控制系統(tǒng)網(wǎng)絡(luò)安全精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的控制系統(tǒng)網(wǎng)絡(luò)安全主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

【關(guān)鍵詞】電廠；生產(chǎn)控制系統(tǒng)；網(wǎng)絡(luò)信息安全

中圖分類號：F407 文獻(xiàn)標(biāo)識碼： A

一、前言

作為電廠生產(chǎn)運(yùn)作的一項(xiàng)重要工具，生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應(yīng)用和深入的研究。研究其網(wǎng)絡(luò)信息安全，能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性，從而更好地保證電廠生產(chǎn)的順利進(jìn)行。本文從概述相關(guān)內(nèi)容開始探究。

二、概述

為了提高工作效率，絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)存在的安全隱患同樣會對信息安全造成很多的威脅，甚至?xí)﹄姀S造成重大經(jīng)濟(jì)損失。電廠網(wǎng)絡(luò)面臨的威脅來自于電廠內(nèi)部和電廠外部兩個(gè)方面，安全隱患主要體現(xiàn)在管理不嚴(yán)，導(dǎo)致非法入侵；電廠內(nèi)部操作不規(guī)范，故意修改自己的IP地址等，導(dǎo)致電廠內(nèi)部信息的泄漏；網(wǎng)絡(luò)黑客通過系統(tǒng)的漏洞進(jìn)行攻擊，導(dǎo)致網(wǎng)絡(luò)的癱瘓，數(shù)據(jù)的盜??；病毒通過局域網(wǎng)資料的共享造成病毒的蔓延等。

電廠網(wǎng)絡(luò)面臨的外部威脅主要是指黑客攻擊，它們憑借計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到電廠內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中，非法獲得電廠內(nèi)部的機(jī)密文件和信息。無論是操作系統(tǒng)還是網(wǎng)絡(luò)服務(wù)都存在一定的安全漏洞，這些漏洞的存在，就給攻擊者提供了入侵的機(jī)會。網(wǎng)絡(luò)黑客通過各種手段對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行攻擊，非法闖入信息系統(tǒng)，竊取信息，泄露信息系統(tǒng)內(nèi)的重要文件。

由于電廠內(nèi)部管理不善，電廠員工的惡意行為也影響著信息的安全，內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報(bào)復(fù)。其中，內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因，有的工作人員利用自己的工作便利進(jìn)入電廠的信息系統(tǒng)，竊取電廠信息系統(tǒng)內(nèi)的重要文件，并將信息泄漏給他人，獲取一定的利益；有的員工直接打開從網(wǎng)上下載的文件和視頻，不經(jīng)過專業(yè)殺毒軟件的掃描，給電廠的內(nèi)部網(wǎng)絡(luò)帶來安全隱患，甚至帶來的病毒在全網(wǎng)絡(luò)蔓延，造成電廠內(nèi)網(wǎng)的癱瘓，嚴(yán)重?fù)p壞公司的利益，影響公司的正常運(yùn)轉(zhuǎn)。

三、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患

1.被動(dòng)攻擊形式

被動(dòng)攻擊這種情況下在計(jì)算機(jī)領(lǐng)域中稱作是流量分析現(xiàn)象。在計(jì)算機(jī)網(wǎng)絡(luò)安全中，最為典型的信息攻擊方式是信息的截獲，信息的捕獲主要指的是在信息技術(shù)中，網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)技術(shù)對他人的私人信息進(jìn)行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀。在這個(gè)過程中，網(wǎng)絡(luò)信息得到攻擊者通過對數(shù)據(jù)信息的觀察與分子，進(jìn)行相應(yīng)的網(wǎng)絡(luò)信息的攻擊，尤其是對其中的一個(gè)數(shù)據(jù)單元進(jìn)行相應(yīng)的攻擊，其中攻擊的是網(wǎng)絡(luò)中的信息數(shù)據(jù)，并不是信息流。上述的這些網(wǎng)絡(luò)信息的安全隱患中，網(wǎng)絡(luò)信息的攻擊者和黑客是無處不在的，總是對網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息進(jìn)行攻擊，盜取用戶的個(gè)人信息，這些攻擊者主要是通過網(wǎng)絡(luò)中的數(shù)據(jù)協(xié)議PUD對用戶的信息資源進(jìn)行了一定的控制與盜取，最終導(dǎo)致而來網(wǎng)絡(luò)信息資源安全隱患的產(chǎn)生。

2.主動(dòng)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)安全注的主動(dòng)攻擊是指，在計(jì)算機(jī)網(wǎng)絡(luò)通訊系統(tǒng)中，攻擊者或者是黑客，通過網(wǎng)絡(luò)技術(shù)，連接到具體的數(shù)據(jù)通訊協(xié)議進(jìn)行有目的有計(jì)劃的信息資源的獲取。這個(gè)過程是一種目的性明確的信息盜取方式，對于系統(tǒng)中的信息進(jìn)行有目的的安全性攻擊。并且在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)通訊技術(shù)的安全性攻擊過程中，攻擊者通過對系統(tǒng)中的數(shù)據(jù)協(xié)議進(jìn)行攻擊，延遲了PDU的運(yùn)行，嚴(yán)重情況下，最終將一種偽造的PDU輸送到相應(yīng)的網(wǎng)絡(luò)中進(jìn)行信息數(shù)據(jù)的傳輸。其中，此處所述的信息中斷、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說的一種計(jì)算機(jī)網(wǎng)絡(luò)完全的被動(dòng)攻擊方式。

