- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
固然广泛应用的Internet网络技术已经带来了效率和生产力发展的新机会,但它同时也带来了很大的风险,比如网络系统易受攻击。对控制工程师和治理职员来说,在满足普通贸易需求的同时,如何隔离和保护监控和数据采集(SCADA)系统免受Internet的攻击,这是一个关键的题目。在产业中利用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC),这些我们都称为SCADA系统。 伴随着自动化控制系统与基于Internet网络的IT贸易系统之间的连通性越来越多,最棘手的便是SCADA系统的安全题目。特别明显的缺点是SCADA系统的最初工程设计并未预想到与Internet网络的连接,为什么呢?SCADA系统是从私人的产品发展而来的,它应用开放式的、基于Internet网络的技术,具有众所周知的操纵性能和安全缺陷。为了达到因经营规模扩大而得到的经济节约,对于多种重要基础设施,现在销售商通常应用同一系列的控制系统元件产品。威胁的存在在很多行业中,已经发生了对SCADA系统的攻击,比如在油/气、电力、水、造纸和制造业的控制系统都遭受过影响。这些行业中,多数要求具有保密性。但是一些已经被泄露,其中包括: (1)、在亚洲损失了1000MW的水电; (2)、在澳洲的一个污水处理厂,由于排出阀的数据被计算机黑客随意删改,导致开释了数百万公升的污水; (3)、计算机网络蠕虫病毒Slammer和Blaster攻击了很多电力和供水设备的控制系统,包括美国俄亥俄州的Davis-Besse核动力设备,以及其它的产业制造业的控制系统。 安全攻击是存在的,威胁也是存在的,现在是回顾SCADA安全要素的时侯了。 为了使SCADA系统安全运行,它必须和外界的消极影响相隔离。这些消极影响可能包括从一个工程师需要的大量数据到由电脑黑客的蠕虫病毒产生的大规模的电子邮件传输。 为了实现这个隔离,所有和SCADA原函数关联的机器必须依靠一个公共的网络—工厂控制网络(PCN),应用一个内部的防火墙把它和其它的网络保护起来(图1)。
图1: 控制网络隔离(工厂网络应被隔离并用防火墙保护)
建立防火墙是为了治理防火墙内部机器和防火墙外部机器的连接。可以编写防火墙的规则答应任何网络通讯,或是对指定的设备和应用限制网络通讯。 需要向SCADA系统发送数据的系统类型将根据应用而变化。实验室信息系统(LIS)就是一个很好的例子,在现代的精炼厂操纵中,它和精炼厂的SCADA系统周期性的交换有关产品质量和产量的数据。在假定情况下,我们把称得上网络的LIS看作工厂信息网络(PIN)。 为了和SCADA系统软件代理商发生数据转换,需要与LIS软件通讯或建立一个连接。新的防火墙规则应明确识别LIS系统,因此仅仅它能应用这个规则(图2)。
图2:由工厂网络获得数据(通过网络交换数据之前,建立安全协议)
很多公司发现在数据进进SCADA控制系统进行计算之前,答应职员外在的检查与确认是最优方法。为了完成他们的职责,几乎每个雇员都需有权使用企业电子邮件和Internet网络。进行两个网络连接时不慎将病毒或者计算机网络蠕虫引进到控制网络,便会出现很多的题目。防火墙规则必须是来自控制网络类型的访问,也将开放控制网络,使其布满由病毒和计算机网络蠕虫产生的大量的有害数据,即便控制网络上的计算机没被感染病毒。应避免类似事件的发生。 为了给操纵员提供企业电子邮件和Internet网络功能但又不危及PCN网络的安全,和PIN网络分开的连接应该对所有地点工作的操纵员都是适用的。仅仅连接到PIN网络的工作站能提供操纵员访问电子邮件和Internet网络功能,分离PCN网络,以便其免受来自Internet的危险(图3)。
图3:操纵员进进E-mail和Internet
保持畅通对远程设备的软件上载和系统诊断,大多数销售商更喜欢应用调制解调器进行访问。在这种情况下,在要求服务之前,与调制解调器连接的电话线应该是畅通的,销售商一旦结束连接,线路也应该是畅通的。当销售商需要进行诊断时,就适当的安全策略和安全实施而言,假如公司在现场有工作职员,这可能是一个可以接受的方法。 对那些并不是现场24/7小时都有雇员的公司,这可能是一个主要争论点,可选择的折衷方法包括:回拨功能的调制解调器——可以对一个指定的销售商电话号码回拨,口令保护功能的调制解调器,加密功能的调制解调器,以及安全套接层协议虚拟专用网络(SSL VPN)连接。 通常,回拨功能的调制解调器是不切实际的,由于它要求销售商始终为同一个电话号码提供服务。假如你的电话线能够一直保持畅通,密码保护的调制解调器也许是保护销售商访问的最大本钱效益的方法。当设置多次注册失败之后(通常选择3次或者4次)
您可能关注的文档
- 《征途》道具收费策略研究.doc
- 《智夺订单》大客户深度销售实战训练.doc
- 【黑弧奥美】珠海万科金域蓝湾的六步公关计划.doc
- 【模版】优秀党支部申报材料.doc
- Access商店管理系统.doc
- A----土建定额说明及计算规则.docx
- BO常见面试问题总结.doc
- Case-Interview-In-Point—通往咨询的必经之路.doc
- EICC审核所需文件清单(最新).doc
- EMS-中国邮政速递-战略环境分析.docx
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
文档评论(0)