序論:在您撰寫控制系統網絡安全時,參考他人的優秀作品可以開闊視野����,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情��,引導您走向新的創作高度�。
第1篇
根據馬太效應����,隨著人類社會的飛速發展�,未來城市發展將日趨巨大,人口日趨密集��。目前���,我國城市涉及民生公共服務等相關問題日趨嚴重��。自IBM2008年提出智慧地球的概念后,利用智慧手段管理城市成為熱門話題之一�。為解決城市發展難題���,實現城市可持續發展�,智慧城市的理念應運而生�����。所謂智慧城市就是充分運用工業自動控制��、城域網�����、大數據分析技術、云計算����、移動支付等信息化和通信技術手段,以數字化����、智能分析�、整合城市運營的各項關鍵信息��,從而實現智能化管理和運營各類城市公共服務�����、民生生活和各類工商業活動��,滿足人民日益增長的美好生活需求��。在智慧城市的大框架下����,智慧水務應運而生���。智慧水務是利用現代化技術將傳統水務的水源管理、供水�����、排水�、水質監測、污水處理及回收利用等所有涉水業務流程數字化管理[1]���,以達到優化資源配置、增強水資源利用效率���、滿足不同用戶的用水需求、保障城市用水安全的目的����。然而隨著現代化技術的廣泛應用,也帶來了新一輪的安全問題��,即網絡空間安全問題�����?!皼]有網絡安全�����,就沒有國家安全”,網絡空間已成為繼陸?����?仗熘蟮牡谖蹇臻g�����,網絡空間安全已經上升到國家安全的高度[2]����。我國在中央和各省市大力推進智慧城市建設的過程中,城市的網絡空間安全問題研究顯得尤為重要�����。正如前文所說�,智慧水務就是利用現代化技術將傳統水務的水源管理�、供水�����、排水、水質監測����、污水處理及回收利用等所有涉水業務流程的數字化管理���,這里的現代化技術包括工業自動控制���、大數據分析、網絡支付等���。本文主要從工業控制系統網絡安全的角度來探討智慧水務建設過程的網絡空間安全問題����。
1工業控制系統網絡安全
工業控制實際上是利用計算機設備控制工業過程�,達到降低人力成本�����,提高工作效率或是用以替代人類在惡劣環境工作����。傳統的工業控制系統是封閉系統,即使出現安全問題影響范圍也十分有限�����,例如一臺傳統的數控加工機床���,即使數控模塊出現了病毒,影響范圍也僅局限于這臺機床加工出來的產品�,后續的質量檢測可以很快發現問題��。然而隨著網絡技術的飛速發展��,工業控制系統已成為物聯網的主要組成部分,大多和國計民生相關的關鍵基礎設施依靠工業控制系統來實現自動化作業��,包括基礎設施�����、民生智慧城市����、先進制造業和軍隊軍工等。當前以工業控制系統為基礎的工業網絡安全面臨著巨大威脅�����,直接威脅到國家安全���。從早期澳大利亞昆士蘭的馬盧奇污水處理廠事件(2000年3月)、美國俄亥俄州Davis-Besse核電站SQLSlammer蠕蟲病毒攻擊事件(2003年1月的)到最近的“超級電廠”病毒事件(2014年)��、烏克蘭的年“BlackEnergy”病毒事件(2015)���、烏克蘭機場受攻擊事件(2016年)[3-4]都表明:工業控制系統不再安全,工業控制系統安全事件造成的社會影響也越來越大���,大量證據表明工業安全事件背后有著巨大的經濟利益和國家政治利益。
2智慧水務
智慧水務是智慧城市的重要組成之一�����,智慧水務的建設過程中�,業務流程和工業控制息息相關,例如利用傳感器獲取水源水質信息或管網網水壓流量信息���,通過自動控制管網水量調節均衡不同區域用水,利用自動控制排水開關提高排水效率�����,通過自動控制污水處理流程來降低污水處理能耗和廢水再利用等�。智慧水務建設中的工業控制網絡安全主要包括物理感知和數據采集安全��、設備自動控制安全和安全管理安全等�。
2.1物理感知和數據采集安全
物理感知和數據采集安全主要面向智慧水務基礎設施�,包括水源水質監測、管網水壓監測�、排水流量監測等���,利用各類傳感設備將所需各類監測信息采集并做基礎分析后傳回水務中心的過程。智慧水務中的感知監測設備大多由成本低���、體積小����、能耗低和計算機資源有限的傳感器節點組成�,監測環境大多也比較惡劣���,主要安全問題包括感知節點易被破壞���、通信易受干擾��、傳輸通道不穩定不可靠��、數據信息容易污染等[5]����。物理感知和數據采集帶來的安全問題大多是基礎數據源問題�,會直接影響智慧水務的大數據分析結果及管理層的水務管理決策,嚴重的還可對民生產生重大影響����,可實現例如水源監測點傳來水源污染錯誤信息����,很可能導致水務中心水源報警��,甚至關閉供水,由此造成的損失將不可估量���。物理感知和數據采集的安全問題可從以下兩方面入手:(1)傳感感知節點采用信號防干擾技術,根據不同需要和環境可采用防水防雷防腐蝕等措施����,條件允許的情況下采用冗余部署。(2)信號傳輸采用多種可靠傳輸方式���,同時要采用信息加密防纂改和雙因子認證,保證傳輸信息的來源合法和信息本身的完整性和安全性��。
2.2設備自動控制安全
智慧水務中的工業控制系統通過信號指令以弱電控制強電的方式來管控機械設備的運作�,從網絡空間安全的角度來看��,設備自動控制的安全主要有以下幾方面:(1)控制信號安全��,控制信號的來源分為兩種:一種直接從設備本身產生或設備上配套的感知原件產生�,無需經智慧水務管控中心處理���;另一種是從智慧水務管控中心傳遞過來的控制信號。第一種控制信號的安全性和設備直接相關���,需要保障信號可靠性���,防止人為物理破壞��。第二類控制信號需要從傳統網絡安全方面保障傳輸過程的可靠性和安全性��,同時需要在控制終端驗證信號是否被纂改等���。(2)弱電控制強電過程的安全性。和水務業務相關的大型機械設備的啟停運作����,一般都是通過弱電信號來控制設備運作動力�,改變設備運行方式等。弱電控制強電過程中��,存在的安全問題主要有兩方面:一是控制裝置本身的安全性����,是否具有電磁隔離能力,是否具備防雷措施�,控制裝置本身的可靠性主要采用冗余來保障�����;二是強電能源動力的安全性����,是否具有良好的接地���、觸電防護措施等��,強電本身的安全性需符合國家相關安全標準�����。(3)機械設備運作的安全性。設備自動控制的最終表現在于設備是否可以正常運行,設備的正常運行主要通過設備定期或不定期維檢來保障����,智慧水務建設也體現在設備運行狀態的自動采集和預警上��,主要可通過設備的狀態傳感器實時傳遞設備狀態信息及時發現設備故障��。
2.3安全管理
智慧水務建設過程中的工業控制系統網絡建設相較傳統網絡體系而言�����,更多傾向于設備部署,易使人們忽視安全管理���。實際上工業控制系統的網絡安全問題更大程度是人為因素:一是基層工作人員相對素質較低,在水務設備的安裝和巡檢過程中��,麻痹大意��,忽視安全問題���;二是工業控制系統網絡缺少日志自動化管理,需要人工建立臺賬。智慧水務建設過程需要提高安全管理意識����,建立獨立的安全管理制度:一是加強日志管理和審計管理����,盡可能利用信息化手段管理日志,可設立專崗專管�。二是加大安全培訓力度�����,提高基層工作人員的安全意識�����,發現問題及時報告�����。
3結語
"智慧水務"是現代化城市建設的必然趨勢���,智慧水務和國家網絡空間安全息息相關�。在建設初期��,提高安全意識��,建立安全管理制度��,加強每個環節的安全建設����,尤其是工業自動控制系統網絡安全建設,至關重要����。本文主要分析了智慧水務建設過程的工業自動控制系統網絡安全問題�����,并給出了相應的解決辦法�����,對生產實踐具有一定的參考借鑒意義�����。
參考文獻
[1]卜云飛,閆健卓.基于大數據的智慧水務架構研究[C]//中國自動化大會(CAC2017)����,濟南:2017.
