返回
石化工控信息网络安全区域识别与防护

石化工控信息网络安全区域识别与防护

ID:31435835

大小:109.00 KB

页数:7页

时间:2019-01-10

石化工控信息网络安全区域识别与防护_第1页
石化工控信息网络安全区域识别与防护_第2页
石化工控信息网络安全区域识别与防护_第3页
石化工控信息网络安全区域识别与防护_第4页
石化工控信息网络安全区域识别与防护_第5页
资源描述:

《石化工控信息网络安全区域识别与防护》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、石化工控信息网络安全区域识别与防护  摘要:随着两化深度融合,加上互联网技术和产品的广泛应用,工控系统的信息安全面临严峻考验。以某石化企业的柴油加氢工艺系统为例,从安全区域的识别和分隔、区域边界建立、区域边界防护和区域内部防护等方面,提出深度防御关注的安全区域建立方法,并对安全区域识别和防护过程进行了探讨。  关键词:石化行业;工业控制系统;安全区域;深度防御;信息安全  DOIDOI:10.11907/rjdk.161739  中图分类号:TP309  文献标识码:A文章编号文章编号:16727800(

2、2016)009015103  基金项目基金项目:  作者简介作者简介:甄涛(1992-),男,河北石家庄人,上海理工大学光电信息与计算机工程学院硕士研究生,研究方向为工控信息安全。  0引言7  信息时代,对石油化工等制造业而言,以震网蠕虫为代表的木马、病毒等对工业自动化生产安全带来了极大威胁,工业控制系统安全成为信息化时代企业安全生产的重中之重。最初的工控系统被设计为独立封闭的系统,其安全风险主要来自设备运行不稳定、操作不合理等方面。但是,随着信息化的推进和工业化进程的加速,越来越多的计算机和网络技术

3、应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。  1石化行业工控系统面临的信息安全问题  随着石化行业信息化的不断深入,管理的精细化和智能工厂的实施,都离不开实时的现场信息,因此管与控的结合就成为了必然趋势。DCS控制系统与外界不再隔离,控制网络和信息网络之间广泛采用OPC通信技术;此外,先进过程控制(APC)也需要OPC技术建立通讯。目前,常用的OPC通讯随机使用1024~65535中的任意端口,采用传统IT防火墙进行防护配置时,被迫需要开放大量端口,

4、形成严重的安全漏洞;同时,OPC的访问权限过于宽松,任意网络中的任意计算机都可以运行OPC中的服务;且OPC使用的Windows的DCOM和RPC服务极易受到攻击。普通IT方后勤无法实现工业通讯协议过滤,网络中某个操作站/工程师站感染病毒,会马上传播到其它计算机,造成所有操作站同时故障,严重时可导致操作站失控甚至停车[1]。目前,存在的工控信息安全问题主要有[2]:  (1)操作系统漏洞。目前,工业计算机操作系统大多采用Windows操作系统,甚至还有XP系统,这些一般不允许安装操作系统的安全补丁和防病毒

5、软件。针对性的网络攻击、病毒感染都会给系统造成严重后果,而且由于漏洞和病毒公布的滞后性,杀毒软件并不能有效地进行防护。此外,不正当的操作,比如,在项目实施和后期维护中使用U盘、笔记本等外设,也会存在一定的安全隐患。7  (2)隔离失效。大多数石化企业通过OPC的双网卡结构对数据采集网络与控制网之间进行了隔离,使得恶意程序无法直接攻击控制网络。但对于针对Windows系统漏洞的病毒,这种设置就失去了效果,造成病毒在数采网和控制网之间传播。  (3)信息安全延迟性。若工业网络遭受黑客攻击,维护人员无法采取相应

6、措施,并查询故障点和分析原因。通常情况下,小的信息安全问题直至发展成大的安全事故才会被发现和解决。  2柴油加氢控制系统安全防护简介  目前,我国炼油、石化等行业工业控制系统一般分为3部分:控制层、数据采集层和管理信息层,普遍采用DCS(分散控制系统)和PLC(可编程逻辑控制器)等数字化手段,自动化程度高,多以DCS系统为核心、PLC为辅机控制,形成对设备组命令的下达与控制,并对DCS和PLC反馈的数据进行分析以掌握设备组的整体运行状况。  某石化公司的柴油加氢系统采取安全防护后的拓扑结构如图1所示。  

7、实时服务器和组态服务器组成管理信息层;监控层包括操作员站、工程师站、OPC应用站和异构系统工作站,控制层包括以DCS为主控制温度显示仪表、液位计、继电器和阀门等仪表,PLC为辅控制报警器。其中,设备层与控制层通过模拟数字通信模块通信。  其中:①信息层与数据采集层之间添加纵向隔离平台,避免信息层向下采集数据时造成信息泄露;②异构系统应用站采用横向隔离平台,防止其它系统对加氢操作工艺产生不必要的影响;③引入智能防火墙,对工业协议和应用程序进行审计、监控。  3工业网络中的安全区域  按照IEC62443定义

8、,“区域”7由逻辑的或物理的资产组成,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系[3]。  3.1使用操作域识别区域  安全区域的建立,第一步就是识别所有操作域,以确定每个区域的组成及边界所在。一般在工业网络中建立区域时,要考虑的操作域包括有网络连接控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问以及用户群体和工业协议组之类。其目的是通过隔离使各操作域受到攻击的风险最

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。