企业工业控制网络安全技术探讨及实现

企业工业控制网络安全技术探讨及实现

ID:9214131

大小:1.28 MB

页数:9页

时间:2018-04-23

企业工业控制网络安全技术探讨及实现_第1页
企业工业控制网络安全技术探讨及实现_第2页
企业工业控制网络安全技术探讨及实现_第3页
企业工业控制网络安全技术探讨及实现_第4页
企业工业控制网络安全技术探讨及实现_第5页
资源描述:

《企业工业控制网络安全技术探讨及实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、企业工业控制网络安全技术探讨及实现1韩晓波(中国石化齐鲁分公司信息技术部,山东淄博,255400)摘要:由于工业控制系统由于运行环境和平台的相对独立,其安全性被人们所忽视。随着企业信息化发展,管理和控制网络更加深入的融合,平台也愈加开放。新一代的病毒入侵生产控制系统已经成为企业平稳生产运营的重大安全隐患,为保障基于企业网络业务的持续性、稳定性,需要在管理和控制网络采取相应的安全防护措施,建立有针对性的安全防护体系。关键词:工业控制系统网络安全Tofino技术区域管道中图分类号TH89文献标志码B文章编号1000-3932(2012)0

2、4-0498-062010年10月,来自伊朗的一个关于工业网络病毒Stuxnet(计算机蠕虫病毒)的报告引起了全球的注意,该病毒通过Windows操作系统中此前不为人知的漏洞感染计算机,并通过网络、移动介质以及西门子项目文件等方式进行传播。Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括备受国际关注的布什尔核电站,它在入侵系统之后会寻找广泛用于工控系统的软件,并通过对软件重新编程实施攻击,病毒能控制关键过程并开启一连串执行程序,最终导致的后果难以预估。Stuxnet是目前首个针对工控系统展开攻击的计算机病毒,已经对伊朗国内工

3、业控制系统产生极大影响,Stuxnet可以说是计算机病毒界革命性创新,给工业控制系统网络安全带来新警示-“工业病毒”时代已经来临。随着信息技术的不断推广应用,诸如内部控制系统(DCS及PLC等),国内、外化工领域逐步推广应用的各种安全控制系统(紧急停车系统ESD、停车联锁/仪表系统SIS、仪表保[1]护系统IPS及故障安全控制系统FSC等)以及基础应用类系统(一些定制系统)与外界不再隔离。越来越多的案例表明,工厂信息网络、移动存储介质、因特网以及其它因素导致的网络安全问题正逐渐在控制系统和基础应用类系统中扩散,直接影响了生产控制的稳定

4、与安全。这将是我们石油炼化连续性生产企业面临的重大安全课题。随着石油化工及电力等行业进入规模化生产,生产装置积聚的能量越来月大,可能造成的重大工业事故使人们前所未有[2,3]地重视工业生产中的安全问题。1企业控制网络安全现状十年来,随着信息技术的迅猛发展,信息化在石油炼化连续性生产企业中的应用快速发[4]展,网络安全技术、网络安全管理体系也取得了重大进发展,为重要核心应用系统的长、安、稳、满、优运行起到巨大的支撑作用和保障作用。但是多年来,企业更多地关注的是管理网络的安全问题,而对控制网络的安全问题关注意识并不强。随着ERP、MES等

5、系统的实施,信息化的触角已经延伸到各个生产单元,包括生产装置、罐区、产品进/出厂点。由于历史原因,企业网络往往都是一个整体,管理网与工业控制网(或基础应用网)防护功能弱或甚至几乎没有隔离功能,同时由于近几年控制系统(或基础应用系统)功能的不断提升,系统在进一步开放的同时,也带来了系统的安全问题,减弱了控制系统与外界的隔离,2000年以前的控制系统一般都有自己独立的操作系统,其开放性及通用性较弱,因此几乎不存在网络安全风险。但目前的控制系统一般使用开放的Windows操作系统和OPC协议进行数据通讯,网络也采用冗余工业以太网模式,尤其是

6、服务器结构的控制系统,一旦服务器出现异常,受侵害的不仅仅是一个操作站,而是整个系统的瘫痪。近几年来,国内、外许多企业的DCS控制系统已经有中病毒或遭黑客攻击的现象,对此企业IT人员却无能为力,不敢动或不能动,只能等装置停工检修期间由厂商处理,给安全生产带来了极大的隐患。另一方面,由于人们在认识和知识面上存在差距,许多企业对控制类系统的安全存在认识上的误区:一是认为企业网与互联网之间已经安装了专业防火墙,控制网络是安全的;二是认为控制系统没有直接连接互联网,控制系统是安全的;三是认为黑客或病毒不懂控制系统。而实际情况是,尽管在企业网内部

7、安装了功能较完备的网络安全防护产品,施行了各类网络安全技术,建立了信息安全管理体系,但控制系统的安全问题却越来越严峻,主要原因是对许多控制网没有有效的隔离手段,而企业推广应用的一些安全产品又不能直接安装到这些系统上去。目前,针对企业控制网络的安全事件存在以下共同点:a.“软”目标。大多数DCS系统中的计算机,很少或没有机会安装全天候的病毒防护和更新版本,同时控制器的设计都以实时的I/O功用为主,并不提供加强的网络连接防护功能。b.多个网络端口切入点。在多个网络安全事件中,事由都源于对多个网络端口进入点疏于防护,而且控制系统维护人员(非

8、IT人员)在维护与维修过程中的监管也不到位。c.疏漏的网络分割设计。许多控制网络都是“敞开的”,不同子系统之间都没有有效的隔离,尤其是基于OPC以及MODBUS等通讯的工业控制网络。2目前业界控制网络安全技术国际上比较流

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。