保護負載軟、硬件不受損壞。工業控制系統同IT信息系統的不同之處在于其對安全性和可用性的要求更高,傳統信息安全采用打補丁的方式更新系統已不再適用于工業控制系統。因此,工業控制系統的更新需要長時間的準備,為防止更新系統過程中對工業生產造成影響,造成不必要的損失或者出現工業事故,往往在更新系統期間,工業生產暫停,將系統設為離線狀態,這是因為更新過程中可能控制系統中某一數據發生變化引起連鎖反應,造成生產事故甚至安全事故。盡管停機更新系統需要的成本極高,但為防止出現事故,一般不會采用IT信息安全技術對系統進行更新維護。因此,要實現對工業控制系統的安全性防護,同時不能對工業控制系統造成較大的封閉,保證其響應力,就不能采用加密傳統IT信息安全技術,最經典的安全防護技術就是安全防火墻的設置。防火墻可以設置在工業控制系統的,與工業控制系統沒有聯系,對控制系統也不會造成負擔,同時保證了威脅因素不能進入防火墻內部,也就不能實現對控制系統的惡意攻擊。

3結語

篇2

 

在社會經濟的推動下,我國供電企業得到了較快發展,在更好滿足人們供電需求的同時,順應了城市化發展的潮流。目前,很多供電企業都對信息技術進行了較好應用,并通過其提高員工的工作效率以及質量,從而給供電企業的發展帶來了一定機遇。雖然我國的網絡信息技術有了較好發展,但在供電企業網絡信息管理中,依然存在許多信息安全問題,給企業發展以及社會穩定帶來不利,因此,加強供電企業網絡信息安全防護具有重要意義。

 

一、供電企業網絡信息安全概要

 

隨著科學技術的不斷進步,我國許多供電企業都進入了智能化、自動化工作時代,并建立了自身的網絡信息數據庫,不僅給企業各項工作的順利進行帶來了較大便利,而且能夠為用戶提供更高質量的電能。在信息技術的推動下,供電企業營銷、財務等工作都實現了網絡化和規范化,而且有些地區對正向隔離器進行了較好應用,從而給網絡信息訪問提供了一定的安全保障。目前,許多供電企業將自身營銷網絡與MIS網絡進行了有效結合,并合理納入了呼叫接入系統,從而與銀行、用戶等能夠較好進行信息共享,并具有較高的安全性。雖然供電企業網絡信息具有一定的安全性,但是基于網絡載體的自身特性,依然存在著許多安全隱患,包括計算機病毒、惡意網頁等內容,這些不良因素嚴重影響著網絡信息的安全,不僅對企業各項工作的正常進行造成了較大影響,而且給用戶正常用電帶來了極大不利,最終產生多種社會問題。因此,加強供電企業網絡信息安全防護勢在必行。

 

二、供電企業網絡信息存在的安全問題

 

(一)供電企業網絡服務器質量不高

 

供電企業的電力系統中一般具有多種服務器,包括銀電聯網服務器、數據庫服務器、WEB服務器等,每種服務器都有著自身的特性和功能,對電力系統的正常運作具有重要作用。在信息技術的發展下,各種網絡侵入技術也有了較快發展,服務器非法入侵問題越來越嚴重,不僅給網絡信息的安全性帶來了較大隱患,而且破壞了社會穩定。在供電企業中,不同的服務器據具有不同的認證系統,主要是為了提高網絡安全性,但是沒有建立一個統一管理的網絡系統,致使工作人員難以對服務器進行有效管理;電力系統中的WEB服務器經常會受到各種惡意病毒的侵襲,致使信息訪問的安全性遭到較大沖擊;在供電企業的郵件服務器中,存在較多的垃圾郵件,但是管理人員疏于監管,而許多工作人員不具備較好的安全意識,將這些郵件隨意傳播,致使企業網絡信息安全受到嚴重威脅;由于供電企業網絡服務器質量不高、加密效果較差、管理人員安全意識不足,極易遭受黑客攻擊,致使企業機密文件或重要信息被竊取,最終給企業的正常運作帶來極大不利。

 

(二)供電企業網絡信息安全防護能力不足

 

在網絡信息技術發展的同時,各類信息安全事件也不斷涌現,不僅破壞了網絡秩序,而且產生了較多負面影響,因此,加強網絡信息安全防護具有重要作用。雖然我國信息技術有了較大進步,但是在供電企業中,其網絡信息安全防護能力還存在較大問題,難以適應網絡環境的復雜性與多變性,所以提高供電企業網絡信息安全防護能力勢在必行。目前,網絡的保護系統還沒有得到更為有效的保護,我國目前對于網絡信息的保護還僅僅是停留在購買殺毒軟件這個層次上,但是殺毒軟件其實效果是有限的,如果想要更加健全更加全方位的保護就必須要有自己的防護系統,例如在網關處加入自己的防護措施,并且具有針對性的增強安全手段。畢竟,對于供電企業來說,很多信息是非常重要的,也算是企業的機密文件,所以對于網絡的安全尤為重要。就部分供電企業而言,并不具有完善的信息安全防護系統,在殺毒軟件方面存在一定落后性,當網絡遭到外部攻擊時,現有的安全防護措施難以進行抵御。此外,有些供電企業不具備較好的數據恢復系統,一旦信息出現損害或消失,供電企業難以補救數據漏洞,從而給各項工作的順利進行帶來不利。目前的供電企業大都缺乏網絡信息安全評價體系,致使供電企業不能有效了解自身的網絡情況,也難以加強信息安全,所以如何提高網絡信息安全防護能力是供電企業面臨的重大問題。

 

(三)計算機病毒威脅

 

供電企業大都通過自身網站與外網進行鏈接實現信息訪問,由于網絡信息不具備較好的規范性,許多惡意網頁也隱藏在網站中,當員工點開惡意網頁的鏈接時,計算機病毒就會侵入供電企業網站服務器,并迅速擴散,最終造成服務器癱瘓。計算機病毒并不能夠直接用肉眼識別,許多計算機病毒都隱藏在一些正規的網頁中,所以電腦使用者不能夠及時發現網頁危害,當其無意中點開惡意網頁鏈接時,計算機病毒就會通過一定運作方式擴散至整個計算機終端,并改變服務器的運行程序,從而產生多種問題。

 

三、供電企業網絡信息安全防護措施

 

(一)完善計算機防火墻

 