[2]張煥國,韓文報,來學嘉,等.網絡空間安全綜述[J].中國科學:信息科學�,2016(2):125-164.
[3]谷神星網絡科技有限公司.工業控制網絡安全系列之四典型的工業控制系統網絡安全事件[J].微型機與應用,2015����,34(5):1���,5.
[4]魏欽志.工業網絡控制系統的安全與管理[J].測控技術��,2013(2):87-92.
[5]旭日.無線傳感器網絡安全技術及運用實踐微探[J].數碼世界,2017(1):126-127.
[6]彭勇,江常表.工業控制系統信息安全研究進展[J].清華大學學報(自然科學版)�����,2012����,52(10):1396-1408.
第2篇
1過程控制系統網絡的特點與風險點
改革開放以來,我國石油化工企業的自動化和信息化水平�,無論在裝備上、技術水平上�、功能與規模上都有了較大的發展����。測量和控制裝置不斷更新升級,DCS、PLC和IPC已成為大中型石油和化工企業的主要控制手段[3]��。而由DCS���、PLC和FCS等控制系統構成的控制網絡在石化行業中也得到了廣泛的應用。
1.1過程控制系統網絡的特點過程控制系統的網絡與傳統的IT網絡不同�,具有以下特點。1)較高的實時性和可靠性�。過程控制系統網絡主要需要保證所有傳輸數據的實時性以及網絡的可靠性�,在傳輸過程中不允許有中斷出現,需要整個傳輸過程始終在系統的可控范圍內���,不能出現失控的狀態�。2)專有通信協議���。早先每一個過程控制系統供應商都有自己獨自研發的專有通信協議,但隨著過程控制系統的網絡面逐漸擴大�����,而在彼此的通信傳輸中需要進行轉換�,不同通訊協議導致的不便捷性逐漸顯露出來���。近幾年隨著系統開放性呼聲越來越高����,在行業內部出現了一些開放的公用的專有通信協議��,例如OPC���,ModbusTCP,現場總線(Foundation/Hart/Profibus)等�。3)相對的獨立性����。過程控制系統通常都是根據工藝設備的要求而進行獨立設計����,所以無論從前期網絡設計到實際物理安裝�,整個控制系統網絡都是相當獨立的�,不會與其他任何應用存在交聯部分。在與外界交互的通道上僅僅開放OPCServer一個接口��,通過OPC工業通信協議與外部進行數據交換����。4)較長的產品更新周期���。過程控制系統產品不以追求設備的先進性為目標��,更多地是強調安全性與穩定性��。所以結合實際工藝生產以及設備投資來進行綜合考慮����,過程控制系統通常具有較長的更新周期,這樣就導致系統操作平臺的安全漏洞得不到及時的維護�����。5)與殺毒軟件兼容性差����。目前市場上的殺毒軟件廠商基本都是針對常用的應用軟件進行兼容性測試�,針對市場上使用頻率較高的軟件進行病毒防治策略的研究。而在網絡中基于Windows平臺上安裝的所有過程控制軟件����,幾乎沒有殺毒軟件廠商對其進行過完整的兼容性測試�����。這種情況同樣也適應于過程控制系統制造商����,各家控制系統制造商一般只認可少數幾種防病毒軟件���,所以在工控領域的操作層級進行統一部署防護策略是一件很困難的事���。
1.2過程控制系統網絡的風險點根據對過程控制系統結構的分析�����,通常易受病毒侵襲的主要風險點主要有“數據采集網絡的連接”,“先進過程控制站的連接”���,“操作站”之間的三處連接��。1)與數據采集網絡的通信安全隱患例如采用雙網卡配置的OPC數據采集機,但無其他任何防護措施���。雖然OPC數據采集機采用雙網卡配置��,并已經將控制網與信息網進行隔離����,信息網已經無法對控制網進行操縱攻擊,但是雙網卡結構的配置�����,對病毒的傳播沒有任何阻擋作用�����,所以來自上層信息網對控制網的病毒感染是目前的最大隱患��。2)先進控制過程站的病毒感染隱患例如先進控制過程站通?���?梢杂绍浖踢M行自由操作�����,先進控制過程站本身并無任何防護措施���,具有較高的病毒感染風險。首先先進控制過程站的安裝����、調試、運行一般需要較長的時間�����,而且需要項目工程師進行不斷的調試����、修改。期間先進控制過程站需要頻繁與外界進行數據交換����,這給先進控制過程站本身帶來很大感染病毒的風險��。一旦先進控制過程站受到病毒感染��,其對實時運行的控制系統安全會造成極大隱患��。另外先進過程控制站是應用OPC通信協議進行數據通信的�,所以采用常規IT策略(例如常規的通用防火墻)無法提供適宜的防護��。3)操作站互相感染的隱患目前大多數操作站都運行一個工作網絡中�����,但在網絡內部沒有采取任何有效防護措施。而工業平臺基本采用PC+Windows架構,同時也廣泛應用以太網進行連接���,TCP,STMP��,POP3����,ICMP����,Netbios等大量開放的通信協議被廣泛應用。但活躍在這些通訊協議上的木馬�、蠕蟲等計算機病毒也具有一定的規模���。目前普通的防火墻無法實現工業通信協議的過濾�����,所以當網絡中某個操作站或工程師站感染病毒時,可能會馬上通過數據交換傳播到該工作網絡中的其他PC機上�,這就容易造成網絡上所有操作站同時發生故障����,嚴重時可導致所有操作站同時失控��,甚至造成不可估計的損失�����。
2防護措施與建議
通過考慮石油化工過程控制系統中的網絡架構和安全設計�,同時參考保護層理論,列出了硬件����、網絡通信預防手段�、殺毒軟件預防手段、網絡管理規章制度��、良好的個人工作習慣等多個“保護層”����,下圖為石油化工過程控制系統網絡的安全防護洋蔥模型���。圖1石油化工過程控制系統網絡的安全防護洋蔥模型根據上圖列出的各個風險點��,可以參考以下措施進行有針對性的安全防護。
2.1設置防火墻相關單位或部門應該針對過程控制系統設置防火墻�。防火墻是一項信息安全的防護系統,依照特定的規則�����,允許或是限制傳輸的數據通過�����。在網絡通信中采用防火墻����,它能允許系統預設的人員和數據(白名單)進入你的網絡��,同時將系統未允許的人員和數據拒之門外����,可以最大限度地阻止網絡中的黑客訪問公司內部網絡��,在內部網和外部網之間��、專用網與公共網之間的界面上構造一道保護屏障���,從而保護內部網免受非法用戶的侵入。一般的防火墻軟件例如ComodoFirewall��、ZoneAlarm�、瑞星個人防火墻、卡巴斯基等均有完善的白名單以及黑名單設置�,管理員可以根據相應的軟件說明書和自身狀況進行詳細設置���。