四、電廠生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)安全的改進(jìn)方案

1.物資需求計(jì)劃的應(yīng)用

MRP即物資需求計(jì)劃，所謂物資需求計(jì)劃指根據(jù)產(chǎn)品結(jié)構(gòu)中不同層次的物品的從屬關(guān)系和數(shù)量關(guān)系，以單件產(chǎn)品為對象，以完工時(shí)間為標(biāo)準(zhǔn)的倒排計(jì)劃，根據(jù)提前期的長短制定物品下達(dá)時(shí)間的先后順序，是一種電廠內(nèi)的物資計(jì)劃管理模式。通過運(yùn)用物資需求計(jì)劃，精確地對每月的生產(chǎn)任務(wù)進(jìn)行合理安排，可以有效解決電廠生產(chǎn)過程中出現(xiàn)的“月初任務(wù)松，月末任務(wù)緊”的現(xiàn)象，通過合理調(diào)整生產(chǎn)計(jì)劃，使發(fā)電廠對市場的應(yīng)變能力加強(qiáng)。

2.完善身生產(chǎn)生產(chǎn)計(jì)劃和控制系統(tǒng)

發(fā)電廠需要將安全生產(chǎn)列為其主要的研究內(nèi)容，通過確保其生產(chǎn)質(zhì)量提高其在同行業(yè)中的競爭力，從而獲得較大的經(jīng)濟(jì)效益。通過完善發(fā)電廠自身的管理體系，使其在進(jìn)行安全生產(chǎn)的同時(shí)，保障其生產(chǎn)計(jì)劃的順利執(zhí)行。建立并完善合理的監(jiān)督管理體系，有助于提高發(fā)電廠內(nèi)部員工的自覺性和職業(yè)素質(zhì)，可以在滿足客戶需求的同時(shí)，有效地提高發(fā)電廠的經(jīng)濟(jì)效益。

3.主生產(chǎn)計(jì)劃方案編制

所謂主生產(chǎn)計(jì)劃，是物資需求計(jì)劃的主要輸入因素，其以合同為依據(jù)，并按一定的時(shí)間段對相關(guān)電力產(chǎn)品的數(shù)量以及交貨日期進(jìn)行合理分析，并在現(xiàn)有的生產(chǎn)計(jì)劃與設(shè)備資源中做出相應(yīng)的平衡的新型生產(chǎn)計(jì)劃。另一方面，從客戶和電廠的雙方面角度出發(fā)，主生產(chǎn)計(jì)劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計(jì)劃，另一方面使得電廠的各項(xiàng)生產(chǎn)得以有序進(jìn)行，從而提高了電廠與用戶的合作效率。

五、強(qiáng)化生產(chǎn)控制系統(tǒng)安全的措施

1.對安全規(guī)劃產(chǎn)生足夠的重視

電廠網(wǎng)絡(luò)安全規(guī)劃就是全面的思考網(wǎng)絡(luò)的安全問題，對于安全問題，需要以系統(tǒng)觀點(diǎn)進(jìn)行考慮。要想提升安全管理的有效性，就需要對信息安全管理體系進(jìn)行全面系統(tǒng)的構(gòu)建。

2.對安全域進(jìn)行合理劃分

電廠將電廠網(wǎng)絡(luò)的內(nèi)外網(wǎng)實(shí)行了物理隔離，但是在內(nèi)網(wǎng)上，安全域的合理劃分依然非常重要。在劃分的時(shí)候，需要結(jié)合整體的安全規(guī)劃和信息安全等級來進(jìn)行，對核心重點(diǎn)防范區(qū)域和一般防范區(qū)域以及開放區(qū)域進(jìn)行劃分。網(wǎng)絡(luò)安全的核心就是重點(diǎn)防范區(qū)域，用戶不能夠?qū)@個(gè)區(qū)域直接訪問，安全級別較高；應(yīng)該在這個(gè)區(qū)域內(nèi)放置各種重要數(shù)據(jù)、服務(wù)器和數(shù)據(jù)庫服務(wù)器，在本區(qū)域內(nèi)運(yùn)行各種應(yīng)用系統(tǒng)、OA系統(tǒng)等。

3.對安全管理進(jìn)行強(qiáng)化，對制度建設(shè)產(chǎn)生足夠的重視

為了促使電廠網(wǎng)絡(luò)信息安全得到保證，就需要系統(tǒng)性的考慮電廠網(wǎng)絡(luò)信息安全，對于電廠網(wǎng)絡(luò)的安全問題，非常重要的一個(gè)方面就是安全管理和制度建設(shè)。首先要對日志管理和安全審計(jì)產(chǎn)生足夠的重視，通常情況下，審計(jì)功能是防火墻和入侵檢測系統(tǒng)都具備的，要將它們的審計(jì)功能給充分利用起來，提升網(wǎng)絡(luò)日志管理和安全審計(jì)的質(zhì)量。要嚴(yán)格管理審計(jì)數(shù)據(jù)，任何人不得對審計(jì)記錄進(jìn)行隨意的修改和刪除。

4.構(gòu)建內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)

網(wǎng)絡(luò)信息安全最為關(guān)鍵的一項(xiàng)技術(shù)就是認(rèn)證，通過認(rèn)證，身份鑒別服務(wù)、訪問控制服務(wù)以及機(jī)密都可以得到實(shí)現(xiàn)。對病毒防護(hù)體系進(jìn)行構(gòu)建，將防病毒體系安裝于電廠網(wǎng)絡(luò)上，遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警以及集中管理等都是防病毒軟件的功能；要對防病毒的管理制度進(jìn)行構(gòu)建，不能夠在內(nèi)網(wǎng)主機(jī)上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù)，不能夠在聯(lián)網(wǎng)計(jì)算機(jī)上使用來歷不明的移動(dòng)存儲設(shè)備，發(fā)現(xiàn)病毒之后，相關(guān)工作人員需要及時(shí)采取處理措施。

六、結(jié)束語

通過對電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全的相關(guān)研究，我們可以發(fā)現(xiàn)，威脅其安全的因素來自多方面，有關(guān)人員應(yīng)該從電廠生產(chǎn)控制系統(tǒng)運(yùn)作的客觀實(shí)際出發(fā)，充分分析威脅因素，從而研究制定最為切合實(shí)際的網(wǎng)絡(luò)信息安全應(yīng)對策略。

參考文獻(xiàn)：

[1] 覃冠標(biāo).關(guān)于發(fā)電廠生產(chǎn)計(jì)劃與控制系統(tǒng)的改進(jìn)研究[J].科技資訊.2013（34）：141-143.