防火墻是計算機中重要組成部分,主要分為兩種形式,一種是軟件防火墻,另一種是硬件防火墻。防火墻具有較高的安全性,能夠阻止網頁非法訪問以及惡意信息侵入,并能對信息的流通環節進行較好控制,從而保障網絡信息安全。因此,供電企業可以對硬件防護墻進行完善,利用其對企業內網與外網之間的信息訪問進行控制,并對外網進行有效隔離,從而提高信息訪問的安全性。為了更好保障網絡信息安全性,供電企業可以在完善防火墻的基礎上對殺毒軟件進行升級,并建立數據備份系統,從而取得較好的防護效果。在對防火墻進行完善時,供電企業需對訪問權限進行合理設置,并對相應的數據資源進行加密,合理控制數據進出環境,排除一切不利因素,從而提高防火墻的效果。防火墻不僅會對外網信息傳輸進行控制,而且還會對供電企業內網信息傳輸進行限制,所以供電企業在完善防火墻時必須對多種情況進行合理考慮,在滿足企業工作需求的前提下提高信息安全度,從而更好保障供電企業正常運作。

 

(二)增強員工安全意識

 

供電企業中具有多種類型的工作,而員工又是工作主體,所以增強員工安全意識對提高網絡信息安全性具有重要作用。供電企業須根據實際情況建立網絡安全制度,并加強對員工安全意識的教育,要求其在實際工作中樹立信息安全風險意識,嚴格控制信息輸出及輸入環節,按照相關規范進行工作。由于供電企業中多項環節都會涉及到網絡信息的應用,所以供電企業必須注重對員工進行安全培訓,并提高其專業能力,從而降低因人為因素造成的網絡信息安全隱患。

 

(三)預控計算機病毒

 

計算機病毒的種類較多,存在于計算機信息傳輸的各個環節,不僅會對供電企業的正常運作帶來不利,而且可能對電力系統的穩定性造成嚴重影響,所以供電企業必須采取有效措施預控計算機病毒。基于計算機病毒的威脅,供電企業可以建立網絡病毒墻,根據防火墻的特性來完善病毒墻的各種功能,以預控計算機病毒為目標,加強對網絡信息傳輸環節的控制,從而更好提高網絡信息安全性。

 

結束語

 

基于電力企業的重要性,維護網絡信息安全有著極大意義,也是保障社會穩定的重要措施。網絡具有復雜性和多樣性,其存在著多種漏洞,因此,信息安全問題在所難免,只有加強信息安全防護才能更好保障供電企業各項工作正常進行,所以供電企業必須加強對員工專業素質的培訓,并采取有效措施控制計算機病毒,這樣才能更好保障網絡信息安全,滿足人們正常供電需求。

篇3

關鍵詞:供電企業;計算機信息系統;網絡安全防范

前言:

信息技術的發展為人類社會帶來了更多的便利,因此國內的諸多行業為提高其工作的效率均廣泛采用計算機網絡技術以實現其信息化建設,與此同時,相應的各種網絡安全問題也日漸突出。供電企業為更好地向社會提供優質可靠的電力服務也在其供電管理系統中應用了計算機網絡,如果計算機信息系統的運行安全出現了問題則不僅會對供電企業的正常工作產生影響,同時也會影響到所在地居民的正常生活,因此必須要加強供電企業計算機信息系統的網絡安全性,并做好相關防范工作。

一、供電企業計算機信息系統網絡方面的安全防范現狀

實際上我國的供電企業在計算機網絡方面的建設已有多年的歷程,并且在規模以及技術上也有所發展,但隨著現今信息網絡的發展,其計算機網絡的發展也面臨著更多的挑戰。供電企業的管理系統關系著其財務、銷售、管理等多項涉及到其日常經營的業務,為此則必須要對計算機在其管理系統中的應用進行分析,以了解當前的計算機網絡安全現狀。

1. 計算機網絡在管理方面的安全防范現狀

隨著供電企業在信息化方面的建設工作不斷開展,其在管理方面尤其是安全性方面的管理工作取得了一定的進展,在原先的管理模式上做出了與計算機網絡向適應的針對性調整,使得其與信息化建設的要求也逐步向適應。但是由于我國計算機網絡在技術方面的飛速發展,不僅使供電企業對其依賴程度加深,同樣也使得其在管理方面的所存在的一些隱患問題暴露出來。安全防范的管理不足具體體現在機房管理不夠嚴謹,包括計算機的設備以及系統都存在不同程度的落后情況,在進行數據的存儲時無法提供可靠的記錄和存儲;在電源方面也是有所疏忽,一旦機房的主電源出現了問題則會迅速導致其信息數據的傳輸出現錯誤,進而使整個供電企業管理系統出現問題,后備電源的缺失以及供應不及時都會影響到整個計算機信息系統網絡方面的安全性,如下圖所示。

2. 計算機網絡在系統方面的安全防范現狀

在供電企業計算機信息系統中,其網絡的核心通常是匯聚交換機,并與其下屬的各個單位設備進行連接,從而形成一個系統化的大型局域網絡。然而由于在同各下屬單位之間進行連接時,對于網絡的傳輸安全未能予以相應的保護,再加上交換設備的常年使用使得其穩定性與安全性有所下降,進而導致其網絡在安全防范方面存在著較大的漏洞。在這種情況下一旦出現問題將會使其下屬的各個單位的管理系統也受到影響,造成區域性的供電系統紊亂。供電企業內部與外部通過網絡傳遞信息,結構較為簡單,在風險抵御上偏弱;同時由于操作業務的多樣性,使得其對于網絡網絡傳輸的接口以及性能方面有著較高的要求。當遭受來自廣域網上的攻擊,若未能抵御,容易出現網絡異常,嚴重者可能造成網絡癱瘓,或是數據丟失、信息外泄等情況,這對于供電系統的運行而言是相當危險的,因此必須要針對其網絡系統問題進行安全協議的優化以提高其系統的安全性[1]。同時,需要確保局域網中設備的穩定運行,維護正常的數據通信。

二、供電企業計算機信息系統網絡方面的優化分析

供電企業在對其計算機信息系統網絡進行管理時一般會將其歸為三部分,分別是外網管理、內網管理以及日常數據管理等,并且對這三個部分進行強化保護,以提升其網絡安全的等級。一般來講會將其內網應用于日常的數據處理中去,主要是客戶終端的各項業務服務;而外網的話則會將其用于客戶業務辦理,當然也可以用于客戶的訪問與咨詢。在其計算機信息系統網絡安全中,可以通過建立相互獨立的主機以及服務器從而將外網與內網進行隔離以保證其安全性,防止計算機網絡因局部故障而導致整體的運行受阻,有效地避免了供電網絡癱瘓的情況。內外網隔離的方法也可以實現計算機網絡在縱向與橫向之間的隔離,并且可以使供電系統的信息實現區域化管理,從而有效提高其對于外界的防御能力。同時也要注意對網絡結構進行相應的優化,供電企業在對管理系統進行計算機網絡配置時可以根據情況考慮使用新型骨干交換機,并且在每一臺交換機上配備兩套電源系統,一個是常規電源,另一個則是備用電源,從而保證設備能夠在出現電力故障時依然能夠正常運轉,并且出于機器散熱的考慮,需要配備相應的風扇以提高其散熱能力。在交換機上進行管理模塊的設置,使其既能夠完成冗余資料的備份,同時也能夠完成冗余荷載[2]。

