亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        采油廠站庫工控系統(tǒng)信息安全防護技術研究與應用

        2015-12-27 08:33:08張新政魚小剛
        中國管理信息化 2015年19期
        關鍵詞:安全策略工控采油廠

        吳 軍,張新政,李 軍,楊 凱,魚小剛

        (新疆油田公司采油二廠,新疆 克拉瑪依 834000)

        1 引言

        隨著工業(yè)信息化建設不斷加快,工業(yè)控制系統(tǒng)逐漸的以各種方式與辦公網、互聯(lián)網等公共網絡連接,實現(xiàn)數據交換,致使工控系統(tǒng)不再是一個獨立的運行系統(tǒng),而是已經從封閉、孤立走向互聯(lián)。典型的DCS、PLC、RTU等工控系統(tǒng)正日益變得開放、通用和標準化,使得辦公網、互聯(lián)網中的木馬、病毒等安全風險向工控系統(tǒng)擴散。2010年的Stuxnet和2011年的NightDragon,Duqu,Nitro,以及2012年的Flame等事件,表明了工控系統(tǒng)信息安全的重要性。

        2 采油廠站庫工控系統(tǒng)信息安全現(xiàn)狀

        早期采油廠站庫工控制系統(tǒng)主要是針對專有的封閉環(huán)境而設計,只用于單臺設備或工藝段的生產控制,對外沒有互聯(lián)互通。系統(tǒng)在設計、實現(xiàn)與部署過程中,其主要指標是可用性、功能性、實時性等,沒過多考慮網絡攻擊、信息安全等問題。

        隨著計算機和網絡技術的發(fā)展,特別是信息化與工業(yè)化深度融合,工控系統(tǒng)越來越多地采用通用協(xié)議、硬件、軟件,使其開放性越來越強,開始面臨安全威脅,包括:①病毒、惡意軟件的破壞;②數據被竊取;③關鍵工控生產流程被破壞;④惡意操縱工控數據或應用;⑤對工控系統(tǒng)功能未經授權的訪問等。

        目前,采油廠站庫使用的工控系統(tǒng)大部分是多年前開發(fā)的,系統(tǒng)大都使用專有的硬件、軟件和通信協(xié)議,系統(tǒng)在設計上主要考慮了其性能、可靠性要求,忽略了對安全措施的需要。隨著基于互聯(lián)網的技術開始進入工控系統(tǒng)的設計中,工控系統(tǒng)也暴露出了一些漏洞,使其容易遭受攻擊。工控系統(tǒng)安全漏洞及因素主要包括:系統(tǒng)安全策略和管理規(guī)程的缺失與不健全;越來越多的通用協(xié)議和應用軟件;控制系統(tǒng)操作站不安裝殺毒軟件,或對殺毒軟件的病毒庫更新不及時;通用以太網技術的引入,使工控網絡面對以太網的通訊威脅;大量使用基于Windows系統(tǒng)PC機作為工程師站、服務器等的硬件平臺,面臨與普通PC類似的安全威脅。

        3 采油廠站庫工控系統(tǒng)的特點

        工控系統(tǒng)的安全風險來源于信息、網絡技術廣泛的應用,但其仍具有自身的特點,只采用標準的IT安全技術很難應用于工控系統(tǒng)下的各類控制協(xié)議、應用、設備及標準的特殊安全需求。以采油廠典型的站庫工控系統(tǒng)為例,具體分析工控系統(tǒng)的特點。

        (1)系統(tǒng)封閉性強。作為采油廠管理網內的一個業(yè)務子系統(tǒng),工控系統(tǒng)涉及關鍵工藝和站庫生產的大量敏感數據,只能適度的開放。

        (2)系統(tǒng)對可用性和實時性要求高。工控系統(tǒng)必須保證持續(xù)的可用性、穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工控系統(tǒng)安全保護技術。同時,對實時響應時間要求大多在1ms內完成。

        (3)工業(yè)通信協(xié)議和通用TCP/IP協(xié)議共存。工控系統(tǒng)存在兩種不同類型的協(xié)議,即工控通信協(xié)議和TCP/IP協(xié)議。一些協(xié)議在設計之初未考慮安全方面的需求,需要針對性地部署安全解決方案。

        (4)工控系統(tǒng)的安全與辦公網的安全互為依存。隨著兩化深度融合,工控生產網與辦公網之間的數據互連變得越來越常態(tài)化,兩個網絡互聯(lián)帶來了更高的安全需求。