[2] 吳興波.S公司生產(chǎn)計(jì)劃與控制改進(jìn)研究[J].華南理工大學(xué)學(xué)報(bào).2010（01）：88-89.

[3] 李隨成，樊相宇.MRP生產(chǎn)計(jì)劃與控制系統(tǒng)的探討[J].西安理工大學(xué)學(xué)報(bào).2010（23）：356-360.

第2篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

摘要： 隨著信息的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)急劇增加，結(jié)構(gòu)性不斷提高，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手，就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點(diǎn)淺見。 

 

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個(gè)寬帶，互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點(diǎn) 

校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn)： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強(qiáng)大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運(yùn)營的特性；6）經(jīng)濟(jì)實(shí)用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作，應(yīng)實(shí)行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離，重點(diǎn)對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財(cái)務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財(cái)務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個(gè)方面： 

1）要制訂嚴(yán)格的規(guī)章管理制度：可制定的相應(yīng)：《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。 

第3篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

隨著現(xiàn)代工業(yè)技術(shù)的發(fā)展，工業(yè)化與信息化正在不斷融合，工業(yè)控制系統(tǒng)越來越多采用通用的通信協(xié)議和軟硬件系統(tǒng)，并且以各種方式接入網(wǎng)絡(luò)，從而打破了這些系統(tǒng)原有的封閉性和專用性，造成病毒、木馬等安全威脅向工控領(lǐng)域迅速擴(kuò)散。工業(yè)控制系統(tǒng)所面臨的信息安全問題日益嚴(yán)重，而且呈現(xiàn)出諸多與傳統(tǒng)IT系統(tǒng)不同的特點(diǎn)。核電廠作為國家關(guān)鍵基礎(chǔ)設(shè)施，是關(guān)注的核心，重中之重。儀控系統(tǒng)作為核電廠的神經(jīng)中樞、關(guān)鍵數(shù)字資產(chǎn)，是重點(diǎn)保護(hù)對象。而儀控系統(tǒng)從功能安全角度已有完整的法規(guī)標(biāo)準(zhǔn)和技術(shù)。如何在不降低安全的情況下考慮加強(qiáng)信息安全，有必要提出協(xié)調(diào)功能安全和信息安全的整體框架。

2安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求

2.1基本原則

數(shù)字式儀控系統(tǒng)整體結(jié)構(gòu)層面應(yīng)考慮以下原則：（1）網(wǎng)絡(luò)安全措施不能影響核電廠安全目標(biāo)。網(wǎng)絡(luò)安全措施不應(yīng)損害儀控系統(tǒng)架構(gòu)實(shí)施的多樣性和縱深防御的有效性。（2）首先按照IEC61513的要求，進(jìn)行儀控系統(tǒng)功能初次分配，并進(jìn)行儀控系統(tǒng)架構(gòu)總體設(shè)計(jì)，然后考慮可能影響整體系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求。通過迭代設(shè)計(jì)過程，將可能影響系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求整合到一起。（3）網(wǎng)絡(luò)安全功能不得對安全重要功能所要求的性能、有效性、可靠性和可操作性產(chǎn)生不利影響。（4）安全重要系統(tǒng)增加的網(wǎng)絡(luò)安全特征應(yīng)進(jìn)行失效模式和后果分析，并考慮預(yù)防、控制或緩解措施.（5）當(dāng)兩種架構(gòu)設(shè)計(jì)有相同等級的安全性時(shí)，優(yōu)先考慮具備網(wǎng)絡(luò)安全防范特性的設(shè)計(jì)。但應(yīng)避免不必要的復(fù)雜設(shè)計(jì)，因?yàn)閺?fù)雜設(shè)計(jì)既不利于功能安全也不利于網(wǎng)絡(luò)安全。

2.2網(wǎng)絡(luò)安全區(qū)域劃分原則

為了更切實(shí)地實(shí)施分級方法，需要將儀控系統(tǒng)中的基于計(jì)算機(jī)的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域，分級保護(hù)原則適用于各個(gè)安全區(qū)域。區(qū)域允許將在安全和設(shè)備功能方面有著相似重要性的系統(tǒng)分為一組，以管理并應(yīng)用保護(hù)措施。定義安全區(qū)域的標(biāo)準(zhǔn)可能包括組織問題、本地化、架構(gòu)或技術(shù)方面。劃分網(wǎng)絡(luò)安全區(qū)域應(yīng)考慮如下原則：（1）網(wǎng)絡(luò)安全區(qū)域的劃定應(yīng)考慮和利用為加強(qiáng)安全目的而引入的獨(dú)立性和物理隔離要求；（2）劃定網(wǎng)絡(luò)安全區(qū)域應(yīng)同時(shí)考慮數(shù)據(jù)通信、地理/物理隔離以及獨(dú)立性等方面；（3）除非能夠從網(wǎng)絡(luò)安全防范角度有效的過濾和監(jiān)測分隔之間的通信，否則由多個(gè)子列組成的儀控系統(tǒng)應(yīng)劃分到同一個(gè)網(wǎng)絡(luò)安全區(qū)域中。

2.3共因故障處理原則

在某些情況下，共因故障的措施，有利于網(wǎng)絡(luò)安全防范。具體情況需由負(fù)責(zé)網(wǎng)絡(luò)安全人員基于特定場景可能的惡意攻擊和潛在威脅進(jìn)行評估。多樣性手段在網(wǎng)絡(luò)安全防范中使用，利弊需要具體分析。以串聯(lián)方式可以增加網(wǎng)絡(luò)安全效果，但是會引入復(fù)雜性；以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞。對于集成到系統(tǒng)中的網(wǎng)絡(luò)安全防范措施，應(yīng)分析其可能在多樣性系統(tǒng)間引入共因故障的潛在風(fēng)險(xiǎn)。存在風(fēng)險(xiǎn)時(shí)，應(yīng)考慮替代措施，在保證充分的網(wǎng)絡(luò)安全的同時(shí)，降低共因故障風(fēng)險(xiǎn)。

