亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于化工行業(yè)智能工廠建設(shè)的網(wǎng)絡(luò)安全解決方案

        2021-10-28 06:54:10
        中國(guó)氯堿 2021年9期
        關(guān)鍵詞:專網(wǎng)客戶端網(wǎng)絡(luò)安全

        李 津

        (新疆天業(yè)(集團(tuán))有限公司,新疆 石河子832000)

        智能工廠建設(shè)首先是基礎(chǔ)設(shè)施及網(wǎng)絡(luò)的建設(shè),網(wǎng)絡(luò)安全是重中之重,并且需要在做智能工廠頂層設(shè)計(jì)的時(shí)候就對(duì)網(wǎng)絡(luò)安全方案進(jìn)行全面的規(guī)劃。項(xiàng)目建設(shè)中后期再進(jìn)行網(wǎng)絡(luò)安全的補(bǔ)救,往往會(huì)傷筋動(dòng)骨,給企業(yè)帶來(lái)更多的經(jīng)濟(jì)投入和網(wǎng)絡(luò)安全隱患。

        1 工控網(wǎng)的網(wǎng)絡(luò)安全防護(hù)

        目前,隨著化工生產(chǎn)自動(dòng)化水平的提升,智能儀表、閥門、分析儀器得到了廣泛應(yīng)用,工控系統(tǒng)成為了化工生產(chǎn)的心臟,工控系統(tǒng)及網(wǎng)絡(luò)的安全和穩(wěn)定非常重要,由于早期工控系統(tǒng)基本是在局域網(wǎng)中運(yùn)行,安全隱患主要在系統(tǒng)本身,隨著數(shù)字化和智能化的發(fā)展,基于OPC協(xié)議的工控網(wǎng)絡(luò)系統(tǒng)面臨各種各樣的威脅。在“兩網(wǎng)”融合的大背景下,工業(yè)控制系統(tǒng)的隔離性被打破,面臨來(lái)自網(wǎng)絡(luò)的威脅空前加劇。

        1.1 OPC協(xié)議

        DCS系統(tǒng)的種類繁多,但目前大多采用OPC方式進(jìn)行數(shù)據(jù)交換。OPC(用于過(guò)程控制的OLE)被廣泛應(yīng)用在控制系統(tǒng)中,用于提供不同供應(yīng)商的設(shè)備和軟件之間的互操作性。OPC采用Server/Client模式,OPC Server可以設(shè)置數(shù)據(jù)只讀,這在一定程度上保護(hù)了DCS系統(tǒng)的安全。

        然而OPC Classic協(xié)議(OPC DA,OPC HAD和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)知之前設(shè)計(jì)的。OPC與DCS的數(shù)據(jù)交換基于典型的TCP/IP協(xié)議,OPC Classic動(dòng)態(tài)地分配TCP端口給每一個(gè)服務(wù)對(duì)象在服務(wù)器上的可執(zhí)行過(guò)程,由于OPC可以自由使用1024-65535之間的任何端口,它對(duì)傳統(tǒng)的IT防火墻是不友好的,由于不能提前知道服務(wù)器會(huì)使用什么端口,不能定義防火墻規(guī)則,只能開(kāi)放大范圍的端口,這就產(chǎn)生了嚴(yán)重的安全漏洞。

        1.2 工控網(wǎng)與數(shù)采網(wǎng)之間的安全防護(hù)

        1.2.1 深度包檢測(cè)技術(shù)

        可以通過(guò)深度包檢測(cè)技術(shù)管理OPC通信,第1步,竊聽(tīng)來(lái)自O(shè)PC客戶端的連接請(qǐng)求,并檢查服務(wù)器和客戶端的身份合法性及連接請(qǐng)求的格式是否正確;第2步,竊聽(tīng)來(lái)自O(shè)PC服務(wù)器的連接應(yīng)答,并檢查連接應(yīng)答的格式是否正確,客戶端的身份合法性以及服務(wù)器使用的TCP端口;第3步,暫時(shí)打開(kāi)之前通告的TCP端口并作出限制,只允許該客戶端與服務(wù)器通信,該客戶端只能使用指定端口及規(guī)定時(shí)間內(nèi)的會(huì)話有效時(shí)間。

        該技術(shù)阻斷了未被許可的客戶端和服務(wù)器使用通告端口號(hào)之外端口號(hào)的行為、借用端口號(hào)的行為以及非正確格式的RPC連接請(qǐng)求。

        1.2.2 安全網(wǎng)絡(luò)架構(gòu)