2.2安裝專業殺毒軟件在已聯網的過程控制系統工業計算機上安裝相應的殺毒軟件��,以降低電腦病毒、特洛伊木馬和惡意軟件等感染計算機的概率���。殺毒軟件通常集成監控識別����、病毒掃描和清除和自動升級等功能��,有的專業殺毒軟件還帶有數據恢復等功能��,是計算機防御系統(包含殺毒軟件���,防火墻,特洛伊木馬和其他惡意軟件的查殺程序�,入侵預防系統等)的重要組成部分�。但是需要注意的是����,有的時候殺毒軟件會對工業計算機上的一些正常行為誤報為病毒或木馬。這時候就需要網絡安全管理人員在安裝殺毒軟件的同時�����,將已確認的工業正常行為錄入殺毒軟件的信任列表�,以避免誤刪重要程序或導致系統停機的情況發生����。
2.3建立完善的規章管理制度公司應建立完善的網絡系統安全管理規章制度,安排專人(網絡安全管理人員)負責公司內部網絡系統的安全運行工作�。同時設置一定的權限���,以阻止管理員之外的人員進行隨意操作與變更�。
第3篇
關鍵詞:互聯網+ 工業控制系統 網絡安全
中圖分類號:TU746 文獻標識碼:A 文章編號:1007-9416(2016)11-0206-01
隨著信息技術的發展�����,所有的傳統產業都在受到影響���,它使得整個傳統產業可以實現遠程的智能化管理和控制���,就像一個人有了神經系統���。傳統產業同網絡信息技術的融合就構成了物聯網��、車聯網����、工業互聯網等一系列概念��,不過這些概念的核心在于網絡互連�。在網絡互連的大趨勢下,工業控制系統的互連也就成為必然要發生的趨勢���。
1 “互聯網+”時代下工業控制系統的網絡安全問題
網絡互連的優勢在于能夠顯著提升生產力,增強創新力��,降低工業原材料以及生產能源的損耗���,推動產業模式高效變革。但是��,網絡互連也帶來了安全問題���,由于互聯而引發各種各樣的網絡安全問題���,工業控制系統不斷遭遇著來自內部和外部的各類網絡病毒的進攻��。今天,工業控制系統受到的網絡攻擊已經變成我們國家所遭受的最危險的安全挑戰之一����。
工業控制系統最初設計的目的在于實現各類實時控制功能,并沒能想到有關安全的問題。今天���,這些都暴露在網絡上,這給它們所控制的例如像重要基礎設備��,關鍵系統等都造成了大量的危險和隱患�。近年來�����,工業控制系統的網絡安全問題多次出現�,因為工業控制系統的安全觸及國家經濟和人民生活,如果受到損害��,將會造成非常嚴重的后果�。
比如���,澳大利亞污水處理廠發生的安全問題,導致了大量的污水還沒有經過凈化就被直接排到了大自然中����,引發了十分嚴重的環境污染。德國的一家鋼鐵廠曾經受到一次網絡黑客入侵,其侵入了鋼鐵廠的熔爐控制系統����,導致了熔爐控制系統停止工作一整天���,據估計�����,這一天的經濟損失就超過了1.5億美元。伊朗布什爾核電站遭受的黑客攻擊導致其部分離心機損壞��,發生放射性物質外泄�,危害甚至達到了當年的切爾諾貝利核電站事故�����,直接造成了伊朗的戰略核計劃后退了兩整年���。中東能源產業受到的網絡病毒攻擊��,造成了許多的重要信息外泄,有可能引發大規模的網絡攻擊。
大家可以看到��,世界上的許多國家都已經將網絡安全當作國家安全的一個關鍵環節�,而工業控制系統的網絡安全又是其中最為重要的���。首先�����,在國家與國家的競爭中�,獲得了他國的重要基礎設施工業控制系統的關鍵信息�����,在各國的網絡空間競爭中就會占得先機����。其次�����,國際上出現的像恐怖組織��、極端勢力等在內的非國家行為體�����,不斷試圖利用正在發展的工業控制系統的網絡安全隱患來達到他們不可告人的目的�。隨著網絡技術的發展及其與生俱來的開放性特點�����,造成攻擊難度以及代價不斷下降��,工業控制系統已逐步變成今天各類非法組織��、個人等網絡攻擊的首要目標����,而這就給我們國家的安全帶來了非常大的威脅��。
2 工業控制系統在線監測能力的建設
面對“互聯網+”時代下工業控制系統網絡安全問題給我們國家的安全帶來了威脅�,我們需要掌握有哪些工業控制系統運行在互聯網中�,有哪些產業�、哪些區域的工業控制系統運行在互聯網中�,而且這些運行在互聯網中的工業控制系統到底有怎樣的威脅���?所以,工業控制系統在線監測能力的建設也就變成了當務之急��。
為了解決網絡安全問題帶來的威脅�,各國都特別重視工業控制系統的在線監測能力�。2008年開始,美國國土安全部建立ProjectShine項目����,查詢在互聯網上互聯的所有工業控制系統設施及重要信息基礎設備��,到2012年為止�����,已匯集了世界范圍內的220多萬條數據�����。不只美國����,比如英國,也都發展了本國的工業控制系統查詢設施來了解和查找本國以及別的國家的重要基礎設備���。
2013年初,我國工業和信息化部電子科學技術情報研究所逐步進行關鍵控制系統在線查詢監測工作��,開始構建起關鍵控制系統在線監測平臺��,對互聯在網絡上的關鍵工業控制系統實施安全監測以及危險警示工作�,到今天已經開始形成了對關鍵工業控制系統的在線監測能力��。在查詢我國關鍵工業控制系統基礎設施的前提下�����,工業和信息化部電子科學技術情報研究所還自主開發了關鍵工業控制系統在線監測預警平臺���,研發了工業控制系統的在線搜索系統。通過不斷查詢網絡信息�,判斷出與工業控制系統網絡指紋特征相符合的IP,查詢運行在互聯網上的關鍵工業控制系統的基本信息��。為了未來進一步的開展工作�����,還開發了與平臺配套的硬件化設備。當前����,在線監測預警平臺監測的設施包括:工業控制設施:PLC、DCS�、RTU等等�����;智能設備:如當前智慧城市中使用的視頻監控設備等。
經過近些年來的工作�,監測平臺取得了部分階段性的成果�。到今天平臺已經搜尋了十余類重要工控專用協議以及工控專有的網絡端口�����;獲得了國內外工業控制系統及設施的基礎情況、分布概況以及發展方向���;增強了我國對關鍵工業控制系統網絡安全問題的預警能力��;推動重要基礎設施運行企業增強工業控制系統網絡安全防護能力;為工業控制系統網絡安全監測以及預警提供重要保障����。
3 結語
“互聯網+”時代下��,信息技術的發展推動了傳統產業的創新和提升,但是�����,隨之也帶來了工業控制系統的網絡安全問題�,因此�����,我們必須將工業控制系統在線監測能力的建設及完善提上議事日程�,為我們國家的安全提供保障��。
參考文獻
[1]陳月華�����,馮偉.“互聯網+”時代工業控制系統面臨新挑戰[J].中國科技投資��,2015(16):48-51.