2.4隔離原則

隔離設(shè)計(jì)在某些情況下也可用于網(wǎng)絡(luò)安全防范。應(yīng)由負(fù)責(zé)網(wǎng)絡(luò)安全的人員按照場景進(jìn)行分析，利用隔離措施促進(jìn)安全防范。功能安全相關(guān)標(biāo)準(zhǔn)所提出的用于支持A類功能的控制系統(tǒng)的獨(dú)立性要求，對網(wǎng)絡(luò)安全是有益的，應(yīng)針對具體場景進(jìn)行評估和驗(yàn)證，以便在網(wǎng)絡(luò)安全防范中納入這些措施。這些控制系統(tǒng)的獨(dú)立性要求包括：（1）對于那些僅用于檢測或保護(hù)目的的A類信號，對同時(shí)用于控制系統(tǒng)（無論其類別）的A類系統(tǒng)信號需要予以特別關(guān)注。這是由于傳感器故障可導(dǎo)致控制系統(tǒng)的測量值超出需求容許值，并產(chǎn)生不安全的控制動(dòng)作，同時(shí)還會方案保護(hù)系統(tǒng)對不安全工況的探測。（2）保護(hù)系統(tǒng)和控制系統(tǒng)應(yīng)設(shè)計(jì)成如下的形似和：對兩個(gè)系統(tǒng)之間所傳遞的信號，假設(shè)單一故障包括了后繼故障，不能引發(fā)事故或要求安全動(dòng)作的瞬態(tài)，同時(shí)，也不能引發(fā)A類系統(tǒng)不可接受的降級。（3）當(dāng)A類系統(tǒng)內(nèi)的一個(gè)單一隨機(jī)故障及其后任何后續(xù)故障可引發(fā)一個(gè)控制系統(tǒng)動(dòng)作，從而成為導(dǎo)致一個(gè)要求安全動(dòng)作的工況時(shí)，即使此時(shí)有第二個(gè)隨機(jī)故障使得A類系統(tǒng)降級，A類系統(tǒng)仍應(yīng)有提供安全動(dòng)作的能力。應(yīng)采取措施，無論任何原因，包括測試或維修目的，使得部件或組建旁通或退出運(yùn)行，系統(tǒng)都應(yīng)滿足這一要求。（4）即使有效的旁通、傳感器和設(shè)備有測試證據(jù)證明的高可靠性，對提供控制信號的二取一表決的保護(hù)系統(tǒng)將要求比較論證和證明。如果在維護(hù)期間使用了合適的旁通措施，則采用故障安全的設(shè)備和自動(dòng)探測故障傳感器的三取二系統(tǒng)能夠滿足要求。

3結(jié)語

在核電廠儀控系統(tǒng)設(shè)計(jì)時(shí)，考慮功能安全和信息安全的協(xié)調(diào)要求，使儀控系統(tǒng)在保證安全性的同時(shí)也具備適當(dāng)?shù)男畔踩匦?，為確保電站安全穩(wěn)定運(yùn)行、免受網(wǎng)絡(luò)攻擊提供了有力保障。

參考文獻(xiàn)

[1]王小山,楊安,石志強(qiáng),孫利民.工業(yè)控制系統(tǒng)信息安全新趨勢[J].信息網(wǎng)絡(luò)安全,2015(01).

第4篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

關(guān)鍵詞：水泥廠工控；網(wǎng)絡(luò)安全；防護(hù)建設(shè)

近年來，水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速，抓住了智能制造發(fā)展的制高點(diǎn)，信息化是水泥企業(yè)信息化建設(shè)的必由之路，對企業(yè)管理，企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。為實(shí)現(xiàn)企業(yè)的轉(zhuǎn)型，我公司介紹了建設(shè)和網(wǎng)絡(luò)安全管理的方法和經(jīng)驗(yàn)。

1運(yùn)行控制與網(wǎng)絡(luò)安全建設(shè)背景

1.1信息化建設(shè)

在信息化建設(shè)初期，我公司的網(wǎng)絡(luò)安全還不完善，在信息化和智能化建設(shè)方面，沒有考慮網(wǎng)絡(luò)管理和安全問題。但在施工過程中，網(wǎng)絡(luò)安全越來越重要，在實(shí)施過程中發(fā)現(xiàn)了以下問題：比如OPC協(xié)議是目前以信息為基礎(chǔ)的通信方式，是實(shí)現(xiàn)建筑信息智能傳輸?shù)闹匾ㄐ欧绞?，?dāng)前正在解決信息隔離問題。公司能源管理系統(tǒng)數(shù)據(jù)和DCS系統(tǒng)監(jiān)控?cái)?shù)據(jù)應(yīng)通過OPC通信進(jìn)行隔離和控制，方便員工使用。在出差過程中快速監(jiān)控直流生產(chǎn)和生產(chǎn)畫面，為了監(jiān)控?cái)?shù)據(jù)和曲線，我公司采用智能集成工廠，并在手機(jī)上安裝移動(dòng)工廠應(yīng)用程序。在保證網(wǎng)絡(luò)安全的前提下，我們可以對公司生產(chǎn)的圖像進(jìn)行監(jiān)控，但是如何管理數(shù)據(jù)通過網(wǎng)絡(luò)在手機(jī)上移動(dòng)，基于前面應(yīng)用實(shí)現(xiàn)的方便性，沒有必要的安全設(shè)施，生產(chǎn)系統(tǒng)的安全是否得到保證。目前，智能物流廣泛應(yīng)用于水泥行業(yè)，銷售系統(tǒng)和生產(chǎn)統(tǒng)計(jì)等其他系統(tǒng)以及數(shù)據(jù)通信量最大的系統(tǒng)具有最高的安全性。生產(chǎn)原材料多個(gè)生產(chǎn)和辦公系統(tǒng)缺乏主機(jī)管理和控制軟件及防病毒，導(dǎo)致控制自動(dòng)化系統(tǒng)各設(shè)備的USB接口，缺乏有效的移動(dòng)媒體控制狀態(tài)。系統(tǒng)維護(hù)工程師必須定期復(fù)制數(shù)據(jù)，操作人員也可以秘密使用USB接口，存在較大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。因?yàn)榘l(fā)生網(wǎng)絡(luò)安全事件會導(dǎo)致整個(gè)工廠系統(tǒng)癱瘓、服務(wù)器崩潰和數(shù)據(jù)損失等嚴(yán)重后果。我公司從2020年開始實(shí)施網(wǎng)絡(luò)升級改造，優(yōu)化和提高了管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的安全性[1-3]。

