亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        水電廠工控系統(tǒng)安全防護(hù)的設(shè)計(jì)與實(shí)現(xiàn)

        2019-11-28 21:04:14劉晶晶
        商品與質(zhì)量 2019年16期
        關(guān)鍵詞:工控水電廠下位

        劉晶晶

        四川省紫坪鋪開(kāi)發(fā)有限責(zé)任公司 四川成都 610000

        1 電力系統(tǒng)的安全防護(hù)技術(shù)

        1.1 縱向認(rèn)證

        采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。因此在水電廠生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處部署電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制,同時(shí)具有安全過(guò)濾功能,實(shí)現(xiàn)對(duì)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能[1]。

        1.2 橫向隔離

        (1)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間。通常水電廠的兩大網(wǎng)絡(luò)之間沒(méi)有直接的物理連接,可不加防護(hù)裝置,如以后相連則必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置,隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。(2)控制區(qū)(安全 I 區(qū))與非控制區(qū)(安全 II 區(qū))之間。安全 I 區(qū)是整個(gè)工控系統(tǒng)的防護(hù)重點(diǎn),盡管水電廠安全I(xiàn) 區(qū)和安全 II 區(qū)之間通常已經(jīng)部署了傳統(tǒng)防火墻,但難以對(duì) IEC104規(guī)約進(jìn)行精確防護(hù),需要進(jìn)行升級(jí)并部署工業(yè)防火墻,實(shí)現(xiàn)對(duì)工業(yè)協(xié)議數(shù)據(jù)深度過(guò)濾,防范各種非法操作和數(shù)據(jù),保障工控系統(tǒng)安全。(3)監(jiān)控區(qū)和現(xiàn)場(chǎng)控制區(qū)之間。由于 PLC 控制器的安全防護(hù)級(jí)別要高于上位機(jī)的安全防護(hù),因此在集中監(jiān)控區(qū)上位機(jī)和現(xiàn)地控制區(qū)下位機(jī)之間部署智能保護(hù)裝置,允許上位機(jī)通過(guò)特定的工控協(xié)議與下位機(jī)進(jìn)行交互,同時(shí)對(duì)上下位機(jī)之間傳輸?shù)膱?bào)文內(nèi)容做深度檢查,識(shí)別正常的操作行為并生成白名單,發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征,對(duì)此行為進(jìn)行阻斷或告警。

        2 水電廠工控系統(tǒng)安全現(xiàn)狀

        主機(jī)安全風(fēng)險(xiǎn)。生產(chǎn)控制大區(qū)的服務(wù)器/網(wǎng)絡(luò)設(shè)備等存在弱口令,用戶權(quán)限設(shè)置不合理,存在默認(rèn)賬號(hào),空閑端口未關(guān)閉,系統(tǒng)軟件、操作系統(tǒng)漏洞升級(jí)困難,缺少必要的應(yīng)用安全控制策略,對(duì)用戶登錄應(yīng)用系統(tǒng),訪問(wèn)系統(tǒng)資源等操作進(jìn)行身份認(rèn)證、訪問(wèn)控制和安全審計(jì)。

        應(yīng)用安全風(fēng)險(xiǎn)。水電廠工控系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制,上位機(jī)與下位機(jī)通信缺乏身份鑒別和認(rèn)證機(jī)制,只要能夠從協(xié)議層面跟下位機(jī)建立連接,即可以對(duì)下位機(jī)進(jìn)行修改,普遍缺乏限制系統(tǒng)最高權(quán)限的限制,高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)的命脈,任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄漏,同時(shí)也缺乏事后追查的有效工具,讓責(zé)任劃分和威脅追蹤變得更加困難[2]。

        3 系統(tǒng)總體設(shè)計(jì)

        3.1 全威脅模型

        在電力工控系統(tǒng)的攻擊過(guò)程中,攻擊不會(huì)以一種方式或者一個(gè)步驟得以實(shí)現(xiàn),而是以不同的攻擊進(jìn)程采取不同的攻擊方法,且并不是以既定模式展開(kāi)攻擊。本文以攻擊樹為基礎(chǔ),實(shí)現(xiàn)電力工控系統(tǒng)的安全威脅建模。攻擊樹雖然邏輯結(jié)構(gòu)簡(jiǎn)單,但其樹形結(jié)構(gòu)可以直觀準(zhǔn)確地描述系統(tǒng)中包含哪些攻擊方式和威脅種類,同時(shí)攻擊樹具有很強(qiáng)的擴(kuò)展性,可以根據(jù)邏輯結(jié)構(gòu)按需求增加或刪除對(duì)系統(tǒng)不足以構(gòu)成威脅的攻擊。安全威脅建模的思想就是基于攻擊樹模型,把從系統(tǒng)安全風(fēng)險(xiǎn)中分析出來(lái)的安全威脅行為作為樹的結(jié)構(gòu)形式建立威脅樹,表示威脅行為及其攻擊步驟之間的邏輯關(guān)系。其中每棵威脅樹代表攻擊者使用的威脅方法,每條路徑代表具體的攻擊方式。一棵基本的威脅樹模型包含根節(jié)點(diǎn)、葉節(jié)點(diǎn)以及中間節(jié)點(diǎn)。根節(jié)點(diǎn)表示攻擊者對(duì)系統(tǒng)威脅的最終目標(biāo);葉節(jié)點(diǎn)表示威脅可能采取的攻擊手段;而中間節(jié)點(diǎn)則表示攻擊者達(dá)到最終目標(biāo)時(shí)所采取的中間步驟。其中根節(jié)點(diǎn)的各個(gè)子樹是可選路徑,攻擊者可采取不同的攻擊進(jìn)程。

        3.2 綜合防護(hù)

        3.2 .1物理和環(huán)境安全防護(hù)