[2]王德吉.“互聯網+”時代的“工業4.0”信息安全探索與實踐[J].自動化博覽�����,2015(z2).
第4篇
工業控制系統網絡安全防護體系是工業行業現代化建設體系中的重要組成部分�����,對保證工業安全����、穩定、可持續競爭發展具有重要意義���?;诖?,文章從工業控制系統相關概述出發��,對工業控制系統存在的網絡安全問題�,以及當今工業控制系網絡安全防護體系設計的優化進行了分析與闡述��,以供參考����。
關鍵詞:
工業控制系統�;網絡安全��;防護體系
0引言
工業控制系統是我國工業領域建設中的重要組成部分���,在我國現代化工業生產與管理中占有重要地位。隨著近年來我國工業信息化�、自動化、智能化的創新與發展��,工業控制系統呈現出網絡化、智能化���、數字化發展趨勢��,并在我國工業領域各行業控制機制中�����,如能源開發���、水文建設����、機械制作生產、工業產品運輸等得到了廣泛應用��。因此�,在網絡安全隱患頻發的背景下���,對工業控制系統網絡安全防護體系的研究與分析具有重要現實意義,已成為當今社會關注的重點內容之一�����。
1工業控制系統
工業控制系統(IndustrialControlSystem����,ICS)是由一定的計算機設備與各種自動化控制組件、工業信息數據采集��、生產與監管過程控制部件共同構成且廣泛應用與工業生產與管理建設中的一種控制系統總稱[1]�����。工業控制系統體系在通常情況下��,大致可分為五個部分�,分別為“工業基礎設施控制系統部分”����、“可編程邏輯控制器/遠程控制終端系統部分(PLC/RTU)”���、“分布式控制系統部分(DCS)”、“數據采集與監管系統部分(SCADA)”以及“企業整體信息控制系統(EIS)”[2]��。近年來�,在互聯網技術、計算機技術�����、電子通信技術以及控制技術���,不斷創新與廣泛應用的推動下����,工業控制系統已經實現了由傳統機械操作控制到網絡化控制模式的發展�,工業控制系統的結構核心由最初的“計算機集約控制系統(CCS)”轉換為“分散式控制系統(DCS)”�,并逐漸趨向于“生產現場一體化控制系統(FCS)”的創新與改革發展。目前��,隨著我國工業領域的高速發展���,工業控制系統已經被廣泛應用到水利建設行業、鋼鐵行業��、石油化工行業�、交通建設行業�、城市電氣工程建設行業、環境保護等眾多領域與行業中��,其安全性�����、穩定性���、優化性運行對我國經濟發展與社會穩定具有重要影響作用�����。
2工業控制系統存在的網絡安全威脅
2.1工業控制系統本身存在的問題
由于工業控制系統是一項綜合性��、技術復雜性的控制體系,且應用領域相對較廣�����。因此���,在設計與應用過程中對工作人員具有較高的要求,從而導致系統本身在設計或操作中容易出現安全隱患��。
2.2外界網絡風險滲透問題
目前�����,工業控制系統網絡化設計與應用����,已成為時展的必然趨勢���,在各領域中應用工業控制系統時��,對于數據信息的采集�����、分析與管理����,需要工業控制系統與公共網絡系統進行一定的鏈接或遠程操控�。在這一過程中�����,工業控制系統的部分結構暴露在公共網絡環境中��,而目前公共網絡環境仍存在一定的網絡信息安全問題���,這在一定程度上將會導致工業控制系統受到來自網絡病毒�、網絡黑客以及人為惡意干擾等因素的影響���,從而出現工業控制系統網絡安全問題。例如��,“百度百科”網站���,通過利用SHODAN引擎進行OpenDirectory搜索時�,將會獲得八千多個處于公共網絡環境下與“工業控制系統”相關的信息����,一旦出現黑客或人為惡意攻擊����,將為網站管理系統帶來嚴重的影響[3]。
2.3OPC接口開放性以及協議漏洞存在的問題
由于工業控制系統中��,其網絡框架多是基于“以太網”進行構建的,因此���,在既定環境下�����,工業過程控制標準OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強的開放性[4]�����。當對工業控制系統進行操作時�����,基于OPC的數據采集與傳輸接口有效網絡信息保護舉措的缺失��,加之OPC協議����、TCP/IP協議以及其他專屬代碼中存在一定的漏洞���,且其漏洞易受外界不確定性風險因素的攻擊與干擾,從而形成工業控制系統網絡風險����。
2.4工業控制系統脆弱性問題
目前���,我國多數工業控制系統內部存在一定的問題����,致使工業控制系統具有“脆弱性”特征,例如�,網絡配置問題、網絡設備硬件問題��、網絡通信問題�、無線連接問題����、網絡邊界問題、網絡監管問題等等[5]�����。這些問題����,在一定程度上為網絡信息風險因素的發生提供了可行性,從而形成工業控制系統網絡安全問題��。
3加強工業控制系統網絡安全防護體系的建議
工業控制系統網絡安全防護體系的構建,不僅需要加強相關技術的研發與利用���,同時也需要相關部門(如�,設備生產廠家�、政府結構��、用戶等)基于自身實際情況與優勢加以輔助�,從而實現工業控制系統網絡安全防護體系多元化、全方位的構建���。
3.1強化工業控制系統用戶使用安全防護能力