三、供電企業計算機信息系統網絡方面的安全應急處理

為了能夠使供電企業管理系統安全性得到進一步的加強,則必須要充分考慮各種突發意外,并依此制定周全的應急處理機制,從而確保供電管理系統的計算機網絡能夠具備較好的抗災能力。首先是需要針對目前比較常見的黑客以及計算機病毒的攻擊,對資料與數據進行安全加密處理,并做好其備份工作,以降低其危害。在制定應急預案時應當對可能出現的各種情況進行詳細的分析,對于各個預案進行模擬演練,在演練完成后要做出正確的評估,以了解其對于災害的抵御能力,并對其中的不足予以指正,從而確保應急方案能夠及時有效的抵御外界入侵。同時也要對系統中計算機網絡的相關責任人員以及技術人員進行專化業化的技術培訓,從而提高其計算機網絡安全的技術水平,使其能夠為計算機網絡系統的運行安全予以技術支持。在權限方面需要對系統中的計算機網絡進行嚴格的權限等級設置,對于不符合其權限等級的操作要嚴格禁止,并進行相應的記錄,以便后期的檢查[3]。

四、總結

供電企業計算機信息系統網絡安全是一項長期而復雜的工程,需要根據供電企業現有的網絡運行環境和信息系統環境,加強安全和防護技術,從而使其能夠為供電企業的生產經營管理發揮更加優質、便捷的服務,促進電網企業的發展。

參考文獻:

[1]李偉?電力系統計算機信息網絡安全技術與防范探討[J]?通訊世界,2014,(9):69.

篇4

 

在網絡的發展過程中,計算機信息安全以及保密一直都是一個比較困難的問題,因為在網絡上有許許多多的方法都可能威脅到計算機信息,而且在現代網絡的環境之下,與傳統的信息交流交換方式不同,以往的信息流通通常是以人為終端的,但是現在網絡信息交換的方式多是計算機與計算機之間信息的交流,故在信息交流通道之中,有很大的漏洞使得計算機信息受到嚴重的威脅。所以本文將對電力企業計算機信息安全及保密工作進行研究。

 

一、計算機網絡安全以及保密易被威脅的方面

 

(一)數據的訪問無法限制性。電力內網用戶計算機內信息無法有效限制,很多數據都可以被他人隨意瀏覽或者拷貝。

 

(二)計算機信息當被集中到一起的時候,信息的價值將會被大幅度的提升。

 

(三)保護計算機信息的困難度十分大。因為在網絡上盡管可以設置多重的防御,但是這些防御都不是絕對的防御,都有可能被任何人突破,致使信息的安全受到威脅。

 

二、計算機網絡信息安全的保密研究

 

以上分析了在網絡環境之下計算機信息的安全性受到了極大的威脅,以及其信息的脆弱性所在,針對于這幾個信息安全的弱點,只有通過更加嚴謹的方法來加強信息的強度,增強信息的保密性。

 

(一)信息用戶權限認證。信息的接觸主要是由少部分的管理人員來接觸,而對于用戶的分級就是一個十分重要的過程。在將信息管理的權限交給管理人員的同時,也要確定管理人員身份的可靠性,應將管理人員的身份交給值得信任的人員,并且將管理權限分給數人處理,避免個別管理人員信息管理權力過大,出現不可挽回的問題。在監管管理人員的身份的同時,對于其他用戶身份的監管確認也是同樣重要的。建立一個用戶的認證體系可以有效地避免身份不明的人來訪問計算機信息,這樣從一開始就可以阻止一部分惡意登陸使用訪問信息的人,身份認證的方式有很多種,其中綁定IP地址、密碼設置等等的方法都可以使得用戶的身份得到一定的認證,并且管理人員同樣可以通過監管每個用戶的登陸信息,以及監管日志來查到一些惡意登陸信息的人,可以第一時間將威脅拒之于門外。

 

(二)數據庫的加密保護。數據庫中的信息數量大、機密性強,相對應的其價值也是十分的高,更加容易受到其他人惡意的進行攻擊。所以對于數據庫的保密將會有十分重大的意義,必須嚴密的保護這一類信息,防止他們被未經過管理員身份驗證之后進行訪問、拷貝或者篡改的。數據庫同時也是較為薄弱的部分,就算是沒有連接互聯網,也很有可能遭受到惡意的攻擊。而數據庫的防護除了將用戶的等級進行分類、同時也可以將數據進行分類,數據的訪問等級也將受到嚴密的控制,將整個數據庫的數據簡化為一個二維數據庫,可以將每一個數據分析成一個個的元素,根據不同的權限提供不同的數據。這樣僅僅只能限制部分的數據不被他人所惡意攻擊與篡改,同樣也需要加密數據庫來強化整個數據庫的保密性。數據庫的加密與常規的加密方式有所不同,不僅僅是強度大大增加,并且用逐一的加密方式使得數據庫中信息的安全程度又上了一層樓。

 

1.數據庫加密使用多重加密的方式。即將整個數據庫的加密分為多個部分,每一級別的加密都僅僅加密相關的數據信息,不會對其他的信息造成影響,且將數據信息分為多個部分,直接導致數據庫就算被他人入侵攻破,短時間之內不會出現過大的損失。

 

2.數據庫加密將有獨特的算法。一個數據庫的安全程度很大的程度上都取決于整個數據庫加密之中算法的保密特殊性,好的算法可以保證對于惡意入侵者沒有一絲漏洞,并且不會出現隨機、重復等等情況。而將秘鑰公開可以使得有權限的人員可以更加容易的找尋相應的信息,并且由于算法的緣故,秘鑰的公開并不會影響到整個系統的強度。

 

3.數據的保密工作方法

 

(1)逐鏈加密。在數據傳輸的過程之中,在每一個節點處加密,并且將每一個節點的檢查結果進行記錄整理分析,只有逐一對每一個節點的加密進行解密,才能夠在目的節點處得到所應得的數據信息。如果多次錯誤的信息被系統記錄下來,并且將其分析,將會對用戶的信息進行詳細的查詢,做到有效地排除惡意進入數據信息系統的用戶。

 

(2)端端加密。在數據的兩端進行加密,這種加密的方式被稱為端端加密。這種加密的方式解決了在傳輸的過程中都是以明文的方式來進行傳輸的缺點,本來在傳輸的過程之中,節點上的數據傳輸只能是以明文的形式進行傳輸,以至于以前的數據加密強度不足以保護所有的數據。而端端加密僅僅在開端與結尾處設置加密與解密設施,在傳輸過程中的節點都無法明文訪問到數據,進一步加強了數據的保密性。