1.2信息安全保護(hù)發(fā)展

新的應(yīng)用沒有等級保護(hù)標(biāo)準(zhǔn)，缺乏完整的風(fēng)險(xiǎn)評估和安全監(jiān)測系統(tǒng)，因此很難適應(yīng)互聯(lián)網(wǎng)信息安全保護(hù)的要求，為了適應(yīng)新技術(shù)和新的應(yīng)用發(fā)展，滿足各種系統(tǒng)等級保護(hù)的需求威海工業(yè)控制領(lǐng)域的云計(jì)算，信息系統(tǒng)等方面提供了重要保證，以重要保證為基礎(chǔ)，目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)還不夠，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)的必要性分析工業(yè)控制系統(tǒng)需要使用的許多控制系統(tǒng)，包括，產(chǎn)業(yè)生產(chǎn)中監(jiān)控系統(tǒng)，數(shù)據(jù)采集系統(tǒng)和分布式控制系統(tǒng)，如PLC等應(yīng)用廣泛，與人們的生產(chǎn)和生活密切相關(guān)，本文分析了他面臨的威脅。

1.3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件分析

2019年出現(xiàn)的第一個(gè)控制系統(tǒng)，打破離心分離器運(yùn)行的產(chǎn)業(yè)控制器，建立了一個(gè)全新的腳本技術(shù)和適應(yīng)大規(guī)模應(yīng)用的完美安全保護(hù)體系。祝賀很重要。2018年，黑客利用工業(yè)惡性軟件攻擊烏克蘭的一個(gè)變電站，導(dǎo)致基輔等地區(qū)的供電中斷，使用軟件自動(dòng)運(yùn)行，導(dǎo)致機(jī)器控制系統(tǒng)無法正常運(yùn)行因此，電力網(wǎng)和其他基礎(chǔ)設(shè)施的安全受到了嚴(yán)重的威脅。例如，2017年有100多個(gè)地區(qū)受到威脅軟件感染的影響，中國的石油和交通受到影響，造成嚴(yán)重后果。

1.4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)用

目前這些系統(tǒng)由于需求不足，各種業(yè)務(wù)系統(tǒng)存在潛在的安全隱患，比如遠(yuǎn)程訪問保護(hù)要求，大多數(shù)工業(yè)控制和生產(chǎn)網(wǎng)絡(luò)的遠(yuǎn)程維護(hù)都是由供應(yīng)商提供的。渠道使用存在入侵風(fēng)險(xiǎn)。還有網(wǎng)絡(luò)監(jiān)控和審核要求，目前行業(yè)使用的各種監(jiān)控軟件和審計(jì)軟件和基礎(chǔ)設(shè)施還不完善，難以對數(shù)據(jù)進(jìn)行有效的控制其次是操作系統(tǒng)漏洞管理需求；工業(yè)生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)的要求很高，這就給系統(tǒng)漏洞升級帶來了難題，一旦出現(xiàn)安全漏洞，就會威脅到系統(tǒng)運(yùn)行的安全；惡意代碼風(fēng)險(xiǎn)防范要求，在工控系統(tǒng)應(yīng)用中實(shí)際發(fā)生惡意代碼時(shí)，存在著安裝殺毒軟件和安全隱患等安全防護(hù)缺失等重大風(fēng)險(xiǎn)。在分析網(wǎng)絡(luò)安全需求的基礎(chǔ)上，分析了網(wǎng)絡(luò)安全對人身安全財(cái)產(chǎn)安全的影響，為保證網(wǎng)絡(luò)安全運(yùn)行所采取相應(yīng)的措施，建立工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)策略，實(shí)施安全管理體系。根據(jù)安全防護(hù)工作要求設(shè)置專門的部門和人員，由安全管理人員和安全管理人員負(fù)責(zé)，組織網(wǎng)絡(luò)安全委員會或領(lǐng)導(dǎo)小組。掌握具體工作，要求做好網(wǎng)絡(luò)安全防護(hù)工作，并根據(jù)需要制定相應(yīng)的管理制度和方法，實(shí)現(xiàn)崗位職責(zé)和資源的有效分工。配置足夠的人力資源，確保網(wǎng)絡(luò)安全工作的順利進(jìn)行，加強(qiáng)與安全供應(yīng)商和企業(yè)的溝通，確保安全，及時(shí)掌握事態(tài)發(fā)展，定期進(jìn)行安全檢查。首先做好檢查記錄，編制安全檢查報(bào)告，確保各項(xiàng)工作順利完成，其次，建立安全管理機(jī)構(gòu)，配備網(wǎng)絡(luò)安全管理人員；安全管理體系能否有效啟動(dòng)，與組織機(jī)構(gòu)組成、人員配置、工作要求、人力資源配置、協(xié)調(diào)指導(dǎo)密切相關(guān)。對實(shí)施網(wǎng)絡(luò)安全管理等任務(wù)，建立有效的安全防護(hù)組織體系。加強(qiáng)安全施工管理，在安全施工管理方面，以信息系統(tǒng)的整個(gè)生命周期為中心實(shí)施安全管理措施，系統(tǒng)審核和控制安全等級等關(guān)鍵環(huán)節(jié)，加強(qiáng)安全運(yùn)輸和層次管理，結(jié)合網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)的原因和特點(diǎn)，實(shí)施安全評價(jià)和安全強(qiáng)化，對機(jī)艙環(huán)境、漏洞和網(wǎng)絡(luò)、實(shí)施設(shè)施安全運(yùn)行維護(hù)管理等安全管理，有效變更備份及修復(fù)管理和各種安全事件。