首先,構建科學且完善的網絡防護安全策略:安全策略作為工業控制系統網絡安全防護體系設計與執行的重要前提條件���,對保證工業控制系統的網絡安全性具有重要指導作用���。對此,相關工作人員應在結合當今工業控制系統存在的“脆弱性”問題�����,在依據傳統網絡安全系統構建策略優勢的基礎上����,有針對性的制定一系列網絡防護安全策略,用以保證工業控制系統安全設計���、操作、管理�、養護維修規范化、系統化����、全面化、標準化施行���。例如,基于傳統網絡安全策略——補丁管理����,結合工業控制系統實際需求,對工業控制系統核心系統進行“補丁升級”��,用以彌補工業控制系統在公共網絡環境下存在的各項漏洞危機[6]�����。在此過程中��,設計人員以及相關工作者應通過“試驗測驗”的方式�,為工業控制系統營造仿真應用環境�,并在此試驗環境中對系統進行反復測驗��、審核�����、評價���,并對系統核心配置、代碼進行備份處理��,在保證補丁的全面化升級的同時�,降低升級過程中存在的潛在風險。其次�,注重工業控制系統網絡隔離防護體系的構建:網絡隔離防護的構建與執行,對降低工業控制系統外界風險具有重要意義���。對此����,相關設計與工作人員應在明確認知與掌握工業控制系統網絡安全防護目標的基礎上�����,制定相應的網絡隔離防護方案�,并給予有效應用�。通常情況下,工業控制系統設計人員應依據不同領域中工業控制系統類型與應用需求�����,對系統所需設備進行整理���,并依據整理內容進行具體測評與調試,用以保證各結構設備作用與性能的有效發揮�,避免出現設備之間搭配與連接不和諧等問題的產生;根據工業控制系統功能關鍵點對隔離防護區域進行分類與規劃(包括工業控制系統內網區域�、工業控制系統外部區域、工業控制系統生產操作區域�����、工業控制系統安全隔離區域等)��,并針對不同區域情況與待保護程度要求�,采用相應的舉措進行改善���,實現不同風險的不同控制[7]。與此同時����,構建合理、有效的物理層防護體系:實踐證明�,物理層防護體系的構建(物理保護)�����,對工業控制系統網絡安全防護具有至關重要的作用�,是工業控制系統實現網絡安全管理與建設的重要基礎項目,也是核心項目��,對工業控制和系統網絡防護體系整體效果的優化�,具有決定性作用。因此�,在進行工業控制防護系統網絡安全防護體系優化設計時,設計人員以及相關企業應注重對工業控制系統物理層的完善與優化���。例如,通過配置企業門禁體系����,用以避免外來人員對工業現場的侵害;依據企業特色����,配設相應的生產應急設備����,如備用發電機、備用操作工具�����、備用電線、備用油庫等���,用以避免突發現象導致設計或生產出現問題;通過配置一定的監測管理方案或設施���,對系統進行一體化監管��,用以及時發現問題(包括自然風險因素��、設備生產安全風險因素等)并解決問題,保證工業控制系統運行的優化性�。此外,加強互聯網滲透與分析防治:設計工作人員為避免工業控制系統互聯網滲透安全威脅問題����,可通過換位思考的形式�,對已經設計的工業控制系統網絡安全防護體系進行測評�,并從對方的角度進行思考,制定防護對策����,用以提升工業控制系統網絡安全性。
3.2強化工業控制系統生產企業網絡安全防護能力
工業控制系統生產企業��,作為工業控制系統的研發者與生產者�����,應提升自身對工業控制系統網絡安全設計的重視程度���,從而在生產過程中保證工業控制系統的質量����。與此同時�,系統生產企業在引進先進設計技術與經驗的基礎上�,強化自身綜合能力與開發水平,保證工業控制系統緊跟時展需求�����,推動工業控制系統不斷創新���,從根源上降低工業控制系統自身存在安全風險。
3.3加大政府扶持與監管力度
由上述分析可知����,工業控制系統在我國各領域各行業中具有廣泛的應用�����,并占據著重要的地位,其安全性����、穩定性、創新性���、優化性對我國市場經濟發展與社會的穩定具有直接影響作用�。由此可見�,工業控制系統網絡安全防護體系的構建����,不僅是各企業內部組織結構體系創新建設問題���,政府以及社會等外部體系的構建同樣具有重要意義��。對此,政府以及其他第三方結構應注重自身社會責任的執行,加強對工業控制系統安全防護體系環境的管理與監督����,促進工業控制系統安全防護外部體系的構建。例如���,通過制定相應的網絡安全運行規范與行為懲罰措施���,用以避免互聯網惡意破壞行為的發生����;通過制定行業網絡安全防護機制與準則,嚴格控制工業控制系統等基礎設施的網絡安全性����,加大自身維權效益。
4結論
綜上所述��,本文針對“工業控制系統網絡安全防護體系”課題研究的基礎上���,分析了工業控制系統以及當今工業控制系統存在的網絡安全問題,并在工業控制系統網絡安全防護體系設計的基礎上��,提供了加強工業控制系統網絡安全防護體系設計的優化對策����,以期對工業控制系統網絡安全具有更明確的認知與理解,從而促進我國工業控制系統網絡安全防護體系建設的優化發展���。
參考文獻:
[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網絡安全架構的思考[J].電力系統自動化,2016(2):6-11.
[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業控制系統安全保障探索[J].網絡安全技術與應用,2016(5):81-86.
[4]羅常.工業控制系統信息安全防護體系在電力系統中的應用研究[J].機電工程技術,2016(12):97-100.
[5]劉秋紅.關于構建信息安全防護體系的思考——基于現代計算機網絡系統[J].技術與市場,2013(6):314.
[6]孟雁.工業控制系統安全隱患分析及對策研究[J].保密科學技術,2013(4):16-21.
第5篇
Abstract: The paper mainly introduces the components and the related technology of network security access control system and explores the application of this technology on railway information system.