 

(3)混合方式加密。在數據傳輸的過程中,有很多的節點,并且在節點之上會將數據進行轉化為明文,通過在這些節點上進行不同的加密,并且在起始端與結束端進行加密,使得整個系統中最薄弱的地方得到了加強,加強了數據傳輸的過程中被破解的難度,增強了網絡安全性的下限。

 

三、結束語

 

在網絡十分發展的今天,面臨更多挑戰的信息安全,電力企業計算機的信息安全與保密性也將要受到更多的重視,而以上對于信息安全以及保密性的研究僅僅是對于現在科技水平之下,自己的一點見解。而對于信息的安全的一點保護方式,隨著科學技術的進一步發展,計算機的安全受到更加有力的保障的同時,也將要面臨更大的威脅。

 

電力企業的計算機信息無疑是具有十分重大價值的信息,也同樣增加了企業計算機信息庫受到惡意攻擊的可能性,所需要的是萬無一失的安全保護系統來確保信息的安全。所以只有不斷研發新型的信息安全保護裝置,使得計算機信息的安全得到真正的保密。

篇5

 

工業控制系統(ICS)是綜合運用信息技術、電子技術、通信技術和計算機技術等,對現場設備進行檢測控制,實現工業技術生產過程自動化的應用系統。ICS在冶金、電力、石化、水處理、鐵路、食品加工等行業,以及軍工的航空、航天、船舶、艦艇、潛艇等領域的自動化生產管理系統中都得到了廣泛地應用。

 

1 工業控制系統安全現狀

 

與傳統信息系統安全需求不同,ICS設計需要兼顧應用場景與控制管理等多方面因素,并且優先考慮系統的高可用性和業務連續性。鑒于ICS的特定設計理念,缺乏有效的工業安全防御和數據通信保密措施是很多ICS所面臨的共同問題。

 

傳統的ICS多為車間/廠區局域網ICS,系統特點包括專有網絡、專有操作系統、無以太網絡、沒有因特網的鏈接。從網絡安全角度,系統是安全的。

 

現今的ICS開始與互聯網或辦公網直接/間接互聯,形成從控制網到信息網的大系統ICS,系統特點包括以太網無處不在、無線設備、遠程配置和監控、Windows和Linux等流行操作系統。從網絡安全角度,系統存在巨大安全隱患,很容易被黑客攻擊。

 

2 工業控制系統安全漏洞及風險分析

 

隨著工業信息化進程的快速推進,物聯網技術開始在工控領域廣泛應用,實現了系統間的協同和信息分享,極大地提高了企業的綜合效益。與此同時,暴露在互聯網等公共網絡中的工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統的信息安全威脅,而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要行業中,其安全事故造成的社會影響和經濟損失會更為嚴重。

 

2.1工業控制系統安全漏洞

 

工業控制系統安全漏洞包括:策略與規則漏洞、平臺漏洞、網絡漏洞。

 

2.1.1 策略與規則漏洞

 

缺乏工業控制系統的安全策略、缺乏工業控制系統的安全培訓與意識培養、缺乏工業控制系統設備安全部署的實施方法、缺乏工業控制系統的安全審計、缺乏針對工業控制系統的配置變更管理。

 

2.1.2 平臺漏洞

 

平臺漏洞包括:平臺配置漏洞、平臺硬件漏洞、平臺軟件漏洞、惡意軟件攻擊。

 

(1)平臺配置漏洞

 

包括關鍵配置信息未備份、關鍵信息未加密存儲、沒有采用口令或口令不滿足長度和復雜度要求、口令泄露等。

 

(2)平臺硬件漏洞

 

包括關鍵系統缺乏物理防護、未授權的用戶能夠物理訪問設備、對工業控制系統不安全的遠程訪問。

 

(3)平臺軟件漏洞

 

包括拒絕服務攻擊(DOS攻擊)、采用不安全的工控協議、采用明文傳輸、未安裝入侵檢測系統與防護軟件等。

 

(4)惡意軟件攻擊

 

包括未安裝防病毒軟件等。

 

2.1.3 網絡漏洞

 

(1)網絡配置漏洞

 

包括有缺陷的網絡安全架構、口令在傳輸過程中未加密、未采取細粒度的訪問控制策略、安全設備配置不當。

 

(2)網絡硬件漏洞

 

包括網絡設備的物理防護不充分、未采取有效的措施保護物理端口、關鍵網絡設備未備份。

 

(3)網絡邊界漏洞

 

包括未定義網絡安全邊界、未部署防火墻或配置不當、未采取信息流向控制措施。

 

2.2 工業控制系統安全風險分析

 

電力故障、自然災害、軟硬件故障、黑客攻擊、惡意代碼都會對ICS系統產生影響。其中,電力故障、自然災害和軟/硬件故障,屬于信息安全范疇之外,而非法操作、惡意代碼和黑客攻擊作為信息安全威脅的主要形式,往往很難被發現或控制,對ICS網絡安全運行的威脅和影響也最大。

 

(1)利用USB協議漏洞在U盤中植入惡意代碼

 

U盤內部結構:U盤由芯片控制器和閃存兩部分組成,芯片控制器負責與PC的通訊和識別,閃存用來做數據存儲;閃存中有一部分區域用來存放U盤的固件,控制軟硬件交互,固件無法通過普通手段進行讀取。

 

USB協議漏洞:USB設備設計標準并不是USB設備具備唯一的物理特性進行身份驗證,而是允許一個USB設備具有多個輸入輸出設備的特征。

 

這樣就可以通過U盤固件逆向重新編程,將U盤進行偽裝,偽裝成一個USB鍵盤,并通過虛擬鍵盤輸入集成到U盤固件中的惡意代碼而進行攻擊。

 

(2)利用組態軟件數據庫漏洞進行攻擊

 

ICS系統采用的組態軟件,缺乏安全防護措施,往往公開訪問其實時數據庫的途徑,以方便用戶進行二次開發,從而可利用此漏洞,遠程/本地訪問數據庫,獲取全部數據庫變量,選取關鍵數據進行訪問并篡改,從而達到攻擊目的。

 

2.3 工業控制系統信息安全風險總結

 

病毒:可引起工控設備或網絡故障,破壞生產過程數據或影響網絡正常服務,如蠕蟲病毒等。

 

緩沖區溢出攻擊:利用設計漏洞進行的攻擊。

 

拒絕服務攻擊:惡意造成拒絕服務,造成目標系統無法正常工作或癱瘓,或造成網絡阻塞。

 

網絡嗅探:可捕獲主機所在網絡的所有數據包,一旦被惡意利用,獲取了目標主機的關鍵信息則可對目標主機實施進一步攻擊。

 