1.5安全技術(shù)系統(tǒng)建設(shè)

安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)體系和安全通信網(wǎng)絡(luò)設(shè)計(jì)的重點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)。利用關(guān)鍵網(wǎng)絡(luò)設(shè)備和電腦設(shè)備，以不必要的結(jié)構(gòu)劃分安全區(qū)域，實(shí)現(xiàn)安全隔離。通信傳輸。使用密碼確保通信的完整性和機(jī)密性?？梢孕刨嚨尿?yàn)證。對于產(chǎn)業(yè)控制和網(wǎng)絡(luò)安全建設(shè)的總體規(guī)劃，應(yīng)該保護(hù)事務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的界限，并且在劃分網(wǎng)絡(luò)層次結(jié)構(gòu)的同時(shí)，根據(jù)各信息系統(tǒng)的功能，將與管理系統(tǒng)有密切關(guān)系的系統(tǒng)劃分為控制層，將系統(tǒng)數(shù)據(jù)并連接外部網(wǎng)絡(luò)時(shí)系統(tǒng)分為電源管理系統(tǒng)等生產(chǎn)管理層，軟件系統(tǒng)與管理系統(tǒng)的數(shù)據(jù)交流較少，企業(yè)管理中其他企業(yè)管理軟件，如智能物流系統(tǒng)的數(shù)據(jù)交換較多的軟件系統(tǒng)，在網(wǎng)絡(luò)邊界處配置入侵防御和防火墻安全產(chǎn)品，實(shí)時(shí)分析鏈接的傳輸數(shù)據(jù)，阻斷鏈接隱藏的威脅。

1.6邊界網(wǎng)絡(luò)屏障設(shè)置

警戒保護(hù)并在相關(guān)控制系統(tǒng)中讀取的所有數(shù)據(jù)通過網(wǎng)絡(luò)屏障確保系統(tǒng)的安全。我公司擁有兩個(gè)DCS系統(tǒng)，一個(gè)是加工品水泥生產(chǎn)線的DCS系統(tǒng)，另一個(gè)是起到外部控制作用的DCS系統(tǒng)，公司的兩個(gè)工業(yè)控制系統(tǒng)的外部數(shù)據(jù)傳輸鏈接的出口端增加了產(chǎn)業(yè)防火墻。所有的管理系統(tǒng)都要通過防火墻來通訊外部數(shù)據(jù)。進(jìn)行管理防止系統(tǒng)中未授權(quán)的程序和未知存儲介質(zhì)的運(yùn)行，白色命名單系統(tǒng)由非系統(tǒng)管理者隨意使用USB接口或隨意復(fù)制或安裝各種軟件，對生產(chǎn)主機(jī)進(jìn)行安全管理、提高設(shè)備運(yùn)行能力，確保各生產(chǎn)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。對于安全區(qū)域邊界設(shè)計(jì)內(nèi)容包括警戒保護(hù)和入侵預(yù)防等，惡意代碼和安全審計(jì)。對于正在運(yùn)行的工業(yè)無線網(wǎng)絡(luò)，無線AP或無線路由器由上述端口控制，例如在訪問防火墻端口時(shí)，以工業(yè)防火墻為邊界進(jìn)行邏輯隔離，實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域的有效隔離。從實(shí)施網(wǎng)絡(luò)安全保護(hù)的角度分析了安全計(jì)算環(huán)境，安全計(jì)算環(huán)境的設(shè)計(jì)主要內(nèi)容如下，首先是安全監(jiān)控，由于工業(yè)控制系統(tǒng)的運(yùn)行環(huán)境越來越復(fù)雜，新技術(shù)和新設(shè)備的廣泛應(yīng)用，對環(huán)境保護(hù)計(jì)算具有重要意義。利用數(shù)據(jù)庫協(xié)議的分析和控制技術(shù)，可以達(dá)到阻塞危險(xiǎn)命令、控制訪問行為等目的。保護(hù)數(shù)據(jù)庫運(yùn)行安全。由安全管理中心建立的安全管理中心具有以下功能，基于工控系統(tǒng)安全管理平臺，對登錄人員進(jìn)行動(dòng)態(tài)認(rèn)證。并且組織安全管理人員和監(jiān)理人員的授權(quán)，實(shí)行統(tǒng)一調(diào)配管理，其次，還要進(jìn)行安全監(jiān)督管理；確認(rèn)相應(yīng)人員的身份并監(jiān)督其工作，如工作日志和門禁等進(jìn)行安全管理，最后通過集中管理和數(shù)據(jù)和信息的收集和分析，了解系統(tǒng)運(yùn)行的安全狀態(tài)，并采取設(shè)施安全防護(hù)措施。

