工業控制系統
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇工業控制系統范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
工業控制系統范文第1篇
一、工控系統介紹
工業控制系統由各種組件構成,有些組件是自動的,有些是能進行過程監控的,兩種組件構成了工業控制系統的主體。該系統的主要目的就是在第一時間實現對數據的采集和監控工業生產流程。如圖,主要分為控制中心、通信網絡、控制器組。
工控系統主要包括過程控制、數據采集系統(SCADA)、分布式控制系統(DCS)、程序邏輯控制(PLC)以及其他控制系統等。一直以來,這些系統被應用在不同的工業領域,成為了國家的重點基礎工程項目的建設中不可缺少的成分之一。所有的工業控制系統中, 工業控制過程都包括控制回路、人機交互界面(HMI)及遠程診斷與維護組件。上圖為典型的ICS 控制過程。
二、工控系統的安全現狀分析
隨著計算機技術和工業生產的結合,工業控制系統(Industrial Control Systems, ICS)已成為制造、電力及交通運輸等行業的基石。一方面,工控系統為工業的發展帶來了巨大的積極作用,另一方面,因為工業控制系統的安全防護體系做得還不是很到位, 很多的非法入侵事件屢見不鮮,這對工業的發展,甚至對整個國家的安全戰略提出了挑戰。尤其是2010 年的Stuxnet 病毒的肆虐,讓全球都明白,人們一直認為相對安全的工業控制系統也成為了黑客攻擊的目標,因此,在第一時間發現工控系統的安全問題,并及時解決這些安全問題是極其重要的。此外,建設安全可信的工控防御體系,也是現在各國發展和建設的重要一環。
三、工控系統現存在的問題
3.1系統內部風險:操作系統存在安全漏洞。由于工控軟件先設計,之后操作系統才會發現漏洞進行修復,甚至絕大部分工控系統所使用的Windows XP系統生產者Microsoft公司申明:4月8日以后不會對XP系統安全漏洞進行修復,所以之后工控系統病毒的爆發會更加頻繁,使工控系統更加危險。
無殺毒軟件的問題。使用Windows操作系統的工控系統基于工控軟件與殺毒軟件的兼容性的考慮,一般不會安裝殺毒軟件,給病毒的傳播與擴散留下了空間。
u盤傳播病毒問題。在工控系統中的管理終端一般不會有專門軟件對U盤進行管理,導致外設的無序使用從而引發工控系統病毒傳播。
工控系統存在被有意控制的風險。沒有對工控系統的操作行為監控和制定相應的措施,工控系統中的異常行為會給工控系統帶來較大的風險。
3.2 外部問題。安全評估存在困難。安全評估是建立安全防護體系的第一步,工業控制系統信息安全評估標準是國家頒發的第一個關于工控系統安全方面的標準,工信部2011年的通知中明確要求對重點領域的工業控制系統進行安全評估,但2012 年這項工作遇到了例如缺少針對特定行業的評估規范、只能針對IT系統,不能對非IT類的設備進行評估等困難。
缺乏針對ICS安全有效的解決方案。現有的縱深防御架構解決方案只針對一般ICS模型,針對特定行業的工控系統進行防護,還需要在未來大量實踐的基礎上才能完善。
應對APT攻擊解決效果不佳。從過去的幾次ICS安全事故來看,有針對性、有持續性的APT攻擊威脅最大,APT 攻擊的防御一直是信息安全行業面臨的難題,即使是Google、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免。
四、工控系統信息安全的解決
4.1硬件完善。國際上有兩種不同的工控系統信息安全解決方案: 主動隔離式和被動檢測式
主動隔離式解決方案:即相同功能和安全要求的設備放在同一區域,區域間通信有專門通道,加強對通道的管理來阻擋非法入侵,保護其中的設備。例如:加拿大Byres Security公司推出的Tofino工控系統信息安全解決方案。
被動檢測式解決方案:除了身份認證、數據加密等技術以外,多采用病毒查殺、入侵檢測等方式確定非法身份,多層次部署與檢測來加強網絡信息安全。例如:美國Industrial Defender公司的ICS安全解決方案。