IP欺騙:可通過技術手段利用TCP/IP協議缺陷,偽裝成被信任主機,使用被信任主機的源地址與目標主機進行會話,在目標主機不知的情況下實施欺騙行為。

 

口令破解:攻擊者若通過一定手段取得用戶口令,提升權限進入目標系統,對目標主機進行完全控制。

 

3 工業控制系統安全檢查

 

3.1 檢查對象

 

包括工藝、工程分析、控制系統信息安全后果分析、安全防護能力分析等。

 

3.2 檢測方式

 

包括訪談、現場測試、離線測試、測試床或另外搭建測試環境測試。

 

3.3 檢測內容

 

應包括信息流轉過程中遇到的一切鏈路、設備(硬件程序、模塊組件)、人員等。

 

管理檢查需要準備的資料:信息安全相關管理制度和安全策略;設備保密管理制度;系統運行管理制度、產品供應商(或者商)、系統集成商等提供的資質證明、授權證明、合格證書等。

 

技術檢查需要準備的資料:招標合同技術規格書;詳細設備清單;設備配置及使用說明;網絡拓撲圖;輸入輸出端口信息;DNC服務器配置及使用說明;設備的連接說明、功能說明、操作手冊。

 

運維檢查需要準備的資料:運行維護管理制度、訪問控制端口設置情況記錄、運行維護報告、應急預案方案、應急演練記錄。

 

3.4 檢測重點

 

重點檢查輸入輸出端口使用、設備安全配置、運維安全措施的落實情況,同時檢查資產管理情況,訪問控制策略、備份及應急管理等方面。

 

4 結束語

 

通過上面的分析與研究,工業控制系統還存在許多的漏洞和安全風險,只有充分認識到這些漏洞,才能利用信息安全手段不斷的處置這些漏洞,使風險降到最低。同時我們應該認識到,工業控制系統信息安全技術是一門不斷深入發展的技術,隨著工業控制系統廣泛應用和不斷發展,其信息安全必將面臨更加嚴峻的挑戰,隨之信息安全技術的研究也必將快速推進。

篇6

【關鍵詞】DCS;信息安全

0 引言

DCS系統在我國工控行業應用廣泛,一旦系統信息安全出現漏洞,將會對我國的工業生產和經濟造成極大的破壞。伴隨著計算機技術和網絡技術的不斷發展,信息化和工業化融合的不斷推進,DCS系統越來越多的采用通用硬件、通用軟件、通用協議,使得系統在開放的同時,也減弱了系統與外界的隔離。DCS系統的安全隱患問題日益嚴峻,系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。

2010年發生的“震網”病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻的形勢。本文以DCS系統為分析基礎,介紹了一種全新的信息安全設計概念,在不改變系統架構的前提下解決當前傳統DCS系統在信息安全方面的“薄弱環節”。

1 傳統DCS系統的“薄弱環節”分析

下圖為傳統的雙層網絡DCS系統架構

傳統的DCS系統的“薄弱環節”主要包括:

1.1 通信協議漏洞

TCP/IP協議和OPC協議等通用協議在DCS系統網絡中被廣泛地應用,隨之而來的通信協議漏洞問題也日益突出。例如,OPC Classic協議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊。而且OPC通訊采用不固定的端口號,目前傳統的IT防火墻幾乎無法確保其安全性。

1.2 操作系統漏洞

目前大多數DCS系統的工程師站、操作員站、HMI都是基于Windows平臺的,在系統開車后,為保證過程控制系統的相對獨立性,同時兼顧到系統的穩定運行,將不會對Windows平臺繼續安裝任何補丁。這樣勢必存在的問題是,系統不加裝補丁就存在被攻擊的可能,從而埋下安全隱患。

1.3 應用軟件漏洞

DCS系統中安裝的應用軟件多種多樣,很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。某些別有用心的人員很有可能會利用一些應用軟件的安全漏洞獲取DCS系統的控制權限從而進行破壞、獲利等非法活動。

1.4 安全策略和管理流程漏洞

為了更好的滿足系統的可用性而犧牲安全,是很多DCS系統存在的普遍現象,缺乏完整有效的安全策略與管理流程也給DCS系統信息安全帶來了一定的威脅。例如DCS系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

1.5 殺毒軟件漏洞

為了確保應用軟件的可用性,許多DCS系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期的經常更新,這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的,導致每年都會爆發大規模的病毒攻擊,特別是新病毒。

2 新概念設計方案

針對傳統DCS系統在信息安全方面的“薄弱環節”,提出一種全新概念的解決方案。以典型的二層網絡架構為例:

2.1 過程控制網絡采用POWERLINK現場總線方案替換傳統的工業以太網。

該方案的特點:

1)基于標準硬件,完全兼容標準以太網;

2)確定性的實時通訊,在技術方面采用了SCNM時間槽通信管理機制,由此能夠準確預測數據通訊的時間,從而實現了實時通訊的確定性;

3)適用系統廣泛,POWERLINK適用于PLC,傳感器,I/O模塊,運動控制,安全控制,安全傳感器、執行機構以及HMI系統等。

2.2 過程監控網絡采用光纖通道交換機替換傳統的以太網交換機。

該方案的特點:

1)采用光纖通道協議;

2)高數據傳輸速率(800和1600MB/S);

3)高帶寬低延遲(8Gbps/16Gbps);

4)可靠性傳輸誤碼率

2.3 采用國產操作系統:用國產操作系統(中標麒麟、Deepin等)替代國外操作系統能夠極大提高信息安全,倪光南院士說過“國產操作系統最重要的優勢是安全”

2.4 工程師站、操作員站中專用軟件

1)安裝應用程序白名單軟件,只允許經過授權和安全評估的軟件運行;

2)工程師、操作員站中專用軟件進行權限管理,設置登錄密碼,敏感動作例如下裝等設置口令。避免使用默認口令和弱口令,并且定期更新。

2.5 安全策略

1)工程師站、操作員站、服務器等主機拆除或禁用USB、光驅、無線等接口;

2)靜態存儲的重要數據進行加密存儲;

3)動態傳輸的重要數據進行加密傳輸;

4)關鍵業務數據定期備份;

5)采用端口綁定技術,使交換機各應用端口與連接設備一一綁定,未進行綁定的設備交換機不識別,無法接入到網絡中來。交換機上閑置的物理端口通過管理軟件給予關閉;

6)禁止HTTP、FTP、Telnet等高風險通用網絡服務;

7)禁止訪問方在遠程訪問期間進行非法操作;

8)訪問日志、操作日志等備份并能夠追蹤定位非授權訪問行為;

9)通過工業防火墻、工業網閘等防護設備對控制網絡安全區域之間進行邏輯隔離;