        (5)系統(tǒng)長周期內保持結構固定。工控系統(tǒng)與設備和生產密不可分,系統(tǒng)執(zhí)行現(xiàn)場控制操作的常為DCS、分布式I/O等嵌入式設備,專為現(xiàn)場控制環(huán)境而設計制造。設備運行時間通常很長,除非影響到正常的生產,否則長周期內穩(wěn)定運行的工控系統(tǒng)將不會進行輕易調整和改變。

        4 工控系統(tǒng)信息安全需求分析

        工控系統(tǒng)信息安全是一個復雜的系統(tǒng)工程,涉及到技術、產品、系統(tǒng),更取決于企業(yè)的安全管理的水平。與傳統(tǒng)IT信息安全相比,工控系統(tǒng)信息安全有著其自身的特點,主要體現(xiàn)為安全防護的重點有所不同。IT安全一般針對的是辦公環(huán)境,需要首先保證機密性,其次才是完整性和可用性。

        工控系統(tǒng)信息安全的防護對象是現(xiàn)場的DCS、PLC等控制設備,實時網絡通信,以及工業(yè)控制應用,其特點可以總結為:

        (1)必須優(yōu)先保障24/7/365時間的可用性,提供不間斷的可操作性,并確保工控系統(tǒng)可訪問;

        (2)保證系統(tǒng)性能;

        (3)保證數據的實時傳輸;

        (4)系統(tǒng)與數據的完整性;

        (5)為實現(xiàn)無縫的通信與功能交互而采用開放標準;

        (6)采用通用組件作為自動化解決方案的基礎;

        (7)辦公網與生產網間的不間斷通信以保障對生產的實時監(jiān)控;

        (8)防止誤操作與蓄意破壞;

        (9)保護專有技術;

        (10)安全日志與變更管理等。

        對工控系統(tǒng)信息安全而言,首先需要滿足系統(tǒng)的高可用性的要求,其次是完整性,最后為機密性。工控系統(tǒng)信息安全的關鍵需求總結為:

        (1)提高方案設計質量。目前在工控系統(tǒng)建設中,系統(tǒng)設計方案還存在許多不確定的安全風險,如哪些工藝裝置必須獨立設置SIS、哪些必須設置第三方信息安全加固系統(tǒng),還處于經驗判斷階段,找不到標準答案。

        (2)提高系統(tǒng)成套設計、安裝與調試質量。工控系統(tǒng)的質量有高低,建設初期必定經過成套設計、安裝、調試,這些通常由供應商負責完成。供應商技術能力、經驗的不同,得到的系統(tǒng)完善程度也不同。用戶工程設計人員以及相關專業(yè)人員參與的深度不同,也會影響系統(tǒng)的質量,帶來安全風險。

        (3)加強日常運行維護質量。工控系統(tǒng)建成后,需要通過日常維護、定期檢修等一系列工作,使工其持續(xù)發(fā)揮功效,這些工作的質量問題會帶來安全風險。

        (4)對信息安全措施的需求。傳統(tǒng)工控系統(tǒng)通常是封閉的,功能也相對單一。隨著技術的發(fā)展,工控系統(tǒng)逐步開放,使得工業(yè)設備接口更簡單,互聯(lián)更容易,系統(tǒng)缺乏相關抵御病毒或黑客攻擊的安全策略,系統(tǒng)構建的信息安全措施愈顯重要。

        (5)如何面臨新挑戰(zhàn)的需求。隨著兩化融合的不斷推進,計算機和網絡新技術層出不窮,工控系統(tǒng)通過各種接口技術,實現(xiàn)網絡互聯(lián),使得工控系統(tǒng)網絡架構越來越復雜。伴隨工控系統(tǒng)信息安全面臨的新挑戰(zhàn),迫切需要建立工控系統(tǒng)網絡規(guī)劃與標準,實現(xiàn)系統(tǒng)安全的可持續(xù)發(fā)展。

        5 工控系統(tǒng)信息安全防護解決方案

        現(xiàn)代工控制系統(tǒng)安全防護工作,要求在加強企業(yè)安全策略、規(guī)程建設、增強員工安全意識、全面提高企業(yè)信息安全管理水平的同時,必須規(guī)劃基礎設施的安全配置,從不同的層面分區(qū)域、分功能、分重點的加強安全防護。通過部署多層次的,包括物理安全、制定安全策略與流程,部署防火墻進行隔離、防護不同的安全單元、采用VPN保護單元間通信、系統(tǒng)加固、補丁管理、部署賬號管理等訪問控制措施、惡意軟件檢測與防護等一系列的防御體系,保護關鍵的工控過程與應用的安全。防御體系措施架構如圖1所示。

        (1)建立系統(tǒng)的物理防護邊界:物理安全是工控系統(tǒng)信息安全的前提,首先確保系統(tǒng)處于可控的物理環(huán)境中,在企業(yè)辦公網和工業(yè)生產網之間部署安全隔離系統(tǒng)。