        可以使用不同的網(wǎng)絡(luò)架構(gòu),使用不同的滿足安全要求的網(wǎng)絡(luò)安全設(shè)備,實(shí)現(xiàn)對(duì)工控系統(tǒng)的安全防護(hù),可以把1臺(tái)工控機(jī)房的DCS上位機(jī)部署成OPC Server,再把另1臺(tái)工控機(jī)房的服務(wù)器部署成OPC Client及數(shù)采接口機(jī),即OPC服務(wù)器、客戶端、數(shù)采、實(shí)時(shí)數(shù)據(jù)庫(kù)接口功能都在工控機(jī)房進(jìn)行管理。也可以單獨(dú)將1臺(tái)工控網(wǎng)的服務(wù)器部署成OPC Server,通過(guò)交換機(jī)與DCS系統(tǒng)通信,再用1臺(tái)數(shù)采網(wǎng)的服務(wù)器部署成OPC Client及數(shù)采接口機(jī),即OPC服務(wù)器在工控機(jī)房進(jìn)行管理,OPC客戶端、數(shù)采、實(shí)時(shí)數(shù)據(jù)庫(kù)接口功能在數(shù)字化機(jī)房進(jìn)行管理。OPCServer和OPC Client的物理鏈路通過(guò)光纖進(jìn)行通信,將安全隔離設(shè)備放在OPC Server和OPCClient之間,即可實(shí)現(xiàn)有效的安全隔離。

        2 數(shù)采網(wǎng)的網(wǎng)絡(luò)安全防護(hù)

        數(shù)采網(wǎng)作為工控網(wǎng)和生產(chǎn)網(wǎng)的橋梁,主要包括OPC客戶端、數(shù)采機(jī)、實(shí)時(shí)數(shù)據(jù)庫(kù)接口機(jī)及實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備,其中OPC客戶端、數(shù)采和接口功能可以共用1臺(tái)服務(wù)器設(shè)備,該服務(wù)器與實(shí)時(shí)數(shù)據(jù)庫(kù)的通信協(xié)議也基于TCP/IP協(xié)議。

        2.1 實(shí)時(shí)數(shù)據(jù)庫(kù)的自身安全防護(hù)機(jī)制

        實(shí)時(shí)數(shù)據(jù)庫(kù)接口在安裝的時(shí)候可以安裝OPC Client_Readonly(只讀)接口,不安裝可讀可寫接口,這樣能夠有效防止數(shù)據(jù)通過(guò)OPC協(xié)議回傳。

        2.2 建立數(shù)采專用虛網(wǎng)

        建立實(shí)時(shí)數(shù)據(jù)采集專用虛網(wǎng),再在專用虛網(wǎng)的基礎(chǔ)上建立專用子網(wǎng),是在網(wǎng)絡(luò)底層保護(hù)實(shí)時(shí)數(shù)據(jù)采集免遭非法訪問(wèn)和病毒襲擊的有力手段。具體的做法是,將實(shí)時(shí)數(shù)據(jù)庫(kù)PI服務(wù)器和數(shù)采接口機(jī)從網(wǎng)絡(luò)底層劃入同一子網(wǎng),在路由器或交換機(jī)上建立訪問(wèn)規(guī)則,即其他子網(wǎng)的主機(jī)可以訪問(wèn)PI服務(wù)器,但不能訪問(wèn)數(shù)采接口機(jī)。

        3 生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)

        生產(chǎn)網(wǎng)是智能工廠建設(shè)的核心部分,所有應(yīng)用模塊都部署在生產(chǎn)網(wǎng)上,比如MES系統(tǒng)、三維數(shù)字化平臺(tái)、應(yīng)急指揮系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)、安健環(huán)管理系統(tǒng)、流程仿真培訓(xùn)系統(tǒng)、工業(yè)大數(shù)據(jù)平臺(tái)、工業(yè)互聯(lián)網(wǎng)平臺(tái)等。

        3.1 私有云平臺(tái)

        建設(shè)私有云平臺(tái),將各應(yīng)用模塊都部署在私有云平臺(tái)上,云存儲(chǔ)相比本地存儲(chǔ)更為安全,云服務(wù)器實(shí)際上就是一組在集群服務(wù)器上虛擬出來(lái)的多個(gè)獨(dú)立服務(wù)器,然后每個(gè)服務(wù)器上都運(yùn)行修改工作負(fù)載的配置,因此在穩(wěn)定性與自動(dòng)化方面具備優(yōu)勢(shì);并且云服務(wù)器在防火墻、網(wǎng)絡(luò)和存儲(chǔ)加密以及鏡像安全、代碼檢測(cè)等方面都具備安全性,還會(huì)有技術(shù)團(tuán)隊(duì)添加安全層,并實(shí)時(shí)更新安全系統(tǒng)。企業(yè)可以時(shí)刻監(jiān)控云服務(wù)器,掌握自身數(shù)據(jù)狀態(tài)。另外云服務(wù)商都具備保護(hù)機(jī)制,包括入侵自動(dòng)防御、定期滲透測(cè)試、多層物理檢測(cè)、ddos監(jiān)測(cè)等功能。這就極大提高了云服務(wù)器的安全性。