關鍵詞:網絡安全;準入控制;鐵路
Key words: network security; access control; railway
中圖分類號:TP319文獻標識碼:A文章編號:1006-4311(2010)27-0170-01
0引言
隨著網絡環境愈發復雜,國家對鐵路信息系統的安全級別提高到了《信息安全等級保護》的范疇,這就意味著鐵路信息系統需要進一步提高安全等級。為此,鐵路部門非常重視各種信息系統的安全建設���。
現有鐵路各信息系統中一般都部署了防病毒�����、補丁分發等安全措施,起到了一定的網絡安全防護作用�。但隨著網絡的發展,這些單個�、相對靜態的防護措施如何能夠進一步的增強和擴展,如何能夠有效的結合在一起提高系統安全性,達到國家對鐵路系統的安全要求,這就是需要探討的網絡安全準入控制系統��。
1網絡安全準入控制技術概述
網絡安全準入控制的核心概念是從網絡接入端點的安全控制入手,結合認證服務器,安全策略服務器和網絡設備,以及第三方防病毒��、系統補丁等服務器,完成對接入終端用戶的強制認證和安全策略應用,從而保障網絡安全���。
現今,思科、賽門鐵克����、H3C等廠家已有成熟的網絡安全準入控制系統,可以支持常見的準入控制、安全管理�、防病毒、補丁分發�、ACL(訪問控制列表)下發����、防ARP攻擊、U盤外設管理等功能�����。其可以實現對整個系統的接入控制���、可視化和動態的管理,增強系統的高安全。
2鐵路系統應用方案
對于鐵路各信息系統應用網絡安全準入控制系統,只需增加安全策略服務器���、認證服務器,并結合已有的防病毒����、補丁分發、網絡設備等,即可進行無縫�����、有效的整合,形成一套聯動的系統,實現準入控制等強大的功能��。
2.1 鐵路信息系統現狀鐵路行業各信息系統的網絡構架以典型的E1環形網絡為主,網絡接入節點為車站,核心節點一般為鐵路局�。鐵路信息系統具備常用的防病毒和漏洞補丁等安全設備,可以起到對網內固定的計算機����、服務器等設備進行病毒防護和補丁升級,但對于系統中是否有其他終端接入,接入的終端設備是否合法,合法用戶終端系統是否安全等并未做更進一步的控制。
2.2 網絡安全準入控制實現方式網絡安全準入控制系統以既有系統網絡為基礎,在網絡核心交換機處設置隔離區,增加安全策略和認證服務器,并利舊補丁分發和防病毒服務器���。隔離區中服務器與既有服務器群采用不同VLAN子網隔離開來。在既有車站路由器開啟802.1x通用認證協議�。
2.2.1 系統構成。①安全策略服務器及安全客戶端�。②認證服務器。③防病毒���、補丁分發服務器���。④網絡設備���。
2.2.2 系統要求���。用戶終端計算機必須安裝準入控制系統客戶端軟件,在接入網絡前首先要進行802.1x和安全認證,否則將不能接入網絡或者只能訪問隔離區的資源�����。在接入路由器或交換機中要部署802.1x認證,結合認證服務器進行聯動,強制進行基于用戶的802.1x認證和動態ACL、VLAN控制�。安全策略服務器中配置用戶的服務策略、接入策略�����、安全策略,用戶進行802.1x認證時,由安全策略服務器驗證用戶身份的合法性,并基于用戶角色(服務)向安全客戶端下發安全評估策略(如檢查病毒庫版本��、補丁安裝情況等),完成身份和安全評估后,由安全策略服務器確定用戶的ACL���、VLAN以及病毒監控策略等。防病毒��、漏洞補丁服務器部署于隔離區����。
2.2.3 流程說明���。①用戶上網前必須首先進行身份認證,確認是合法用戶后,安全客戶端還要檢測病毒軟件和補丁安裝情況,上報安全策略服務器�。②安全策略服務器檢測補丁安裝、病毒庫版本等是否合格��。③安全策略服務器通知接入設備,將該用戶的訪問權限限制到隔離區內�。此時,用戶只能訪問補丁服務器、防病毒服務器等安全資源,因此不會受到外部病毒和攻擊的威脅��。④安全客戶端通知用戶進行補丁和病毒庫的升級操作��。⑤用戶升級完成后,可重新進行安全認證����。⑥如果用戶補丁升級不成功,用戶仍然無法訪問其他網絡資源,可進行相應檢測�。⑦用戶可以正常訪問其他授權(ACL、VLAN)的網絡資源���。
2.3 實施效果①由于接入節點路由器或交換機對端口部署了802.1x認證,所有非法用戶將不能訪問企業內部網絡。并且認證通過前,用戶終端之間無法實現互訪(前提是車站交換機支持802.1x,如果是在路由器實現802.1x則無法控制車站內的終端之間互訪)。②合法用戶接入網絡后,其訪問權限受路由器或交換機中的ACL控制����。特定的服務器只能由被授權的用戶訪問。③合法用戶接入網絡后,其互訪權限受路由器控制,實現對終端接入網絡訪問控制�����。④用戶正常接入網絡前,必須通過安全客戶端的安全檢查,確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業網帶來的安全風險��。⑤通過使用網絡準入系統客戶端軟件,可對用戶的終端使用行為進行嚴格管理,比如禁止U盤���、禁止光驅等����。
3網絡安全準入控制系統優勢
①系統整合后將安全防范由靜態轉向動態方式,對于所有網絡接入用戶可實現接入控制和監控,及時發現非法接入情況,對整個系統實現“透明可視”,降低了系統風險����。②系統整合后將以往部署的防病毒��、補丁分發功能進一步的功能擴大,可實現對于既有系統正常用戶進行“體檢”,發現其安全缺陷,而進一步的進行修復,更加智能化,同時帶來的是更高的安全性�����。③該系統可以無縫的直接整合在既有系統中,具備一定的兼容和適用性。④整合現有防病毒���、補丁分發����、終端操作系統管理維護等功能,進行集中��、統一管理和維護,減少維護管理工作量�。
4結束語
網絡安全準入控制系統旨在整合現有資源,全面����、可靠的保證系統安全性和可靠性。在鐵路信息系統應用,可以以較少的投入實現高安全性��、可視化和動態防護的功能�����。同時,對于鐵路各信息系統之間的訪問控制,則可以新增或利舊既有的防火墻�����、網閘來實現安全隔離訪問,進一步完善系統間的安全性。
隨著國家鐵路信息化安全建設的推進,網絡安全準入控制系統以其全面�����、高效�����、安全的特點,必將在行業內得到應用和推廣��。
參考文獻:
[1]H3C EAD終端準入控制解決方案[Z].2010,3.
