當(dāng)前位置:1566范文網(wǎng) > 企業(yè)管理 > 企業(yè)管理 > 安全管理

控制系統(tǒng)安全管理(2篇范文)

發(fā)布時間:2024-11-29 查看人數(shù):79

控制系統(tǒng)安全管理

第1篇 控制系統(tǒng)安全管理

1? 在工程師站或操作站上不能隨意使用移動硬盤、u盤、軟盤等移動媒體,防止病毒感染,控制系統(tǒng)不要與外網(wǎng)或pc機相連(除mes系統(tǒng));

2 ?控制系統(tǒng)的系統(tǒng)軟件、應(yīng)用軟件要有專門的鐵卷柜存放,專人保管,保證其溫度和濕度不超標(biāo);

3 ??控制室內(nèi)的消防設(shè)施完好,備有適量的二氧化碳?xì)馊苣z滅火器材,放置在控制室的入口處,控制室內(nèi)嚴(yán)禁堆放易燃物;

4 入出戶的孔洞封堵要用阻燃材料,門窗無破損;

5? 儀表盤柜內(nèi)的安全柵、隔離柵嚴(yán)禁跨接。

第2篇 工業(yè)控制系統(tǒng)安全體系架構(gòu)與管理平臺

一、工業(yè)控制系統(tǒng)安全分析

工業(yè)控制系統(tǒng)(industrialcontrolsystems,ics),是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(scada)、分布式控制系統(tǒng)(dcs)、可編程邏輯控制器(plc)、遠(yuǎn)程終端(rtu)、智能電子設(shè)備(ied),以及確保各組件通信的接口技術(shù)。

典型的ics控制過程通常由控制回路、hmi、遠(yuǎn)程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算,hmi執(zhí)行信息交互,遠(yuǎn)程診斷與維護工具確保ics能夠穩(wěn)定持續(xù)運行。

1.1工業(yè)控制系統(tǒng)潛在的風(fēng)險

1.操作系統(tǒng)的安全漏洞問題

由于考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題,系統(tǒng)開車后一般不會對windows平臺打補丁,導(dǎo)致系統(tǒng)帶著風(fēng)險運行。

2.殺毒軟件安裝及升級更新問題

用于生產(chǎn)控制系統(tǒng)的windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。

3.使用u盤、光盤導(dǎo)致的病毒傳播問題。

由于在工控系統(tǒng)中的管理終端一般沒有技術(shù)措施對u盤和光盤使用進(jìn)行有效的管理,導(dǎo)致外設(shè)的無序使用而引發(fā)的安全事件時有發(fā)生。

4.設(shè)備維修時筆記本電腦的隨便接入問題

工業(yè)控制系統(tǒng)的管理維護,沒有到達(dá)一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng),會對工業(yè)控制系統(tǒng)的安全造成很大的威脅。

5.存在工業(yè)控制系統(tǒng)被有意或無意控制的風(fēng)險問題

如果對工業(yè)控制系統(tǒng)的操作行為沒有監(jiān)控和響應(yīng)措施,工業(yè)控制系統(tǒng)中的異常行為或人為行為會給工業(yè)控制系統(tǒng)帶來很大的風(fēng)險。

6.工業(yè)控制系統(tǒng)控制終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障沒有及時發(fā)現(xiàn)而響應(yīng)延遲的問題

對工業(yè)控制系統(tǒng)中it基礎(chǔ)設(shè)施的運行狀態(tài)進(jìn)行監(jiān)控,是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎(chǔ)。

1.2“兩化融合”給工控系統(tǒng)帶來的風(fēng)險

工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的,但近年來為了實現(xiàn)實時的數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的方便,通過邏輯隔離的方式,使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進(jìn)行通信,而企業(yè)管理系統(tǒng)一般直接連接internet,在這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨著來自internet的威脅。

同時,企業(yè)為了實現(xiàn)管理與控制的一體化,提高企業(yè)信息化合綜合自動化水平,實現(xiàn)生產(chǎn)和管理的高效率、高效益,引入了生產(chǎn)執(zhí)行系統(tǒng)mes,對工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進(jìn)行了集成,管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實現(xiàn)了數(shù)據(jù)交換。導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個獨立運行的系統(tǒng),而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。

1.3工控系統(tǒng)采用通用軟硬件帶來的風(fēng)險

工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展,開放性越來越強?;趖cp/ip以太網(wǎng)通訊的opc技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。在工業(yè)控制系統(tǒng)中,由于工業(yè)系統(tǒng)集成和使用的便利性,大量使用了工業(yè)以太環(huán)網(wǎng)和opc通信協(xié)議進(jìn)行了工業(yè)控制系統(tǒng)的集成;同時,也大量的使用了pc服務(wù)器和終端產(chǎn)品,操作系統(tǒng)和數(shù)據(jù)庫也大量的使用了通用的系統(tǒng),很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

二、工業(yè)控制系統(tǒng)安全防護設(shè)計

通過以上對工業(yè)控制系統(tǒng)安全狀況分析,我們可以看到,工控系統(tǒng)采用通用平臺,加大了工控系統(tǒng)面臨的安全風(fēng)險,而“兩化融合”和工控系統(tǒng)自身的缺陷造成的安全風(fēng)險,主要從兩個方面進(jìn)行安全防護。