2網(wǎng)絡(luò)運(yùn)行控制及具體實(shí)施

根據(jù)上述總體安全策略的要求，我們的辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)被劃分為VLAN，VLAN將辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)隔離開來，我們還建造了辦公室和機(jī)械宿舍，建筑細(xì)節(jié)如下，公司所使用的防火墻是可以將新的入侵防御系統(tǒng)與網(wǎng)絡(luò)病毒過濾和殺滅相結(jié)合。根據(jù)實(shí)際管理和控制原則，各子網(wǎng)在網(wǎng)絡(luò)區(qū)域內(nèi)組織地址區(qū)域，避免廣播風(fēng)造成公司網(wǎng)絡(luò)整體癱瘓，并確定網(wǎng)絡(luò)故障點(diǎn)。從網(wǎng)絡(luò)層面分為辦公網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)，在兩個(gè)網(wǎng)絡(luò)隔離邊界上設(shè)置網(wǎng)關(guān)，在網(wǎng)絡(luò)隔離的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)交換。公司從管理網(wǎng)讀取DCS系統(tǒng)數(shù)據(jù)，并增加雙向控制體系。我們公司有兩套DCS系統(tǒng)，一個(gè)是水泥生產(chǎn)線的DCS系統(tǒng)，另一個(gè)是為了余熱發(fā)電的DCS系統(tǒng)。在配套系統(tǒng)中增加Moxa工業(yè)基地的交換機(jī)，對工業(yè)行為進(jìn)行審查，通過鏡像流動(dòng)對整個(gè)網(wǎng)絡(luò)進(jìn)行流量審計(jì)和檢查，建立專用作業(yè)控制運(yùn)輸管理區(qū)并通過產(chǎn)業(yè)防火墻隔離，設(shè)置主機(jī)白名單和漏洞掃描，確保網(wǎng)絡(luò)安全和安全，除上述建設(shè)內(nèi)容外，我公司將根據(jù)融合管理體系建立公司的機(jī)械住宅和網(wǎng)絡(luò)布局完善是實(shí)現(xiàn)網(wǎng)絡(luò)化和工業(yè)控制的必要手段，具體情況如下：公司已經(jīng)建立了標(biāo)準(zhǔn)控制網(wǎng)絡(luò)，并且要求機(jī)房獨(dú)立連接接地網(wǎng)，在靜電地板下用10毫米寬的銅箔設(shè)置屏蔽網(wǎng)格，確保整個(gè)機(jī)房連接良好，設(shè)置傳感器系統(tǒng)，安裝恒溫系統(tǒng)和自動(dòng)滅火系統(tǒng)，建立完整的同環(huán)檢測平臺，確保機(jī)房不斷供電和火災(zāi)警報(bào)，公司的兩個(gè)機(jī)房采用遠(yuǎn)程自動(dòng)備份系統(tǒng)和自動(dòng)備份服務(wù)器系統(tǒng)和軟件數(shù)據(jù)，并可在網(wǎng)絡(luò)空間發(fā)生災(zāi)難后迅速恢復(fù)，設(shè)置網(wǎng)絡(luò)管理軟件。主要是網(wǎng)絡(luò)掃描，遠(yuǎn)程監(jiān)控和警報(bào)管理。微信警告，支持網(wǎng)絡(luò)管理多個(gè)資產(chǎn)許可證，便于網(wǎng)絡(luò)管理，公司客房內(nèi)多種通信專用線和聯(lián)合線的雙軌連接，確保公司網(wǎng)絡(luò)實(shí)時(shí)正常運(yùn)行，防止專用線路故障導(dǎo)致整個(gè)公司網(wǎng)絡(luò)的癱瘓[4-5]。

3結(jié)束語

近年來，水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速，各企業(yè)紛紛實(shí)施信息化建設(shè)競爭，抓住了智能制造發(fā)展的制高點(diǎn)，信息化是水泥企業(yè)信息化建設(shè)的必由之路，對企業(yè)管理，企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。企業(yè)在改造后，公司網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定，網(wǎng)絡(luò)不會出現(xiàn)由于間斷而影響業(yè)務(wù)和生產(chǎn)，也不會發(fā)生系統(tǒng)或服務(wù)器中毒事件，各信息系統(tǒng)運(yùn)行穩(wěn)定。防火墻和防火墻形成的保護(hù)體系運(yùn)行穩(wěn)定，預(yù)防外部多次的網(wǎng)絡(luò)入侵攻擊和病毒。企業(yè)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)具有良好的擴(kuò)展性和安全性，在企業(yè)實(shí)施不同的信息化項(xiàng)目時(shí)，可以更加便利鮮明地將新系統(tǒng)配置在網(wǎng)絡(luò)結(jié)構(gòu)中，提高系統(tǒng)的線上效率和穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1]楊永恩,張國恒.水泥廠工控及網(wǎng)絡(luò)安全防護(hù)建設(shè)[J].水泥工程,2019(03):56-59.

[2]金世堯,劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風(fēng),2021(13):95-96.

[3]李杺恬,郭翔宇,寧黃江,李世斌.區(qū)塊鏈技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析[J].工業(yè)技術(shù)創(chuàng)新,2021,08(02):37-42.

[4]樊佩茹,李俊,王沖華,張雪瑩,郝志強(qiáng).工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展路徑研究[J].中國工程科學(xué),2021,23(02):56-64.

第5篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

――獲獎(jiǎng)感言

隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工控系統(tǒng)開放的同時(shí)，也減弱了控制系統(tǒng)與外界的隔離，企業(yè)在享受網(wǎng)絡(luò)互連帶來的種種好處的同時(shí)也面臨著各種來源的信息安全威脅，包括病毒、木馬向控制網(wǎng)的擴(kuò)散等。工控系統(tǒng)的安全隱患問題日益嚴(yán)峻。為保證能源和基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，需要建立有針對性的安全防護(hù)體系，創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)。

青島多芬諾信息安全技術(shù)有限公司是加拿大Byres Security Inc中國區(qū)合作伙伴。公司的核心產(chǎn)品多芬諾工業(yè)防火墻旨在全方位地保障工業(yè)控制系統(tǒng)信息安全。產(chǎn)品通過了FM、EX、CE、MUSIC和中國公安部認(rèn)證等工業(yè)安全標(biāo)準(zhǔn)。它在國內(nèi)外均有許多成功案例，用戶包括中石化齊魯石化分公司、中石化上海石化分公司、中石油大慶石化分公司、波音公司Boeing、科斯特全球Cristal Global等。