4.2“軟件”完善:安全管理體系。安全管理防護體系由安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五部分構成。工控系統管理體系是一個循序漸進的過程,且要隨著時代的進步隨時更新,逐步完善系統,完善管理體系,最終才能實現工控系統的真正的安全。
安全管理制度:建立、健全工控系統安全管理制度,制定安全工作的總體方針和戰略,工控系統安全防護及信息錄入納入日常工作管理體系,對安全管理人員或者操作人員所進行的重要操作建立規范流程;形成由安全政策、管理方法、操作規范流程等構成的安全管理制度體系。
安全管理機構:專門設立的工控信息安全工作部門,確定相關領導為安全事故責任人,制定相關文件明確機構、崗位、個人的職責分工和要求等。
人員安全管理:規范重要崗位錄用流程,對錄用者進行相關身份、背景、專業資質的嚴格審查,進行相關專業技能的考核,與關鍵崗位的人員簽訂保密協議;對相關崗位人員進行定期安全培訓教育,嚴格限制外來人員訪問相關區域、系統、設備等。
系統建設管理:首先要根據系統重要程度設立安全等級實施相應的基本安全措施,根據實時狀態更新完善系統,制定相應的補充調整安全措施制定長遠的工作計劃。
五、工業控制系統信息安全發展趨勢
眾所周知,工業控制系統逐漸延伸到各行各業,造福人類的同時,也顯露出不少問題,給國家和人民造成了巨大損失。進入新世紀以來,各個國家都在致力于解決這個問題,但是信息安全事故任然屢見不鮮。
工業控制系統范文第2篇
【關鍵詞】工業控制系統;接地選擇;接地方法;措施
中圖分類號: TL503.6 文獻標識碼: A
一、前言
在工業控制系統中,正確合理的接地系統可以有效的保護建筑物,更好的保障工業設備的正常供電,同時保護人員的安全。目前,我國現有的接地方法對于簡單的設備是可行的,然后,隨著智能化建筑的發展,需要不斷的完善和創新新的接地方法,提高工業控制系統的安全性。
二、工業系統中接地保護的作用 電氣設備的接地保護不僅可以防止因漏電流導致人身傷亡,除了此作用之外,電氣設備接地保護還可以防止電氣設備和鋪設的電氣線路因雷擊、火災等遭受破壞,通過接地保護,可以最大限度的保證電網電力系統、自身設備的正常運行。
1.防止電擊
人體阻抗和其所處的物理環境有很大關系,其實際阻抗值與環境濕度成反比,即當物理環境越潮濕,人體所表現出來的實際阻抗值就越低,因而也就更容易因電氣故障遭受電擊。反之,當物理環境比較干燥時,人體的皮膚表層也相當干燥,從而其對外實際阻抗值也相對較大,即使有輕微電擊,人體也能迅速擺脫電擊源。電氣設備安裝了接地裝置以后,電氣設備和大地通過接地導線連接在一起,從而使得電氣設備的電位接近大地電位,這樣就能對電氣設備進行良好的保護,也避免了對人身造成的傷害。
2.保證電力系統的正常運行
對變電站或變電所來說,工業電氣設備的接地保護,一般是將三相電線的中性點進行接地。接地電阻一般要求很小,一些設備先進重要的變電站都會采用接地電網方式,進行接地保護,從而可以確保接地電阻足夠小而且可靠接地。變電站接地保護的目的是使電網的中性點與地之間的電位接近于零。
三、工業控制系統中設備的接地選擇
接地系統關乎到工業廠房用電的穩定性和安全性,可以說接地系統在工業生產中發揮著巨大的作用,而在現實中,接地系統隨處可見,但是針對不同的設備,接地系統所發揮的實際功能也不盡相同,各個接地系統在結構、功能、選擇方面也有很多不一樣的地方,眾所周知,接地系統的主要作用是保護人民的生命財產安全,通常情況下,我們可以把接地工作分為系統、工作、保護等方面,而TT系統、IT系統和TN系統。
1.TT系統
TT系統,所謂TT系統,就是指將地面與電氣外殼直接相連,根據新疆地區的實際情況,這類系統一般應用于公共電網,針對一些帶電設備,可以起到接地的作用,如此一來便在最大限度上防止了觸電的發生,但也不乏會出現一些意外情況,譬如低壓斷電器不跳閘的情況時有發生,這勢必會在成設備外殼電壓遠遠高于安全電壓,這樣的高壓會對人們的生命安全產生巨大威脅,還有就是如果必須將漏電器設置在相對較低的位置,熔斷器極有可能不會發生斷裂,因此非常有必要安裝漏電保護器,可以說漏電保護器在整個TT系統中是不可缺少的一部分,TT系統的巨大優勢在于電氣的安全性極高,并且抗電磁能力較強,在TT系統中,必須要為之配備高性能的漏電保護裝置,這個系統中的各個元件的材質基本上都為鋼材,鋼材具有昂貴的價格,所以安裝合格的漏電保護裝置至關重要,總體來說,TT系統的可行性非常強,在新疆地區的很多工業廠房都選擇了TT系統。