10)信息安全審計,對系統行為、應用程序活動、用(下轉第69頁)(上接第20頁)戶活動等進行安全審計從而發現系統漏洞、入侵行為等危害系統安全的隱患或行為;

11)設置鏡像端口,對網絡數據和網絡流量進行監控;

12)網絡攻擊和異常行為識別、告警、記錄;

13)發現、報告并處理包括木馬病毒、端口掃描、暴力破解、異常流量、異常指令、偽造協議包等。

2.6 殺毒軟件專設計算機

設置專用電腦用于安裝殺毒軟件,該計算機不與DCS系統連接,外部數據需經過殺毒軟件掃描確認后方可拷貝到工程師站主機中。

2.7 嵌入式操作系y和芯片固件

采用國產嵌入式操作系統,例如:DeltaSystem和國產龍芯芯片替代國外的相關產品,從而避免國外廠商預留的后門和系統漏洞。

3 結論與展望

本文通過對傳統DCS系統信息安全“薄弱環節”進行分析,給出了一種全新的設計方案。該方案在不改變傳統架構的基礎上,針對傳統DCS系統的“薄弱環節”給出相應的設計方法,為DCS系統信息安全設計提供一條新的設計思路。

受到設備成本、國產設備性能等制約,本方案還處在概念階段。期待不久的將來,隨著我國工業水平的不斷提升,方案的不斷完善,能夠真正應用到DCS系統,為DCS系統信息安全發揮其應有的作用。

【參考文獻】

篇7

遠望電子已獲得浙江省“雙軟企業”認定及國家級高新技術企業認證,是國家創新基金支持單位、浙江省軟件服務業重點扶持企業、“國家863信息系統安全等級保護產業技術創新戰略聯盟”成員、浙江省計算機學會信息安全專業委員會委員》。

遠望電子是浙江省信息安全標準化技術委員會委員、公安部《公安綜合信息安全管理平臺技術規范》主要起草單位,同時還是浙江省治安監控網絡綜合保障系統行業標準》、工業和信息化部《信息安全技術政府部門信息安全管理指南》(國家標準),及全國信息安全標準化委員會《信息系統安全管理平臺產品技術要求和測試評價方法》(國家標準)參與起草單位。

遠望電子本著誠信為本的經營理念,連續多年均被評為AAA級信用等級單位。

遠望電子與公安部第一研究所、公安部安全與警用電子產品檢測中心、西北工業大學、杭州電子科技大學等科研院所建立了長期友好合作關系,從而提升了公司的軟件研發、人力資源開發、人才培養和儲備能力。

遠望電子自主研發的信息與網絡安全管理平臺及監管系統等在國內二十余個省市的公安、法院、政府、保密等領域及大型企事業單位得到了廣泛應用。近年來,遠望電子開發的信息與網絡安全平臺已在浙江省公安廳及所屬116個單位全面部署應用。浙江省公安廳借助該平臺建立了較完善的信息安全綜合保障體系,連續五年在全國公安信息安全綜合評比中名列第一。

遠望信息與網絡安全管理平臺及監管系統,融業務管理(規范、組織、培訓、服務)、工作流程、應急響應(預警、查處、通報、報告)和安全技術應用(監測、發現、處置)為一體,集成了各類信息安全監管、分析技術,實現了對網絡邊界安全、保密安全、網站安全、主機基礎安全,以及各類威脅信息安全的違規行為、資源占用行為等的有效監測、處置和管理。

產品同時結合工作流技術,實現了監測、警示、處置、反饋、考核五位一體安全管理工作模式,建立起長效的信息安全管理工作機制,并將其日常化、常態化,實現了信息安全管理工作的信息化、網絡化。

遠望信息與網絡安全產品被列入“2010年度全國公安信息系統安全大檢查”指定檢查工具,并獲得公安部2011年科學技術獎。

遠望信息與網絡安全管理平臺及監管系統針對安全風險產生的根源,對網絡中的安全事件和安全風險進行全程全網監測、管控,在技術的層面上突破了網絡邊界的定位、信息的準確鑒別、網站的定位,以及應用分析和監管等難題。

該平臺能對信息網絡進行全程全網實時監管,全面、清晰掌握網絡系統狀況,及時發現并分析、處置各類安全事件和風險隱患。

篇8

亨達公司已取得了國家信息安全測評中心信息安全服務二級(全國最高等級)、注冊信息安全專業培訓(CISP)授權機構、國家信息安全認證中心信息安全集成二級、應急服務二級、風險評估二級、公安部等級保護測評、工業和信息化部通信信息網絡系統集成甲級、計算機網絡系統集成三級、國家計算機應急技術協調處理中心(CNCERT/CC)信息安全服務技術支撐單位以及貴陽市國家保密局信息設備維修等一系列完善的通信與網絡信息安全專業服務資質,通過了ISO9001:2008質量管理體系認證、ISO14001:2004環境管理體系認證和OHSAS18001:2007職業健康安全管理體系認證。

亨達集團先后被評為 “貴州省通信行業協會副理事長單位”、“貴州省通信體育協會副主席單位”,連續五年被省工商行政管理局評為“重信用、守合同”單位,并獲得“全國十佳誠信單位”稱號。目前已建成了集網絡信息安全監控、網絡攻防演練、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。

亨達集團自2011年底取得等級保護測評資質以來,配合貴州省公安廳推進信息系統等級保護測評工作,開展了近百家單位共計500多個信息系統的安全等級保護測評,包括貴州省財政廳、貴州省統計局、貴州省交通廳、中國工商銀行貴州分行、中國建設銀行貴州分行、貴陽銀行、貴陽海關、貴州省農村商業銀行、遵義商行、貴州省人民醫院、貴州省腫瘤醫院、貴陽醫學院等各大單位重要信息系統。

基于亨達集團作為貴州省優秀通信建設與網絡信息安全服務企業,長期以來,一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國家計算機應急技術協調處理中心和省通信管理局確立為大區級技術支撐單位。

篇9

電力信息的迅猛發展使得電力系統及數據信息網絡迎來了前所未有的挑戰。本文分析研究了網絡系統信息安全存在的問題,全面規劃了網絡安全系統,提出了合理有效的安全措施、方法,大大提升了電力企業信息網絡安全工作的效率。

一、網絡系統信息安全存在問題分析

(一)計算機及信息網絡安全意識不強

由于計算機信息技術高速發展,計算機信息安全策略和技術也有大的進展。設計院各種計算機應用對信息安全的認識離實際需要差距較大,對新出現的信息安全問題認識不足。

(二)缺乏統一的信息安全管理規范

設計院雖然對計算機安全一直非常重視,但由于各種原因目前還沒有一套統一、完善的能夠指導整個院計算機及信息網絡系統安全運行的管理規范。

(三)缺乏適應電力行業特點的計算機信息安全體系

近幾年來計算機在整個電力行業的生產、經營、管理等方面應用越來越廣,但在計算機安全策略、安全技術和安全措施上投入較少。為保證網絡系統安全、穩定、高效運行,應建立一套結合電力行業計算機應用特點的計算機信息安全體系。