通過“三層架構(gòu),二層防護”的體系架構(gòu),對工業(yè)企業(yè)信息系統(tǒng)進(jìn)行分層、分域、分等級,從而對工控系統(tǒng)的操作行為進(jìn)行嚴(yán)格的、排他性控制,確保對工控系統(tǒng)操作的唯一性。

通過工控系統(tǒng)安全管理平臺,確保hmi、管理機、控制服務(wù)工控通信設(shè)施安全可信。

2.1構(gòu)建“三層架構(gòu),二層防護”的安全體系

工業(yè)控制系統(tǒng)需要進(jìn)行橫向分層、縱向分域、區(qū)域分等級進(jìn)行安全防護,否則管理信息系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、工業(yè)控制系統(tǒng)處于同一網(wǎng)絡(luò)平面,層次不清,你中有我、我中有你。來自于管理信息系統(tǒng)的入侵或病毒行為很容易對工控系統(tǒng)造成損害,網(wǎng)絡(luò)風(fēng)暴和拒絕式服務(wù)攻擊很容易消耗系統(tǒng)的資源,使得正常的服務(wù)功能無法進(jìn)行。

2.1.1工控系統(tǒng)的三層架構(gòu)

一般工業(yè)企業(yè)的信息系統(tǒng),可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間,主要進(jìn)行身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等安全防護;在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間,主要避免管理層直接對工業(yè)控制層的訪問,保證制造執(zhí)行層對工業(yè)控制層的操作唯一性。工控系統(tǒng)三層架構(gòu)如下圖所示:

通過上圖可以看到,我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個層次,分別是計劃管理層、制造執(zhí)行層、工業(yè)控制層。

管理系統(tǒng)是指以erp為代表的管理信息系統(tǒng)(mis),其中包含了許多子系統(tǒng),如:生產(chǎn)管理、物質(zhì)管理、財務(wù)管理、質(zhì)量管理、車間管理、能源管理、銷售管理、人事管理、設(shè)備管理、技術(shù)管理、綜合管理等等,管理信息系統(tǒng)融信息服務(wù)、決策支持于一體。

制造執(zhí)行系統(tǒng)(mes)處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間,主要負(fù)責(zé)生產(chǎn)管理和調(diào)度執(zhí)行。通過mes,管理者可以及時掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數(shù)的變化,實現(xiàn)對工藝的過程監(jiān)視與控制。

工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。主要完成加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。

2.1.2工控系統(tǒng)的二層防護

1、管理層與mes層之間的安全防護

管理層與mes層之間的安全防護主要是為了避免管理信息系統(tǒng)域和mes(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅,具體表現(xiàn)為:避免非授權(quán)訪問和濫用(如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng));對操作失誤、篡改數(shù)據(jù),抵賴行為的可控制、可追溯;避免終端違規(guī)操作;及時發(fā)現(xiàn)非法入侵行為;過濾惡意代碼(病毒蠕蟲)。

也就是說,管理層與mes層之間的安全防護,保證只有可信、合規(guī)的終端和服務(wù)器才可以在兩個區(qū)域之間進(jìn)行安全的數(shù)據(jù)交換,同時,數(shù)據(jù)交換整個過程接受監(jiān)控、審計。管理層與mes層之間的安全防護如下圖所示:

2、mes層與工業(yè)控制層之間的安全防護

通過在mes層和生產(chǎn)控制層部署工業(yè)防火墻,可以阻止來自企業(yè)信息層的病毒傳播;阻擋來自企業(yè)信息層的非法入侵;管控opc客戶端與服務(wù)器的通訊,實現(xiàn)以下目標(biāo):

區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾mes層與生產(chǎn)控制層兩個區(qū)域網(wǎng)絡(luò)間的通信,那么網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi),而不會影響到其它部分。

實時報警:任何非法的訪問,通過管理平臺產(chǎn)生實時報警信息,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

mes層與工業(yè)控制層之間的安全防護如下圖所示:

控制系統(tǒng)安全管理(2篇范文)

1? 在工程師站或操作站上不能隨意使用移動硬盤、u盤、軟盤等移動媒體,防止病毒感染,控制系統(tǒng)不要與外網(wǎng)或pc機相連(除mes系統(tǒng));2 ?控制系統(tǒng)的系統(tǒng)軟件、應(yīng)用軟件要有專門的鐵…
推薦度:
點擊下載文檔文檔為doc格式

推薦專題

相關(guān)控制系統(tǒng)信息

  • 控制系統(tǒng)安全管理(2篇范文)
  • 控制系統(tǒng)安全管理(2篇范文)79人關(guān)注

    1? 在工程師站或操作站上不能隨意使用移動硬盤、u盤、軟盤等移動媒體,防止病毒感染,控制系統(tǒng)不要與外網(wǎng)或pc機相連(除mes系統(tǒng));2 ?控制系統(tǒng)的系統(tǒng)軟件、應(yīng)用軟件要 ...[更多]