2.IT系統
IT系統,IT系統連接方式主要是三線連接,在這個系統中設置的變壓器是不需要和地面直接接觸的,而且沒有N線的設置,當接地系統發生故障的時候,返回電源的能力受阻,此時IT系統便可以發揮它應有的作用,IT系統中各個設備的電壓數值十分小,可以最大限度地避免事故的發生,而且當IT系統與地面發生接觸并不會致使設備表面帶有過多的電流和電壓,保障了整個系統的正常、安全運行,但是IT系統也具有其自身的缺陷,比如說IT系統不可以利用照明設備進行照明,也不可以人為干預對其控制,一旦必須要應用照明、控制,就必須要介入高壓電源,如果高壓電源發生故障,就必須對其維修,這是一項復雜、麻煩的工作。IT系統的示意圖如下:
3.TN-C-S系統
TN-C-S系統由兩個接地系統組成,第一部分是TN-C系統;第二部分是TN-S系統,分界面在N線與PE線的連接點。該系統進戶之前采用TN-C系統,進戶處重復接地,進戶后變成TN-S系統。TN-C系統前面已做分析。TN-S系統的特點是:中性線N與保護接地線PE在進戶時共同接地后,不能再有任何電氣連接。該系統中,中性線N常會帶電,保護接地線PE沒有電的來源。PE線連接的設備外殼及金屬構件在系統正常運行時,始終不會帶電。因此TN-S接地系統明顯提高了人及物的安全性,該系統被大量應用于工礦企業廠房。同時只要我們采取接地引線,各自都從接地體一點引出,及選擇正確的接地電阻值使電子設備共同獲得一個等電位基準點等措施,那么TN-C-S系統就可以作為智能型建筑物的一種接地系統。
四、工業控制系統中電氣設備接地方法
1.安全保護接地
(一)保護接零。三相四線制供電系統中的中性線,即為保護接零線,它是電路環路的重要組成部分。在中性點直接接地的三相四線制電網中,電子電氣設備應保護接零。將電子電氣設備正常運行時不帶電的金屬外殼與電網的零線連接起來,當一相發生漏電或碰殼時,由于金屬外殼與零線相連,形成單相短路,電流很大,使電路保護裝置迅速動作,切斷電源。在采用接零保護時,電源中線不允許斷開,如果中線斷開,將會失去保護作用。通常系統中采用零線重復接地的方法實現保護作用。
(二)保護接地。為防止觸電事故而裝設的接地,稱之為保護接地。保護接地僅適用于中性點不接地的電網。凡在這個電網中的電氣設備的金屬外殼、支架及相連的金屬部分均應接地。中性點接地的電路系統不宜采用保護接地。
2.系統接地:系統接地線既是各電路中的靜態、動態電流通道,又是各級電路通過共同的接地阻抗而相互耦合的途徑,從而形成電路間相互干擾的薄弱環節。所以,電子電氣儀器設備中的一切抗干擾技術,都和接地有關。正確的接地是抵制噪聲和防止干擾的主要途徑,它不僅能保證電子電氣設備正常、穩定和可靠地工作,而且能提高電路的工作精度。電子電氣儀器設備中的系統接地是否要接大地和如何接大地,與系統的工作穩定性有著密切的關系,通常有4種方式:浮地方式;單點接地方式;多點接地方式;混合接地。這些接地方式既包含了單點接地的特性,又包含了多點接地的特性,從而達到最佳抑制干擾的目的。
五、具體接地措施分析
1.防雷接地措施分析
防雷接地設備指的就是為了在廠房內可以把雷電迅速的導入大地而避免對廠房以及人員造成損害設置的設備,一般來說在廠房設計中主要存在兩種防雷接地設備的設計。第一種就是避雷針防雷接地方式,第二種就是法拉第籠防雷接地方式。這兩種接地方式在設計上是存在明顯的區別的,其中避雷針方式的原理就是在空中進行攔截,這樣雷電就可以自身放點來避免對廠房產生沖擊。這種方式的缺點就在于其保護范圍是較小的,同時在其保護空間內仍然可能存在電磁感應現象。因為避雷針的附近存在較強的感應區,所以在這個區域內存在電位梯度,仍然可能會人身產生沖擊。相比較來說法拉第籠接地方式就可以有更大的保護范圍以及較高的可靠性。