(四)缺乏預防各種外部安全攻擊的措施

計算機網絡化使過去孤立的個人電腦在聯成局域網后,面臨巨大的外部安全攻擊。局域網較早的計算機系統是NOVELL網.并沒有同外界連接。計算機安全只是防止意外破壞或者內部人員的安全控制就可以了,但現在要面對國際互聯網上各種安全攻擊,如網絡病毒和電腦“黑客”等。

二、保證網絡系統信息安全的對策

(一)建立信息安全體系結構框架

實現網絡系統信息安全.首要的問題是時時跟蹤分析國內外相關領域信息安全技術的發展和應用情況,及時掌握國際電力工業信息安全技術應用發展動向。結合我國電力工業的特點和企業計算機及信息網絡技術應用的實際,建立網絡系統信息安全體系一的總體結構框架和基本結構。完善網絡系統信息安全體系標準以指導規范網絡系統信息安全體系建設工作。

按信息安全對網絡系統安全穩定運行、生產經營和管理及企業發展所造成的危害程度,確定計算機應用系統的安全等級,制定網絡系統信息安全控制策略.建立適應電力企業發展的網絡系統信息安全體系,利用現代網絡及信息安全最新技術,研究故障診斷、處理及系統優化管理措施。在不同條件下提供信息安全防范措施。

(二)建立網絡系統信息安全身份認證體系

CA即證書授權。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網絡系統信息一和安全.應建立企業的CA機構對企業員工上網用戶統一身份認證和數字簽名等安全認證,對系統中關鍵業務進行安全審計,并開展與銀行之間,上下級CA機構之間與其他需要CA機構之間的交叉認證的技術研究工作。

(三)建立數據備份中心

數據備份及災難恢復是信息安全的重要組成部分。理想的備份系統應該是全方位、多層次的。硬件系統備份是用來防止硬件系統故障,使用網絡存儲備份系統和硬件容錯相結合的方式。可用來防止軟件故障或人為誤操作造成的數據邏輯損壞。這種對系統的多重保護措施不僅能防止物理損壞還能有效地防止邏輯損壞。結合電力行業計算機應用的特點,選擇合理的備份設備和備份系統.在企業建立數據備份中心,根據其應用的特點,制定相應的備份策略。

(四)建立網絡級計算機病毒防范體系

計算機病毒是一種進行自我復制、廣泛傳染,對計算機程序及其數據進行嚴重破壞的病毒,具有隱蔽性與隨機性,使用戶防不勝防。設計院信息網絡系統采取在現有網絡防病毒體系基礎上.加強對各個可能被計算機病毒侵入的環節進行病毒防火墻的控制,在計算中心建立計算機病毒管理中心,按其信息網絡管轄范圍,分級進行防范計算機病毒的統一管理。在計算機病毒預防、檢測和病毒定義碼的分發等環節建立較完善的技術等級和管理制度。

(五)建立網絡系統信息安全監測中心

計算機信息系統出現故障或遭受外來攻擊造成的損失.絕大多數是由于系統運行管理和維護、系統配置等方面存在缺陷和漏洞,使系統抗干擾能力較差所致。信息安全監測系統可模仿各種黑客的攻擊方法不斷測試信息網絡安全漏洞并可將測出的安全漏洞按照危害程度列表。根據列表完善系統配置,消除漏洞并可實現實時網絡違規、入侵識別和響應。它在敏感數據的網絡上.實時截獲網絡數據流,當發現網絡違規模式和未授權網絡訪問時,自動根據制定的安全策略作出相應的反映.如實時報警、事件登錄、自動截斷數據通訊等。利用網絡掃描器在網絡層掃描各種設備來發現安全漏洞.消除網絡層可能存在的各類隱患。

(六)建立完備信息網絡系統監控中心

篇10

關鍵詞:石化行業;工業控制系統;安全區域;深度防御;信息安全

DOIDOI:10.11907/rjdk.161739

中圖分類號:TP309

文獻標識碼:A文章編號文章編號:16727800(2016)009015103

基金項目基金項目:

作者簡介作者簡介:甄濤(1992-),男,河北石家莊人,上海理工大學光電信息與計算機工程學院碩士研究生,研究方向為工控信息安全。

0引言

信息時代,對石油化工等制造業而言,以震網蠕蟲為代表的木馬、病毒等對工業自動化生產安全帶來了極大威脅,工業控制系統安全成為信息化時代企業安全生產的重中之重。最初的工控系統被設計為獨立封閉的系統,其安全風險主要來自設備運行不穩定、操作不合理等方面。但是,隨著信息化的推進和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。

1石化行業工控系統面臨的信息安全問題

隨著石化行業信息化的不斷深入,管理的精細化和智能工廠的實施,都離不開實時的現場信息,因此管與控的結合就成為了必然趨勢。DCS控制系統與外界不再隔離,控制網絡和信息網絡之間廣泛采用OPC通信技術;此外,先進過程控制(APC)也需要OPC技術建立通訊。目前,常用的OPC通訊隨機使用1024~65535中的任意端口,采用傳統IT防火墻進行防護配置時,被迫需要開放大量端口,形成嚴重的安全漏洞;同時,OPC的訪問權限過于寬松,任意網絡中的任意計算機都可以運行OPC中的服務;且OPC使用的Windows的DCOM和RPC服務極易受到攻擊。普通IT方后勤無法實現工業通訊協議過濾,網絡中某個操作站/工程師站感染病毒,會馬上傳播到其它計算機,造成所有操作站同時故障,嚴重時可導致操作站失控甚至停車[1]。目前,存在的工控信息安全問題主要有[2]:

(1)操作系統漏洞。目前,工業計算機操作系統大多采用Windows操作系統,甚至還有XP系統,這些一般不允許安裝操作系統的安全補丁和防病毒軟件。針對性的網絡攻擊、病毒感染都會給系統造成嚴重后果,而且由于漏洞和病毒公布的滯后性,殺毒軟件并不能有效地進行防護。此外,不正當的操作,比如,在項目實施和后期維護中使用U盤、筆記本等外設,也會存在一定的安全隱患。

(2)隔離失效。大多數石化企業通過OPC的雙網卡結構對數據采集網絡與控制網之間進行了隔離,使得惡意程序無法直接攻擊控制網絡。但對于針對Windows系統漏洞的病毒,這種設置就失去了效果,造成病毒在數采網和控制網之間傳播。