第6篇
關鍵詞:工業控制系統;安全威脅;無線網絡安全
工業控制系統包括了多種控制系統,是對監控數據采集系統(SCADA)����、可編程邏輯控制器(PLC)、分布式控制系統(DCS)等控制系統的總稱�����。工業控制系統在國家關鍵基礎設施中廣泛運用����,是國家關鍵基礎設施正常運轉的基礎。隨著無線網絡技術運用到工控系統中���,無線網絡的安全問題便備受關注�。無線網絡的開放性和脆弱性使得工控系統容易遭受惡意攻擊和竊聽����、詐騙等安全威脅,加強工業控制系統無線網絡安全具有重要意義�。基于現今主要安全防護策略����,從密鑰管理、加密算法和路由層安全技術三方面來提升工控系統中無線網絡的安全度����。
1.工業控制系統無線網絡的安全問題
工業控制系統對國家社會生活有關鍵作用���,交通��、工業�����、能源�����、市政等都離不開工控系統的支持和運作����。無線網絡應用于工控系統大大方便了國民基礎設施的正常運行�,但由于無線網絡的公開性和目前技術的限制,工控系統中無線網絡面臨許多潛在的安全威脅���,如惡意攻擊�����、無線網絡系統本身落后等�,一旦工控系統遭遇不良破壞和干預,整個國民基礎設施便會處于癱瘓狀態�����,給國民經濟和生活帶來巨大障礙和損失���。
1.1惡意攻擊
惡意攻擊是指工控系統遭受到人為的破壞和干擾�,對工控系統安全造成嚴重威脅的行為。這類攻擊可以分為兩種��,即主動攻擊和被動攻擊��。一般而言�����,主動攻擊包括通過偽造病毒并發送到目標計算機系統中�,實現攻破���、侵占的目的�。而不驚動目標計算機系統��,在不知不覺中直接獲取計算機內的重要信息和數據的行為屬于被動攻擊���。惡意攻擊會流失基礎設施運轉的資料和信息,易被不法分子利用���,對國家生活安全造成嚴重威脅���。
1.2無線網絡系統自身的落后性
無線網絡技術目前處于新興時期�����,所以無線網絡運用在工控系統中突顯了它自身的技術缺陷。首先��,計算�、存儲能力不足,工業控制現場采用的大多是嵌入式CPU���,這種CPU存儲空間相對較小�����、計算能力有限,無法承擔大型的數據計算任務�����。另外�,無線網絡的能量消耗較大��,而工業控制現場的終端設備不需要人工監控�,為設備充電和更換電池的做法都不具有可行性�����,所以在保障無線網絡安全時要考慮低消耗問題�。最后���,節點分布的任意性使得無法確定節點與節點之間的位置和距離�。
1.3抗攻擊能力弱
傳感器節點是工控系統中無線網絡安全的關鍵組成部分�����,一旦節點受到破壞或攻擊����,將帶來巨大的損失����。這是因為傳感器節點一般安置在比較惡劣、困難的環境中����,長期下來容易受到物理性的破壞,檢測并進行維修存在較大困難�����,又由于傳感器節點所在區域是開放的��,攻擊者便能迅速侵入漏洞���,獲取該節點的敏感信息�����,從而帶來一系列連鎖的惡性影響�����。
2.無線網絡在工控系統中的安全性
無線網絡在工業控制系統中逐漸受到采納和青睞�����,是由于無線網絡的低成本、組網靈活性高��、可靠度較高等方面的優勢��。而在這些優勢中���,無線網絡技術的安全性是工業控制系統最關注的問題�。目前�,無線網絡在工控系統中主要研究密鑰模式��、加密算法技術和路由層安全技術來提高其安全度����。
2.1創新密鑰模式
密鑰管理是無線網絡安全性的重要保障,對工控系統提供了安全保障�。密鑰管理涉及了密鑰預分配、密鑰發現和維護三方面內容���,這其中又囊括數據加密���、數據認證和節點身份認證���,對維護無線網絡安全有重要作用����。密鑰模式能有效抵擋惡性攻擊,增強無線網絡對攻擊者的抵御能力�。目前,較為成功的密鑰管理方案主要有posite隨機密鑰預分配方式���、隨機密鑰預分配方案等��,這些密鑰管理方案都在一定程度上提高了工控系統的安全度。為了建立起有效的工控系統安全防護體系����,還要繼續創新密鑰管理模式,增強其破解難度�。
2.2提高加密算法技術
加密算法是保證工控系統信息安全的一個重要方面。使用無線網絡的加密算法技術后����,攻擊者只有破解了加密算法才能進入工控系統,而這無疑大大加大了惡意竊取信息的難度和復雜性��,從而對工控系統起到了安全維護的作用���。加密算法發展至今,已經出現了多種有效的算法方式�����,如AES、DES�����、TEA��、MD5等,在現今發展的基礎之上��,加密算法的速度要不斷增強,能量消耗也需要盡量降低��,使之更好地服務工控系統�����。
2.3加強路由層安全技術
工控系統底層通信的基礎是路由層技術����,因此提高路由層安全技術是保障工控系統安全的重要部分���。路由層技術的提升能增強無線網絡的抗干擾性和自愈能力���,為工控系統通信安全提供保證。整個無線網絡的安全度需要路由層安全技術做支撐��,因此����,必須針對現有的路由層技術缺陷,研究出安全系數更高的路由層�。
3.結束語
工業控制系統關系國計民生,無線網絡技術在工業控制系統中的應用能降低成本����、方便維護和增強靈活性���,然而無線網絡的開放性使工控系統安全性受到一定威脅����。為了保障工控系統的安全性����,主要從密鑰管理模式、加密算法����、路由層安全技術者三方面著手,致力于增強密鑰管理的創新性和復雜度�,開發新型加密算法并提高路由層安全技術。在新時期�,建立高安全性能的無線網絡安全體系是完善國家工業控制系統的必然要求。
參考文獻:
[1]曲家興�����,周瑩����,王希忠����,張清江.工業控制系統無線網絡安全體系的研究[J].信息技術�,2013,01:36-38.