2.交流工作接地
這種接地方式就是在電力系統中的某處直接或者是經過特殊設備來跟地面進行金屬連接。其中工作接地,指的就是變壓器的中性點或者是中性線接地,n線必須要用絕緣線。在配電中存在等電位接線端子,這些端子一般都是在箱柜中。在這個過程中要注意的就是這個端子是一定不可以外露的。不可以跟其他的系統進行混接,比如直流接地系統或者是屏蔽接地系統等。
3.直流接地方式
在現代化的廠房中,很多設備比如通訊設備以及自動化設備,在進行信息的傳輸以及轉化的過程中進行信號的放大以及邏輯動作等,在輸出信息的過程中都是通過微電位或者微電流快速進行的。并且設備之間要經常通過戶縣網進行工作,這樣可以提高其精確性以及穩定性。直流接地方式的系統基準電位,要采用銅芯的絕緣線,穿鋼管保護要直接引入到設備附近來做直接接地的作用。
六、結束語
綜上所述,切實的做好工業控制系統中的接地措施,采用正確合適的接地方法,有效的保證了建筑物和操作人員的安全。現階段在接地方法上需要不斷創新以適應新型建筑物發展的需求。
參考文獻: [1]中華人民共和國建設部《民用建筑電氣設計規范》JGJ16-2008中國建筑工業出版社.
[2] 彭愛華, 李發榮. 計算機系統的安全接地[J]. 勞動保護科學技術, 2012,(06).
工業控制系統范文第3篇
關鍵詞:工業控制;系統信息安全;監控管理
中圖分類號:TP273
工業控制系統(Industrial Control Systems, ICS)是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統(SCADA)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術[1]。
從國家安全上看,工控系統是國家關鍵基礎設施的重要支撐,自2010年“震網”病毒事件以來,世界各國均逐漸重視工控系統信息安全問題。一是以美國為首的西方發達國家極力提升對工控系統的攻防能力,美國近年來成立網絡戰司令部,《網絡空間國際戰略》和《網絡空間行動戰略》,將對其關鍵基礎設施的網絡攻擊作為視作戰爭行為,同時不斷通過演習來提高信息安全防護能力。二是針對工控系統開發的網絡武器曾出不窮,近年來在中東地區肆虐的“Duqu”、“火焰”、“震網”等病毒程序,實現了對工控系統探知、潛伏再到攻擊的系列動作,對相關工控系統安全造成了嚴重危害。三是我國工控系統信息安全保障意識還很薄弱,由于我國工控系統學科及其安全研究起步較晚,各工控系統設計規劃、管理、使用者更多關注系統本身的功能安全,對信息安全問題相對忽視。
本文根據目前工業控制系統信息安全實際情況,并結合現有信息安全管理模式,提出通過監控管理的建設,統一部署、精心組織、周密安排、結合實際達到對工業控制系統信息安全的縱深監管控制與問題解決,保證工業控制系統的安全平穩運行。
1 工業控制系統信息安全分析
工控系統信息安全作為近年來新提出的問題,與傳統的IT系統信息安全存在明顯的差異。一是可靠性設計要求較高,工控系統必須具備耐腐蝕、防塵、防水等功能,以利于至少10年的長期使用。二是對系統可用性的關注點不同,工控系統對于網絡帶寬、信息處理量要求不高,但對系統響應時間的要求一般在5-10ms,不允許關鍵信息的延遲和處理延誤。三是執行的標準、協議顯著不同,雖然現在采用通用通信協議的工業以太網和設備得到廣泛應用,但是其系統底層的組態、監控和控制軟件仍為專用系統開發,采用專有協議進行通信。四是很難滿足傳統IT系統的部分安全管理要求,如系統變更和補丁,工控系統在采取行動時更為謹慎,甚至在其生命周期內不采取任何更改和升級措施。
隨著網絡技術的發展,ICS可以從多個層面與第三方系統進行互聯互通,同時也能夠支持各類網絡協議。目前大多采用基于TCP(UDP)/IP協議的以太網通信技術與企業管理層的信息平臺進行互聯,使用的接口標準為OPC等開放接口。開放性一方面能夠為用戶帶來實用、便捷等好處,但另一方面由此帶來的各種安全漏洞數量和類型也會大幅增加。對于一個控制網絡系統,能夠產生安全漏洞的因素是多方面的。
1.1 操作系統漏洞
