欢迎来到天天文库
浏览记录
ID:28217053
大小:82.49 KB
页数:10页
时间:2018-12-08
《华南管网生产网络安全分析与防范》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、华南管网生产网络安全分析与防范【摘要】随着通信技术及信息技术的飞速发展,信息网络已渗透到社会的每一个角落,工业生产对信息化的依赖程度达到前所未有的高度,信息化与工业化深度融合。本文通过对生产网与自动化办公网络互联过程所面临的安全性问题进行分析,提出生产网络安全防范措施及建议。目的为同类成品油管道生产企业生产网络安全防范提供参考和借鉴。【关键词】SCADA系统;信息安全成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提,近年来为了实现实时数据采集与生产控制,满足“两化融合”的需求和管理
2、的方便,工业控制系统和企业管理系统往往需要直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型,对确保SCADA系统安全稳定运行,加速实现“数字化管道”的进程具有重要的现实意义,是当前管道企业自动化控制系统建设中亟待解决的大问题。一、华南管网生产网现状及特点销售华南分公司作为石化企业最长的成品油长输管道,典型的资金和技术密集型企业,负责西南及珠三角3千多公里的成品油输送业务,管道全线由国
3、际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制,批量计划、批次编排与输送,管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主,管道生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成,生产网在数据采集方面,采用开放性设计。开放性设计是当今系统设计的基本要求,它要求计算机软硬件厂家共同遵守通用的国际标准,以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用
4、OPC协议、IEC104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯,采集足够的管线运行参数,如液位、温度、电气、阴保、密度等信号,确保对管线的有效监控。具体架构见图1所示。在通信方式上,为确保监控数据及时、准确、安全的传输,采用沿管线敷设通信光缆线路方式,建立基于光同步数字传输系统下多业务传输平台(MSTP)的综合性通信网络,通过MSTP通信信道(主用信道)和公网SDH2M信道(备用信道)方式进行数据传输和保护,以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和
5、统一调度管理。在数据交换上,采用思科路由交换设备构建,使用EIGRP路由协议作为主干路由协议,负责整个网络的路由计算,具体网络拓扑见图2。二、生产网络安全隐患分析1.操作系统安全漏洞目前公司主要采用通用计算机(PC)+Windows的技术架构,操作系统使用WINDOWSSERVER2003、WINDOWSSERVER2008。当今的DCS厂商更强调开放系统集成性,各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS
6、的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站(丽I)的主流,任何一个版本的Windows自发布以来都在不停的发布漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统正式运行后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。2.网络通信协议存在安全漏洞OPC协议、M
7、odbus协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。1.杀毒软件漏洞为了保证工控应用软件的可用性及稳定性,目前部分工控系统操作站不安装杀毒软件。即
8、使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,这容易导致大规模的病毒攻击,特别是新病毒。2.应用软件漏洞由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等
此文档下载收益归作者所有