第7篇
【關鍵詞】電廠����;生產控制系統;網絡信息安全
中圖分類號:F407 文獻標識碼: A
一��、前言
作為電廠生產運作的一項重要工具,生產控制系統在近期得到了較為廣泛的應用和深入的研究�。研究其網絡信息安全���,能夠更好地提升電廠生產控制系統的可靠性���,從而更好地保證電廠生產的順利進行。本文從概述相關內容開始探究���。
二�����、概述
為了提高工作效率��,絕大多數電廠都建立了自己的內部網絡�����,內部網絡存在的安全隱患同樣會對信息安全造成很多的威脅,甚至會對電廠造成重大經濟損失���。電廠網絡面臨的威脅來自于電廠內部和電廠外部兩個方面�����,安全隱患主要體現在管理不嚴�����,導致非法入侵�����;電廠內部操作不規范�,故意修改自己的IP地址等����,導致電廠內部信息的泄漏����;網絡黑客通過系統的漏洞進行攻擊,導致網絡的癱瘓�����,數據的盜?����。徊《就ㄟ^局域網資料的共享造成病毒的蔓延等���。
電廠網絡面臨的外部威脅主要是指黑客攻擊,它們憑借計算機技術和通信技術侵入到電廠內部網絡信息系統中�,非法獲得電廠內部的機密文件和信息。無論是操作系統還是網絡服務都存在一定的安全漏洞����,這些漏洞的存在,就給攻擊者提供了入侵的機會�����。網絡黑客通過各種手段對網絡中的計算機進行攻擊�����,非法闖入信息系統���,竊取信息,泄露信息系統內的重要文件。
由于電廠內部管理不善�����,電廠員工的惡意行為也影響著信息的安全����,內部人員的威脅行為分為違規操作和惡意報復。其中��,內部員工的違規操作是造成外部威脅得逞的主要原因����,有的工作人員利用自己的工作便利進入電廠的信息系統,竊取電廠信息系統內的重要文件��,并將信息泄漏給他人�����,獲取一定的利益;有的員工直接打開從網上下載的文件和視頻�,不經過專業殺毒軟件的掃描,給電廠的內部網絡帶來安全隱患����,甚至帶來的病毒在全網絡蔓延�����,造成電廠內網的癱瘓,嚴重損壞公司的利益�����,影響公司的正常運轉�。
三、電廠生產控制系統面臨的安全隱患
1.被動攻擊形式
被動攻擊這種情況下在計算機領域中稱作是流量分析現象�����。在計算機網絡安全中��,最為典型的信息攻擊方式是信息的截獲�,信息的捕獲主要指的是在信息技術中,網絡攻擊者通過網絡技術對他人的私人信息進行不斷的竊取和攻擊這一信息安全性的現狀��。在這個過程中�����,網絡信息得到攻擊者通過對數據信息的觀察與分子��,進行相應的網絡信息的攻擊�,尤其是對其中的一個數據單元進行相應的攻擊,其中攻擊的是網絡中的信息數據����,并不是信息流。上述的這些網絡信息的安全隱患中��,網絡信息的攻擊者和黑客是無處不在的�����,總是對網絡系統中的數據信息進行攻擊���,盜取用戶的個人信息,這些攻擊者主要是通過網絡中的數據協議PUD對用戶的信息資源進行了一定的控制與盜取��,最終導致而來網絡信息資源安全隱患的產生�����。
2.主動攻擊
計算機網絡安全注的主動攻擊是指��,在計算機網絡通訊系統中���,攻擊者或者是黑客,通過網絡技術��,連接到具體的數據通訊協議進行有目的有計劃的信息資源的獲取��。這個過程是一種目的性明確的信息盜取方式���,對于系統中的信息進行有目的的安全性攻擊�����。并且在整個計算機網絡通訊技術的安全性攻擊過程中���,攻擊者通過對系統中的數據協議進行攻擊,延遲了PDU的運行���,嚴重情況下,最終將一種偽造的PDU輸送到相應的網絡中進行信息數據的傳輸�����。其中,此處所述的信息中斷���、信息篡改以及數據信息內容的偽造是上述所說的一種計算機網絡完全的被動攻擊方式���。
四、電廠生產控制系統對網絡安全的改進方案
1.物資需求計劃的應用
MRP即物資需求計劃��,所謂物資需求計劃指根據產品結構中不同層次的物品的從屬關系和數量關系���,以單件產品為對象,以完工時間為標準的倒排計劃�,根據提前期的長短制定物品下達時間的先后順序,是一種電廠內的物資計劃管理模式��。通過運用物資需求計劃����,精確地對每月的生產任務進行合理安排,可以有效解決電廠生產過程中出現的“月初任務松�,月末任務緊”的現象,通過合理調整生產計劃����,使發電廠對市場的應變能力加強�。
2.完善身生產生產計劃和控制系統
發電廠需要將安全生產列為其主要的研究內容,通過確保其生產質量提高其在同行業中的競爭力�,從而獲得較大的經濟效益。通過完善發電廠自身的管理體系���,使其在進行安全生產的同時����,保障其生產計劃的順利執行���。建立并完善合理的監督管理體系��,有助于提高發電廠內部員工的自覺性和職業素質,可以在滿足客戶需求的同時�����,有效地提高發電廠的經濟效益�。
3.主生產計劃方案編制
所謂主生產計劃,是物資需求計劃的主要輸入因素��,其以合同為依據����,并按一定的時間段對相關電力產品的數量以及交貨日期進行合理分析�����,并在現有的生產計劃與設備資源中做出相應的平衡的新型生產計劃�����。另一方面,從客戶和電廠的雙方面角度出發�,主生產計劃方案的編制一方面為電廠制定了完備的生產和控制計劃,另一方面使得電廠的各項生產得以有序進行��,從而提高了電廠與用戶的合作效率�����。
五�、強化生產控制系統安全的措施
1.對安全規劃產生足夠的重視
電廠網絡安全規劃就是全面的思考網絡的安全問題,對于安全問題���,需要以系統觀點進行考慮��。要想提升安全管理的有效性���,就需要對信息安全管理體系進行全面系統的構建。
2.對安全域進行合理劃分
電廠將電廠網絡的內外網實行了物理隔離���,但是在內網上,安全域的合理劃分依然非常重要�����。在劃分的時候����,需要結合整體的安全規劃和信息安全等級來進行,對核心重點防范區域和一般防范區域以及開放區域進行劃分����。網絡安全的核心就是重點防范區域,用戶不能夠對這個區域直接訪問�����,安全級別較高�����;應該在這個區域內放置各種重要數據����、服務器和數據庫服務器,在本區域內運行各種應用系統�、OA系統等。
3.對安全管理進行強化��,對制度建設產生足夠的重視
為了促使電廠網絡信息安全得到保證�����,就需要系統性的考慮電廠網絡信息安全�,對于電廠網絡的安全問題,非常重要的一個方面就是安全管理和制度建設�����。首先要對日志管理和安全審計產生足夠的重視�,通常情況下�,審計功能是防火墻和入侵檢測系統都具備的,要將它們的審計功能給充分利用起來�����,提升網絡日志管理和安全審計的質量。要嚴格管理審計數據�,任何人不得對審計記錄進行隨意的修改和刪除。
4.構建內網的統一認證系統
網絡信息安全最為關鍵的一項技術就是認證���,通過認證���,身份鑒別服務、訪問控制服務以及機密都可以得到實現�����。對病毒防護體系進行構建��,將防病毒體系安裝于電廠網絡上,遠程安裝����、遠程報警以及集中管理等都是防病毒軟件的功能;要對防病毒的管理制度進行構建�����,不能夠在內網主機上隨意拷貝互聯網上下載的數據,不能夠在聯網計算機上使用來歷不明的移動存儲設備�,發現病毒之后,相關工作人員需要及時采取處理措施�。
六、結束語
通過對電廠生產控制系統網絡信息安全的相關研究�����,我們可以發現�����,威脅其安全的因素來自多方面�����,有關人員應該從電廠生產控制系統運作的客觀實際出發����,充分分析威脅因素�����,從而研究制定最為切合實際的網絡信息安全應對策略��。
參考文獻:
[1] 覃冠標.關于發電廠生產計劃與控制系統的改進研究[J].科技資訊.2013(34):141-143.
[2] 吳興波.S公司生產計劃與控制改進研究[J].華南理工大學學報.2010(01):88-89.
[3] 李隨成,樊相宇.MRP生產計劃與控制系統的探討[J].西安理工大學學報.2010(23):356-360.