工業控制系統中最常見的操作系統,如Microsoft Windows 操作系統[2],自從Windows系統的之日起,就都在不停的漏洞補丁,為保證過程控制系統相對的獨立性,而通常這類系統在系統運行后,運維人員不會也不敢輕易對Windows平臺打任何補丁程序,而且即使操作系統打了補丁,這些操作系統也沒有經過制造商測試,存在安全運行風險。但是,系統不及時打補丁就會存在被攻擊的漏洞,即使是一些常見病毒也會感染系統,甚至可能造成Windows平臺乃至控制網絡的癱瘓。
1.2 應用軟件漏洞
應用軟件由于自身功能的特殊性,開發單位技術能力和技術水平參差不齊,導致對其的防護很難進行統一以防范各式各樣的攻擊行為;另外當應用軟件面向網絡應用時,就必須開放其應用端口,自然也給攻擊者留下了通道。一旦黑客攻擊者知道這些開放的端口號,利用工業自動化軟件存在的漏洞信息,直接獲取工業控制設備的控制權,那產生的危害簡直難以想象。
1.3 安全策略和管理制度漏洞
一味追求可用性、方便性而犧牲安全,并且缺乏一整套完整有效的安全策略與管理流程,是很多工業控制系統存在的普遍現象,也給工業控制系統信息安全帶來了一定的威脅。例如用戶口令選擇不慎,或將自己的賬號隨意轉借他人或與別人共享,移動存儲介質包括筆記本電腦、U盤等設備的共享使用等等。
2 工業控制系統信息安全監控管理的建設
當前,美國、歐盟都從國家戰略的層面在開展各方面的工作,積極研究工業控制系統信息安全的應對策略,我國也在政策層面和研究層面在積極開展工作,但我國工業控制系統信息安全工作起步晚,總體上技術研究尚屬起步階段,管理制度不健全,相關標準規范不完善,技術防護措施不到位,安全防護能力和應急處理能力不高,這些問題都威脅著工業生產安全和社會正常運作[3],而當務之急應先從工業控制系統信息安全監控方面著手進行管理。
2.1 加強組織領導,落實工作責任、加強溝通配合
為更好的完成工業控制系統信息安全監控管理工作,促進管理水平的提高,宜由各地職能部門或行業主管機構協調成立監控管理組織,制訂了工作制度和崗位職責,明確工作范圍和內容,加強溝通配合,做好組織保障工作。
2.2 統一協調、部署和指導
監控管理組織宜根據本地區或行業的基本情況,劃定監控范圍,制定年度監控管理計劃,積極協調各工業控制系統的運營單位積極參與監控工作,各運營單位應對年度監控管理計劃提出適應性意見,通過評審后,修訂完善監控管理計劃。監控管理組織應根據監控管理計劃并結合工業控制技術現狀,統一部署日常監控工作,明確工作的流程,對時間計劃、工作環節和工作內容,對運營單位給出相應的指導意見和建議。
2.3 堅持自檢為主,抽查為輔
鼓勵各運營單位結合自身情況長期開展工業控制系統信息安全自檢工作,并結合實際情況在內部研發風險解決方案。組織具有相應資質的信息安全技術支撐機構進行現場抽查工作,在抽查工作進行前,需組織專家對技術實施方法、質量、進度等多方面進行會談研究,統一部署,確保從管理、技術等多方面為其提供指導。
2.4 加強信息報送工作
為保證自檢工作常態化實施,及時了解掌握自檢單位的實際情況,及時溝通和交流信息,可建立了“自檢工作進展報送制度”,要求各自檢單位將工作進展情況定期上報至監控管理部門。
2.5 明確技術支撐機構和人員
通過技術手段對工業控制系統進行安全性測試是了解系統安全狀況的一種重要方法,只有明確技術支撐機構和人員,根據工業控制系統關鍵設備信息安全規范和技術標準對關鍵設備進行安全測評,檢測安全漏洞,評估安全風險,并且對測評工作中發現的安全漏洞給出詳細的解決方案。
工業控制系統信息安全不是一個單純的技術問題,而是一個從意識培養開始,涉及到管理、流程、架構、技術、產品等各方面的系統工程,需要工業控制系統的管理方、運營方、集成商與組件供應商的共同參與,協同工作,而目前工業控制系統出現的各類信息安全問題已迫在眉睫,本文針對現階段信息安全管理較弱的情況,適時提出了工業控制系統信息安全監控管理,從組織機構、措施、人員等多方面全方位地保障工業控制系統信息安全。
參考文獻:
[1]明旭,殷國強.淺談工業控制系統信息安全[J].信息安全與技術,2013(2):27.