        為保證工控系統(tǒng)的安全可靠運(yùn)行,降低或阻止人為或自然因素從物理層面對(duì)工控系統(tǒng)保密性、完整性、可用性帶來(lái)的安全威脅,必須從物理安全的角度采取適當(dāng)?shù)陌踩刂拼胧?。針?duì)工控系統(tǒng)物理環(huán)境缺乏控制及未經(jīng)授權(quán)的人員可以訪問(wèn)重要設(shè)備的現(xiàn)狀,對(duì)于工控系統(tǒng)中無(wú)人值守的分布式站點(diǎn)、核心設(shè)備區(qū)域采取物理防范措施是十分必要的。通過(guò)建立配置視頻監(jiān)控措施、電子門禁系統(tǒng)和報(bào)警系統(tǒng),可以防止未經(jīng)授權(quán)的人員進(jìn)入,并且便于事后審計(jì)和追查。應(yīng)盡量拆除或封閉各類工業(yè)主機(jī)上不必要的外設(shè)接口;確需使用時(shí),可采用工控系統(tǒng)主機(jī)審計(jì)產(chǎn)品統(tǒng)一管理有外設(shè)接口的工控系統(tǒng)主機(jī)[3]。

        3.2 .2數(shù)據(jù)安全防護(hù)

        隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,工控系統(tǒng)越來(lái)越多的采用通用協(xié)議和明文方式進(jìn)行數(shù)據(jù)傳輸。為了防止數(shù)據(jù)在傳輸過(guò)程中發(fā)生泄漏或者被非法獲取,應(yīng)采用 SSL 或者密碼技術(shù)等安全方式保障網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密級(jí)、完整性和可用性,實(shí)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)間數(shù)據(jù)的安全傳輸,達(dá)到非法用戶對(duì)重要的數(shù)據(jù)即使拿得到也看不懂,更用不了的目的。企業(yè)在運(yùn)行過(guò)程中應(yīng)建設(shè)完善工控安全事件應(yīng)急響應(yīng)預(yù)案,定期組織應(yīng)急演練,不斷增強(qiáng)應(yīng)急能力。

        3.2 .3網(wǎng)絡(luò)安全防護(hù)

        工控系統(tǒng)要對(duì)設(shè)備按照功能、區(qū)域等合理劃分安全域,使數(shù)據(jù)交互只能通過(guò)安全域邊界進(jìn)行,并通過(guò)工業(yè)防火墻、安全網(wǎng)閘等設(shè)備對(duì)工控系統(tǒng)的安全邊界進(jìn)行防護(hù)。在不同網(wǎng)絡(luò)邊界間,可以通過(guò)部署防火墻的方式,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的安全控制,阻斷不合法的網(wǎng)絡(luò)訪問(wèn)。

        4 結(jié)語(yǔ)

        經(jīng)過(guò)上述步驟可構(gòu)建具有很好擴(kuò)展性的威脅建模,操作也很方便,若發(fā)現(xiàn)一種新的攻擊方式,只要在該攻擊節(jié)點(diǎn)的隸屬父節(jié)點(diǎn)下加一個(gè)代表新攻擊方式的子節(jié)點(diǎn)即可。

        猜你喜歡
        工控水電廠下位
        發(fā)射機(jī)房監(jiān)控系統(tǒng)之下位機(jī)
        工控速派 一個(gè)工控技術(shù)服務(wù)的江湖
        工控速?zèng)?一個(gè)工控技術(shù)服務(wù)的江湖
        熱點(diǎn)追蹤 工控安全低調(diào)而不失重要
        景洪電廠監(jiān)控系統(tǒng)下位機(jī)數(shù)據(jù)傳輸網(wǎng)絡(luò)改造
        圍觀黨“下位”,吐槽帝“登基”
        基于攻擊圖的工控系統(tǒng)脆弱性量化方法
        CAN總線并發(fā)通信時(shí)下位機(jī)應(yīng)用軟件設(shè)計(jì)
        GMH550測(cè)振測(cè)擺系統(tǒng)在株溪口水電廠的實(shí)踐與應(yīng)用
        iP9000水電廠智能平臺(tái)
        国产精品国产三级国产aⅴ下载| 免费看久久妇女高潮a| 无码少妇一级AV便在线观看 | 国产亚洲欧美日韩国产片| 亚洲av大片在线免费观看| 国家一级内射高清视频| 亚洲sm另类一区二区三区| 午夜精品久久久久久久无码| 欧美成a人片在线观看久| 久久久久久久久国内精品影视| 精品国产一区二区三区av新片| 美女视频一区二区三区在线| 日本a级片免费网站观看| 亚洲精品久久久久久久蜜桃| 国产无遮挡又黄又爽又色| 波多野结衣中文字幕在线视频| 久久久久国产亚洲AV麻豆| 国产一区二区在线观看av| 尤物国产一区二区三区在线观看| 国产精品一区二区三区专区| 无套内谢老熟女| 377p日本欧洲亚洲大胆张筱雨| 国产亚洲av无码专区a∨麻豆| 日本韩无专砖码高清| 亚洲亚洲网站三级片在线| 尤物yw午夜国产精品视频 | 40分钟永久免费又黄又粗| 亚洲女同恋中文一区二区| 国语对白在线观看免费| 午夜福利一区二区三区在线观看| 国产女女精品视频久热视频 | 日韩一区二区,亚洲一区二区视频| av天堂网手机在线观看| 久久久精品人妻一区二区三区四区| 真实国产精品vr专区| 四川老熟妇乱子xx性bbw| 亚洲AV无码久久精品国产老人| 国产自拍av在线观看| 亚洲欧洲免费无码| 特级毛片a级毛片100免费播放| 亚洲黄色一级毛片|