(3)信息安全延遲性。若工業網絡遭受黑客攻擊,維護人員無法采取相應措施,并查詢故障點和分析原因。通常情況下,小的信息安全問題直至發展成大的安全事故才會被發現和解決。

2柴油加氫控制系統安全防護簡介

目前,我國煉油、石化等行業工業控制系統一般分為3部分:控制層、數據采集層和管理信息層,普遍采用DCS(分散控制系統)和PLC(可編程邏輯控制器)等數字化手段,自動化程度高,多以DCS系統為核心、PLC為輔機控制,形成對設備組命令的下達與控制,并對DCS和PLC反饋的數據進行分析以掌握設備組的整體運行狀況。

某石化公司的柴油加氫系統采取安全防護后的拓撲結構如圖1所示。

實時服務器和組態服務器組成管理信息層;監控層包括操作員站、工程師站、OPC應用站和異構系統工作站,控制層包括以DCS為主控制溫度顯示儀表、液位計、繼電器和閥門等儀表,PLC為輔控制報警器。其中,設備層與控制層通過模擬數字通信模塊通信。

其中:①信息層與數據采集層之間添加縱向隔離平臺,避免信息層向下采集數據時造成信息泄露;②異構系統應用站采用橫向隔離平臺,防止其它系統對加氫操作工藝產生不必要的影響;③引入智能防火墻,對工業協議和應用程序進行審計、監控。

3工業網絡中的安全區域

按照IEC 62443定義,“區域”由邏輯的或物理的資產組成,并且共享通用的信息安全要求。區域是代表需考慮系統分區的實體集合,基于功能、邏輯和物理關系[3]。

3.1使用操作域識別區域

安全區域的建立,第一步就是識別所有操作域,以確定每個區域的組成及邊界所在。一般在工業網絡中建立區域時,要考慮的操作域包括有網絡連接控制回路、監控系統、控制流程、控制數據存儲、交易通信、遠程訪問以及用戶群體和工業協議組之類。其目的是通過隔離使各操作域受到攻擊的風險最低,從而進一步使用各類安全產品和技術對每個操作域進行保護,成為安全區域。然而現實情況下,有必要使用操作域間功能共享來簡化操作域,從而有效地將重疊的操作域結合成一個獨立的更大的區域。

3.2區域邊界建立

理想情況下,每個操作域與其它區域都有明確的邊界,并且確保每個分區都采用獨特的安全防護設備,這樣邊界防御才能部署在正確的位置上。

識別區域后,將其映射到網絡,從而定義清晰的邊界,CIP-005-3[4]的NERC規則中提到該過程的要求。只有存在已被定義和管理的接入點,區域才會被保護。

3.3網絡架構調整

所有設備都應該直接連接到該區域或者該區域的任何設備上,然而,比如一臺打印機不屬于該區域,但是可能連接到本地交換機或路由器的接口或無線接入上。這種差錯可能是不當的網絡設計或網絡尋址的結果。當定義了安全區域的劃分并對網絡架構作出了必要的調整,這樣就具備了履行NERC CIP、ISA99、CFATS等符合規范性要求的必要信息。

3.4區域及其安全設備配置

防火墻、IDS(入侵檢測系統)和IPS(入侵防護系統)、安全信息和事件管理系統(SIEM)以及許多其它安全系統支持變量的使用,使得邊界安全控制與合規性要求相互關聯。

對于每一個區域,如下幾項都應保持在最低限度[5]:①通過IP地址,將設備劃分到特定區域;②通過用戶名或其它標志,獲得修改區域權限的用戶;③在區域中使用的協議、端口及服務。

創建這些變量將有助于制定用于增強區域邊界的防火墻和IDS規則,同時也會幫助安全監管工具檢測策略異常并發出警報。

4對安全區域邊界和內部的安全防護

CIP-005-4 R1要求在“任何關鍵網絡資產”邊界,以及該邊界上的所有訪問點都要建立通過對已建立、標識并記錄歸檔電子安全邊界(ESP)[6]。區域周圍建立電子安全邊界可以提供直接的保護,并且防止對封閉系統未經授權的訪問,同時防止從內部訪問外部系統,這是很容易忽略的一點。

要使建立的電子安全邊界能有效保護入站和出站流量,必須達到兩點要求[4]:①所有的入站和出站流量必須通過一個和多個已知的、能夠被監控和控制的網絡連接;②每個連接中應該部署一個或多個安全設備。

4.1區域邊界安全防護

對于臨界點,NERC CIP和NRC CFR 73.54[7]給出了安全評價標準以及建議的改進措施,如表1所示。

其中防火墻和IPS都被建議的原因是,防火墻和IPS設備具有不同的功能:防火墻限制了允許通過邊界的流量類型,而IPS則檢查已被允許通過的流量,目的是為了檢測惡意代碼或惡意軟件等帶有破壞目的的流量。這兩種設備的優勢在于:①IPS可以對所有經過防火墻的流量進行深度包檢測(DPI);②防火墻基于定義的安全區域變量限制了通過的流量,使IPS可以專注于這部分流量,并因此可以執行更為全面和強大的IPS規則集。

4.2區域內部安全防護

區域內部由特定的設備以及這些設備之間各種各樣的網絡通信組成。區域內部安全主要是通過基于主機安全來實現,通過控制終端用戶對設備的身份認證、設備如何在網絡上通信、設備能訪問哪些文件以及可以通過設備執行什么應用程序。

主要的3種安全領域[5]:①訪問控制,包括用戶身份認證和服務的可用性;②基于主機的網絡安全,包括主機防火墻和主機入侵檢測系統(HIDS);③反惡意軟件系統,如反病毒(AV)和應用程序白名單(AWL)。

5結語

石油化工等關鍵基礎設施和能源行業關系國計民生,在我國兩化融合深入發展的同時,如何確保工控系統信息安全是石化行業信息化建設的重要研究課題。本文以某石化行業柴油加氫系統架構為例,重點介紹了如何識別和分隔操作域,確定每個區域的邊界和組成,最終建立安全區域,并從外部使用防火墻、IDS、IPS以及應用程序監控器等安全設備,從內部使用主機防火墻、主機IDS和應用程序白名單等對工業控制系統進行保護。

參考文獻參考文獻:

[1]李東周.工控蠕蟲病毒威脅,化企如何應對?[N].中國化工報,20140527.

[2]溫克強.石化行業工控系統信息安全的縱深防御[J].中國儀器儀表,2014(9):3738.

[3]肖建榮.工業控制系統信息安全[M].北京:電子工業出版社,2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security―electronic security perimeter[S].2009.

[5]納普.工業網絡安全:智能電網,SCADA和其他工業控制系統等關鍵基礎設備的網絡安全[M].周秦,譯.北京:國防工業出版社,2014.