[2]彭杰,劉力.工業控制系統信息安全性分析[J].自動化儀表,2012(12):38.
工業控制系統范文第4篇
【關鍵詞】 工業控制系統 信息安全 存在問題 解決方案
按照工業控制系統信息安全的相關要求及防范手段的特點,當前工業控制系統對信息安全提出了解決方案,在控制系統內部建立防火墻、安裝入侵檢測系統及建立連接服務器的驗證機制,能夠在控制系統內部實現網絡安全設備交互信息的目的,以此可以提升工業控制系統的整體防御能力[1]。在此情況下,工業控制系統現已成為信息安全領域愈來愈受關注的話題與重點之一,對其中存在的問題加以解決是迫不可待的[2]。
一、當前工業控制系統信息安全存在問題分析
工業控制系統,一般來說可以分為三個層面,即現場控制層面、監控管理層面與生產控制層面。現場控制層面由生產設備、DCS及PLC等相關控制器組成,用來通訊的工具主要是工業以太網及現場總線;監控管理層面基本由上位機、數據服務器、監控設備及數據采集機等組成,用來通訊的工具為工業以太網及OPC;生產控制層面由管理終端組成,比如:供應鏈、質檢與物料等相關的管理服務器,主要用以太網來進行通訊。當前工業控制系統的信息安全問題來自以下方面:1、工業控制系統通訊方案較為落后守舊。大多數的工業控制系統通訊方案都具有一定的歷史,是由技術人員在多年前便已設計好的,基本上都是在串行連接的基礎上訪問網絡,設計時考慮的主要因素便是工業控制系統的可靠性與實用性,而忽視了控制系統的安全性,加之通訊方案對于用戶的身份認證、信息數據保密等這些方面存在考慮不足的問題[3]。2、接入限定點不夠明確。接入限定點不夠明確的問題主要體現在系統終端與計算機接口等,不同版本、不同安全要求及通訊要求的設備都可以直接或者間接連接互聯網,加上訪問的策略管理工作存在松散與懈怠的情況,能夠在一定程度上增加工業控制系統內部病毒感染的幾率[4]。3、工業控制系統信息安全的關注降低。現階段網絡安全方面很少有黑客攻擊工業網絡的情況發生,故工業控制系統技術人員對于工業控制系統信息安全的關注逐漸降低,也沒有制定科學化與合理化的工業控制系統安全方案、管理制度,也沒有加強培養操作人員與設計人員的安全意識,隨著時間的推移,人員的安全意識愈來愈淡薄,操作管理的實際技術能力與安全思想觀念存在差異,極容易出現違規操作與越權訪問的情況,給工業控制系統的生產系統埋下安全隱患[5]。4、在信息科學技術及工業技術的高速融合下,現代企業的物聯程度與信息化程度不斷提升,這樣便促使更多更智能的儀器設備將會在市場上出現,也將帶來更多的安全問題。
二、當前工業控制系統信息安全的相關特點分析
傳統計算機信息系統信息安全的要求主要有:保密性、可用性與完整性,而現代工業控制系統信息安全首要考慮的是可用性。工業控制系統的控制對象為不同方面的生產過程,如物理、生物與化學,系統終端設備與執行部位能夠嚴格設定生產過程中的實際操作,故在對安全措施進行調整與試行之前必須要將生產設備保持停機狀態,對工業控制系統采取的安全措施必須查看其是否具有一定的準確性及時效性,并要在停機狀態下對其進行測試與調整,但這些程序勢必會給企業帶來一定程度的經濟影響[6]。
根據相關的研究報告顯示,在已公布于社會與民眾的工業控制系統漏洞中,拒絕服務類與控制軟件類等漏洞造成系統業務停止的比重,分別占據了百分之三十三與百分之二十,這樣的情況,便給工業控制系統的實用功能帶來了巨大的威脅,不但會在信息安全方面造成信息丟失,增加工業生產過程中生產設備出現故障的幾率,而且會在最大程度上造成操作人員的意外傷亡情況及設備損壞情況,造成企業經濟利益嚴重虧損。
三、當前工業控制系統信息安全解決方案分析