        (2)安全策略與流程:建立完備的安全策略與規(guī)范的安全流程。在工程師站與工控網之間部署審計系統(tǒng),嚴格進行訪問控制,審計工程師站的操作。

        (3)建立安全的控制單元,確保系統(tǒng)的邊界安全:將系統(tǒng)按其用途、通信業(yè)務等劃分為不同的安全域,并在安全域之間的接口處部署防火墻、安全網關等隔離設備。

        圖1 工控系統(tǒng)防御體系措施

        (4)采用VPN技術保護不同控制單元之間的通信:通過在安全單元之間部署VPN,保護單元間的通信,保證相關業(yè)務通信的認證、完整性與機密性,阻止非法業(yè)務通信。

        (5)系統(tǒng)加固與補丁管理:及時對工程師站、應用服務器進行補丁升級與系統(tǒng)加固。僅保證制造商專有協(xié)議數據通過,對一切不符合標準和合法功能需求的工業(yè)協(xié)議通訊進行攔截。

        (6)賬號管理:對DCS、PLC等工控應用、過程,建立系統(tǒng)的賬號管理,強化基于口令的訪問控制。

        (7)惡意軟件防護技術:不僅要在工控網絡中的PC主機上部署病毒監(jiān)控,還要在安全域的入口處部署防病毒網關。

        6 結語

        工控系統(tǒng)信息安全不是一個單純的技術問題,而是一個從意識培養(yǎng)開始,涉及管理、流程、架構、技術、產品等各方面的系統(tǒng)工程,需要管理方、運營方、集成商與組件供應商的共同參與、協(xié)同工作、提高全體人員的信息安全意識,充分認識到信息安全的重要性。工控系統(tǒng)的信息安全,需要在系統(tǒng)生命周期的各個階段中持續(xù)實施、不斷改進,才能最終保障企業(yè)工業(yè)控制系統(tǒng)的安全運營。

        [1]鐘嵐.石油化工行業(yè)工控系統(tǒng)安全保障實踐探究[J].信息安全與通信保密,2014(6).

        [2]李玉敏.工業(yè)控制網絡信息安全的防護措施與應用[J].中國儀器儀表,2012(11).

        猜你喜歡
        安全策略工控采油廠
        基于認知負荷理論的叉車安全策略分析
        中國石油長慶油田分公司第六采油廠
        基于飛行疲勞角度探究民航飛行員飛行安全策略
        湖北農機化(2020年4期)2020-07-24 09:07:36
        淺析涉密信息系統(tǒng)安全策略
        工控速派 一個工控技術服務的江湖
        工控速浱 一個工控技術服務的江湖
        熱點追蹤 工控安全低調而不失重要
        基于攻擊圖的工控系統(tǒng)脆弱性量化方法
        自動化學報(2016年5期)2016-04-16 03:38:47
        吳起采油廠提前8天完成248.2萬噸原油生產任務
        如何加強農村食鹽消費安全策略
        国产精品熟女视频一区二区三区 | 日日摸天天碰中文字幕你懂的| 白又丰满大屁股bbbbb| 国产精品无码片在线观看| 国内精品熟女一区二区| 久久精品国产亚洲av蜜点| 久久久老熟女一区二区三区| 亚洲香蕉视频| 精品女同一区二区三区不卡 | 日本强伦姧人妻一区二区| 日韩人妻无码精品-专区| 亚洲国产欧美日韩一区二区| 超短裙老师在线观看一区二区| 亚洲成人av一二三四区| 无码人妻精品一区二区在线视频| 久精品国产欧美亚洲色aⅴ大片 | 日本免费影片一区二区| 一本色道久久88加勒比—综合| 97午夜理论片在线影院| 久久久精品中文无码字幕| 一区二区三区日本高清| 特黄做受又硬又粗又大视频小说| 亚洲人成无码网站久久99热国产 | 少妇性l交大片免费快色| 日本强伦姧人妻一区二区| 久久精品国产www456c0m| av少妇偷窃癖在线观看| 丝袜美腿亚洲综合在线播放| 久人人爽人人爽人人片av| 香蕉人妻av久久久久天天| 一区二区三区国产精品| 国产av综合网站不卡| 亚洲色欲久久久综合网| 国产高清国内精品福利99久久| 久久成人精品国产免费网站| 又大又长粗又爽又黄少妇视频| 十八岁以下禁止观看黄下载链接| 白白色发布永久免费观看视频| 不卡一区二区视频日本| 在线综合亚洲欧洲综合网站| 丝袜美腿网站一区二区|