        3.2 生產(chǎn)網(wǎng)與辦公網(wǎng)的安全隔離技術(shù)

        該技術(shù)在2個(gè)獨(dú)立系統(tǒng)之間,不存在通信的物理連接和邏輯連接,不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā),只有格式化數(shù)據(jù)塊的無(wú)協(xié)議“擺渡”。 被隔離網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞方式采用完全的私有方式,不具備任何通用性。

        兩側(cè)網(wǎng)絡(luò)之間所有的TCP/IP連接在其主機(jī)系統(tǒng)上都要進(jìn)行完全的應(yīng)用協(xié)議還原,還原后的應(yīng)用層信息根據(jù)用戶的策略進(jìn)行強(qiáng)制檢查后,以格式化數(shù)據(jù)塊的方式通過(guò)隔離交換矩陣進(jìn)行單向交換,在另外一端的主機(jī)系統(tǒng)上通過(guò)自身建立的安全會(huì)話進(jìn)行最終的數(shù)據(jù)通信,即實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測(cè)”。這樣,既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,又進(jìn)行了強(qiáng)制內(nèi)容檢測(cè),從而實(shí)現(xiàn)最高級(jí)別的安全。

        系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)和隔離交換矩陣3部分構(gòu)成。內(nèi)網(wǎng)主機(jī)系統(tǒng)與內(nèi)網(wǎng)相連,外網(wǎng)主機(jī)系統(tǒng)與外網(wǎng)相連,內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別負(fù)責(zé)內(nèi)外網(wǎng)信息的獲取和協(xié)議分析,隔離交換矩陣根據(jù)安全策略完成信息的安全檢測(cè),內(nèi)外網(wǎng)絡(luò)之間的安全交換。整個(gè)系統(tǒng)具備多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu),通過(guò)專用硬件完成兩側(cè)信息的“擺渡”;被隔離網(wǎng)絡(luò)之間任何時(shí)刻不產(chǎn)生物理連接;內(nèi)/外網(wǎng)主機(jī)系統(tǒng)之間沒(méi)有網(wǎng)絡(luò)協(xié)議邏輯連接,通過(guò)隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù),也就是OSI模型的七層協(xié)議全部斷開(kāi);數(shù)據(jù)交換方式完全私有,不具備可編程性。

        4 4G-LTE無(wú)線專網(wǎng)的網(wǎng)絡(luò)安全防護(hù)

        4.1 4G-LTE無(wú)線專網(wǎng)

        4G-LTE無(wú)線專網(wǎng)作為有線網(wǎng)絡(luò)的重要補(bǔ)充,能夠滿足隨時(shí)隨地的移動(dòng)業(yè)務(wù)接入;能夠承載多種業(yè)務(wù),包括語(yǔ)音、生產(chǎn)數(shù)據(jù)、靜態(tài)圖像、視頻圖像等。與公網(wǎng)比較,專網(wǎng)的優(yōu)勢(shì)在于即使在公共網(wǎng)絡(luò)連接受限的環(huán)境中,也能保證持續(xù)、可靠的網(wǎng)絡(luò)連接覆蓋,并且不易遭受來(lái)自外界的數(shù)據(jù)剽竊和攻擊。因此無(wú)線專網(wǎng)本身具有一定的安全優(yōu)勢(shì)。

        4.2 4G-LTE無(wú)線專網(wǎng)與生產(chǎn)網(wǎng)的安全解決方案

        4G專網(wǎng)與生產(chǎn)網(wǎng)不是兩個(gè)孤島,而是存在一定的數(shù)據(jù)交互,因此需要在4G專網(wǎng)與生產(chǎn)網(wǎng)之間配置網(wǎng)絡(luò)安全設(shè)備,采用雙擺渡傳輸技術(shù),隔離交換模塊上的交換芯片通過(guò)獨(dú)特的開(kāi)關(guān)控制系統(tǒng)實(shí)現(xiàn)雙擺渡傳輸機(jī)制,隔離交換模塊自動(dòng)進(jìn)行協(xié)商,從而實(shí)現(xiàn)同一時(shí)刻內(nèi)外網(wǎng)交換卡之間或交換卡與主機(jī)系統(tǒng)之間的雙向數(shù)據(jù)高效交換。

        5 整體解決方案

        5.1 各異構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

        既要實(shí)現(xiàn)上述各異構(gòu)網(wǎng)絡(luò)之間的通信,又要保證各網(wǎng)絡(luò)的安全性,首先需要明確各異構(gòu)網(wǎng)絡(luò)需要實(shí)現(xiàn)的業(yè)務(wù)功能,其次需要明確各異構(gòu)網(wǎng)絡(luò)之間的數(shù)據(jù)交互需求及通信關(guān)系,最后運(yùn)用網(wǎng)絡(luò)安全設(shè)備實(shí)現(xiàn)各異構(gòu)網(wǎng)絡(luò)之間的最高安全防護(hù)要求。