1、主動隔離式。主動隔離式信息安全解決方案的提出,來自于管道與區域的基本概念,即將同樣性能與安全要求的相關設備安置在同一個區域內,通訊過程主要靠專門管道來完成,并利用管道管理工作來起到抵制非法通信的作用,能夠集中防護網絡區域內或者外部的所有設備。這種方案,相對來說具有一定的有效性,可以按照實際需求來靈活運用工業控制系統,并為其實施信息安全防護工作,但在實施這種解決方案之前,必須先確定防護等級與安全范圍,并尋找出一種適度的防護與經濟成本折中辦法。
2、被動檢測式。被動檢測式解決方案是一種以傳統計算機系統為基礎的新型網絡安全保護方案,因為計算機系統本身便具有結構化、程序化及多樣化等特點,故除了采取對用戶的身份認證與加密數據等防護技術之外,還添設了查殺病毒、檢測入侵情況及黑名單匹配等手段,以此有助于確定非法身份,并結合多方面的部署來提升網絡環境的安全。這種方案的硬件設備除了原部署的系統之外,還能利用終端的白名單技術來實現主機的入侵抵制功能,這些措施能夠減少對原來系統具備性能的負面影響,達到工業控制系統實用的目標。但網絡威脅的特征庫無法及時更新,故黑名單技術對于新出現的違法入侵行為不能做出實時回應,故對于工業控制系統來說還是帶來了一定的危害。
結束語:總而言之,本文主要對當前工業控制系統信息安全存在的問題展開分析,針對工業控制系統通訊方案較為落后守舊、接入限定點不夠明確及工業控制系統信息安全的關注降低等問題,研究了當前工業控制系統信息安全的特點,最后對當前工業控制系統信息安全解決方案展開剖析,即主動隔離式與被動檢測式。當然,要完全解決工業控制系統存在的問題,還得要求我國政府機關及相關部門提高網絡安全的意識,構建并不斷完善一個有效、科學且合理的安全機制,以此來推動我國工業控制系統的發展。
參 考 文 獻
[1]朱世順,黃益彬,朱應飛,張小飛.工業控制系統信息安全防護關鍵技術研究[J].電力信息與通信技術,2013,11:106-109.
[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J].自動化博覽,2015,02:42-45.
[3]陳紹望,羅琪,陸曉鵬.海洋石油平臺工業控制系統信息安全現狀及策略[J].自動化與儀器儀表,2015,05:4-5+8.
[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項目的應用[J].中國儀器儀表,2014,02:30-35.
工業控制系統范文第5篇
關鍵詞:工業控制系統;安全威脅;無線網絡安全
工業控制系統包括了多種控制系統,是對監控數據采集系統(SCADA)、可編程邏輯控制器(PLC)、分布式控制系統(DCS)等控制系統的總稱。工業控制系統在國家關鍵基礎設施中廣泛運用,是國家關鍵基礎設施正常運轉的基礎。隨著無線網絡技術運用到工控系統中,無線網絡的安全問題便備受關注。無線網絡的開放性和脆弱性使得工控系統容易遭受惡意攻擊和竊聽、詐騙等安全威脅,加強工業控制系統無線網絡安全具有重要意義。基于現今主要安全防護策略,從密鑰管理、加密算法和路由層安全技術三方面來提升工控系統中無線網絡的安全度。
1.工業控制系統無線網絡的安全問題
工業控制系統對國家社會生活有關鍵作用,交通、工業、能源、市政等都離不開工控系統的支持和運作。無線網絡應用于工控系統大大方便了國民基礎設施的正常運行,但由于無線網絡的公開性和目前技術的限制,工控系統中無線網絡面臨許多潛在的安全威脅,如惡意攻擊、無線網絡系統本身落后等,一旦工控系統遭遇不良破壞和干預,整個國民基礎設施便會處于癱瘓狀態,給國民經濟和生活帶來巨大障礙和損失。
1.1惡意攻擊
惡意攻擊是指工控系統遭受到人為的破壞和干擾,對工控系統安全造成嚴重威脅的行為。這類攻擊可以分為兩種,即主動攻擊和被動攻擊。一般而言,主動攻擊包括通過偽造病毒并發送到目標計算機系統中,實現攻破、侵占的目的。而不驚動目標計算機系統,在不知不覺中直接獲取計算機內的重要信息和數據的行為屬于被動攻擊。惡意攻擊會流失基礎設施運轉的資料和信息,易被不法分子利用,對國家生活安全造成嚴重威脅。
1.2無線網絡系統自身的落后性
無線網絡技術目前處于新興時期,所以無線網絡運用在工控系統中突顯了它自身的技術缺陷。首先,計算、存儲能力不足,工業控制現場采用的大多是嵌入式CPU,這種CPU存儲空間相對較小、計算能力有限,無法承擔大型的數據計算任務。另外,無線網絡的能量消耗較大,而工業控制現場的終端設備不需要人工監控,為設備充電和更換電池的做法都不具有可行性,所以在保障無線網絡安全時要考慮低消耗問題。最后,節點分布的任意性使得無法確定節點與節點之間的位置和距離。
1.3抗攻擊能力弱
傳感器節點是工控系統中無線網絡安全的關鍵組成部分,一旦節點受到破壞或攻擊,將帶來巨大的損失。這是因為傳感器節點一般安置在比較惡劣、困難的環境中,長期下來容易受到物理性的破壞,檢測并進行維修存在較大困難,又由于傳感器節點所在區域是開放的,攻擊者便能迅速侵入漏洞,獲取該節點的敏感信息,從而帶來一系列連鎖的惡性影響。
2.無線網絡在工控系統中的安全性
無線網絡在工業控制系統中逐漸受到采納和青睞,是由于無線網絡的低成本、組網靈活性高、可靠度較高等方面的優勢。而在這些優勢中,無線網絡技術的安全性是工業控制系統最關注的問題。目前,無線網絡在工控系統中主要研究密鑰模式、加密算法技術和路由層安全技術來提高其安全度。
2.1創新密鑰模式
密鑰管理是無線網絡安全性的重要保障,對工控系統提供了安全保障。密鑰管理涉及了密鑰預分配、密鑰發現和維護三方面內容,這其中又囊括數據加密、數據認證和節點身份認證,對維護無線網絡安全有重要作用。密鑰模式能有效抵擋惡性攻擊,增強無線網絡對攻擊者的抵御能力。目前,較為成功的密鑰管理方案主要有posite隨機密鑰預分配方式、隨機密鑰預分配方案等,這些密鑰管理方案都在一定程度上提高了工控系統的安全度。為了建立起有效的工控系統安全防護體系,還要繼續創新密鑰管理模式,增強其破解難度。
2.2提高加密算法技術
加密算法是保證工控系統信息安全的一個重要方面。使用無線網絡的加密算法技術后,攻擊者只有破解了加密算法才能進入工控系統,而這無疑大大加大了惡意竊取信息的難度和復雜性,從而對工控系統起到了安全維護的作用。加密算法發展至今,已經出現了多種有效的算法方式,如AES、DES、TEA、MD5等,在現今發展的基礎之上,加密算法的速度要不斷增強,能量消耗也需要盡量降低,使之更好地服務工控系統。
2.3加強路由層安全技術
工控系統底層通信的基礎是路由層技術,因此提高路由層安全技術是保障工控系統安全的重要部分。路由層技術的提升能增強無線網絡的抗干擾性和自愈能力,為工控系統通信安全提供保證。整個無線網絡的安全度需要路由層安全技術做支撐,因此,必須針對現有的路由層技術缺陷,研究出安全系數更高的路由層。
3.結束語
工業控制系統關系國計民生,無線網絡技術在工業控制系統中的應用能降低成本、方便維護和增強靈活性,然而無線網絡的開放性使工控系統安全性受到一定威脅。為了保障工控系統的安全性,主要從密鑰管理模式、加密算法、路由層安全技術者三方面著手,致力于增強密鑰管理的創新性和復雜度,開發新型加密算法并提高路由層安全技術。在新時期,建立高安全性能的無線網絡安全體系是完善國家工業控制系統的必然要求。
參考文獻:
[1]曲家興,周瑩,王希忠,張清江.工業控制系統無線網絡安全體系的研究[J].信息技術,2013,01:36-38.