        5.2 系統(tǒng)安全設(shè)計(jì)

        另外在系統(tǒng)方面也需要考慮安全因素,信息系統(tǒng)設(shè)計(jì)歸結(jié)起來(lái)要解決資源、用戶、權(quán)限3類問(wèn)題,在這3大要素中,用戶是安全的主體,應(yīng)用系統(tǒng)的安全也就是圍繞用戶展開(kāi)的。用戶身份的驗(yàn)證便成了應(yīng)用系統(tǒng)必須解決的第一個(gè)問(wèn)題;第二個(gè)要解決的問(wèn)題便是授權(quán),就是確保每個(gè)用戶都能授以合適的權(quán)限;為解決資源的安全性與安全審計(jì)問(wèn)題,還需要解決密碼服務(wù)與可信時(shí)間戳問(wèn)題。

        安全措施包括外部訪問(wèn)安全防范如防火墻、數(shù)據(jù)傳輸加密、VPN;基于SSL的HTTP訪問(wèn);WEB服務(wù)的負(fù)載均衡;基于IIS的授權(quán)控制;基于角色的用戶授權(quán)控制;組件服務(wù)角色控制;基于IPSec的數(shù)據(jù)連接的安全性;ORACLE許可的數(shù)據(jù)庫(kù)角色控制;數(shù)據(jù)庫(kù)安全的組織策略;基于ORACLE數(shù)據(jù)庫(kù)的RAC(Real Application Cluster)服務(wù)器集群服務(wù)等。系統(tǒng)安全架構(gòu)見(jiàn)圖1。

        圖1 系統(tǒng)安全構(gòu)架

        6 結(jié)語(yǔ)

        本方案的實(shí)施,建立了全面的信息安全保障體系,保證各異構(gòu)網(wǎng)絡(luò)之間正常通信的同時(shí),又能保障各網(wǎng)絡(luò)的安全運(yùn)行,分層級(jí)隔絕了來(lái)自相對(duì)不安全網(wǎng)絡(luò)的威脅,結(jié)合安全管理措施,實(shí)現(xiàn)了智能工廠建設(shè)的同時(shí),保障了工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行的目標(biāo)。

        猜你喜歡
        專網(wǎng)客戶端網(wǎng)絡(luò)安全
        無(wú)線專網(wǎng)通信在武漢配電自動(dòng)化中的應(yīng)用
        活力(2019年21期)2019-04-01 12:17:12
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實(shí)戰(zhàn)化”
        無(wú)線通信技術(shù)在電力通信專網(wǎng)中的應(yīng)用
        上網(wǎng)時(shí)如何注意網(wǎng)絡(luò)安全?
        縣級(jí)臺(tái)在突發(fā)事件報(bào)道中如何應(yīng)用手機(jī)客戶端
        孵化垂直頻道:新聞客戶端新策略
        基于Vanconnect的智能家居瘦客戶端的設(shè)計(jì)與實(shí)現(xiàn)
        我國(guó)擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        我國(guó)警用通信專網(wǎng)與公網(wǎng)比較研究
        美女用丝袜脚玩我下面| 亚洲 欧美 影音先锋| 精品久久久久久久无码| 亚洲欧美日韩另类精品一区| 国产白嫩护士被弄高潮| 国产一精品一av一免费| 少妇性饥渴bbbbb搡bbbb| 欧美精品偷自拍另类在线观看| 国产精品爆乳在线播放| 韩国三级大全久久网站| 久久人妻av无码中文专区| 精品亚洲乱码一区二区三区| 国产激情一区二区三区成人| 白白在线视频免费观看嘛| 亚洲av成人片在线观看| 国产精品毛片久久久久久久| 人人狠狠综合久久亚洲婷婷| 免费一区二区三区视频狠狠| 被欺辱的高贵人妻被中出| 久久爱91精品国产一区| 色偷偷亚洲女人的天堂| 色噜噜精品一区二区三区| 漂亮人妻出轨中文字幕| 丝袜美腿亚洲一区二区| 中字幕人妻一区二区三区| 日日摸夜夜添无码无码av| 亚洲毛片αv无线播放一区| 日本岛国大片不卡人妻| 日本韩国三级在线观看| 综合激情五月三开心五月| 欧美黑人巨大videos精品| 国产男女无遮挡猛进猛出| 八区精品色欲人妻综合网| 在线免费观看国产精品| 国产成人亚洲综合小说区| 91人妻人人做人人爽九色| 美利坚日韩av手机在线| 日本妇人成熟免费2020| 韩日午夜在线资源一区二区 | 特级a欧美做爰片第一次| 99久久免费精品高清特色大片|