ANSI/ISA-99標(biāo)準(zhǔn)是目前在工廠信息安全防護(hù)上專家和業(yè)內(nèi)人士普遍認(rèn)可的一個(gè)實(shí)施標(biāo)準(zhǔn)。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案參照國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99對工業(yè)網(wǎng)絡(luò)安全防護(hù)提出的要求，對工業(yè)網(wǎng)絡(luò)安全實(shí)施“縱深防御”策略，即將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內(nèi)容來防御各種內(nèi)部威脅和外部網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)了工業(yè)控制系統(tǒng)信息安全防護(hù)的兩個(gè)目標(biāo)：一是即使網(wǎng)絡(luò)中某一點(diǎn)發(fā)生安全事故，也能保證工廠的正常安全穩(wěn)定運(yùn)行；二是工廠操作人員能及時(shí)準(zhǔn)確地確認(rèn)故障點(diǎn)，并排除問題。

另外由于IT環(huán)境和工控環(huán)境之間存在著一些關(guān)鍵不同，例如，控制系統(tǒng)通常7×24全天候運(yùn)行。因此企業(yè)在沒有全面考慮工控環(huán)境特殊性的情況下，簡單地將IT安全技術(shù)配置到工控系統(tǒng)中并不是高效可行的解決方案，同時(shí)也在另一層面增加了企業(yè)工業(yè)網(wǎng)絡(luò)信息安全隱患。多芬諾更適于工業(yè)控制系統(tǒng)信息安全的防護(hù)，主要表現(xiàn)在：

它內(nèi)置50多種常見工業(yè)通信協(xié)議，基于應(yīng)用層的數(shù)據(jù)包深度檢測，為工業(yè)通信提供全方位的安全保障；組態(tài)簡便，無需停車，支持在線組態(tài)；多芬諾工業(yè)防火墻自身基于非IP的獨(dú)有專利安全連接技術(shù)，同時(shí)能隱藏后端所有設(shè)備的IP地址，讓入侵者無法發(fā)現(xiàn)目標(biāo)，更無從談起發(fā)動(dòng)任何攻擊；集防火墻與虛擬路由與一身，能夠像網(wǎng)絡(luò)警察一樣管控網(wǎng)絡(luò)數(shù)據(jù)通信，同時(shí)具有實(shí)時(shí)網(wǎng)絡(luò)通信透視鏡功能，能實(shí)現(xiàn)對非法通信的實(shí)時(shí)報(bào)警、來源確認(rèn)和歷史記錄，保證對控制網(wǎng)絡(luò)通信的實(shí)時(shí)診斷；特有的“測試”模式允許用戶在真實(shí)工控環(huán)境中對防火墻組態(tài)規(guī)則進(jìn)行測試，在全方位保障工業(yè)網(wǎng)絡(luò)安全的同時(shí)也保證了工控需求的完整性；采用深度數(shù)據(jù)包檢測DPI技術(shù)。

第6篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

【關(guān)鍵詞】電子計(jì)算機(jī) 網(wǎng)絡(luò) 控制軟件 改進(jìn)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)的不斷進(jìn)步，信息技術(shù)飛速發(fā)展，互聯(lián)網(wǎng)的普及與應(yīng)用為人們的生活、學(xué)習(xí)、交流帶來了極大方便，但與此同時(shí)網(wǎng)絡(luò)安全入侵事件卻屢見報(bào)端，如果對于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的控制軟件應(yīng)用不加以改進(jìn)和提升就會使網(wǎng)絡(luò)安全問題更加突出，給網(wǎng)絡(luò)用戶帶來更大的安全隱患，所以，加強(qiáng)網(wǎng)絡(luò)安全，保證網(wǎng)民的正常生活，確保網(wǎng)絡(luò)秩序的正?；蔷W(wǎng)絡(luò)工作者現(xiàn)實(shí)需要面對的非常棘手的問題。

一、相關(guān)概念界定

（一）網(wǎng)絡(luò)控制。所謂網(wǎng)絡(luò)控制，是指通過一系列的通信信道網(wǎng)絡(luò)控制裝置構(gòu)成一個(gè)或多個(gè)閉環(huán)控制，隨著信號處理，優(yōu)化和控制決策函數(shù)的操作功能。網(wǎng)絡(luò)控制系統(tǒng)被應(yīng)用于―系列通信網(wǎng)絡(luò)的不同物理部件之間，進(jìn)行處理系統(tǒng)交換信息和控制分配系統(tǒng)的信號，并且控制器可以被分散在網(wǎng)絡(luò)中的不同位置。

（二）網(wǎng)絡(luò)軟件。網(wǎng)絡(luò)軟件是指，在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，用于支持?jǐn)?shù)據(jù)通信和各種網(wǎng)絡(luò)活動(dòng)的軟件。連接到計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)，通常是基于系統(tǒng)本身的特性，容量和服務(wù)對象，配置不同的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，目的是用戶與其他系統(tǒng)共享網(wǎng)絡(luò)資源，或是把本地系統(tǒng)的功能和資源提供給其他網(wǎng)絡(luò)用戶共享使用。網(wǎng)絡(luò)軟件通常包括網(wǎng)絡(luò)協(xié)議和協(xié)議軟件，網(wǎng)絡(luò)通信軟件，網(wǎng)絡(luò)操作系統(tǒng)軟件，網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)應(yīng)用軟件幾種。

（三）網(wǎng)絡(luò)控制軟件。網(wǎng)絡(luò)控制軟件是網(wǎng)絡(luò)軟件之一，即通過支持該軟件的行為，來提高網(wǎng)絡(luò)的工作效率，是專門為網(wǎng)絡(luò)管理人員設(shè)計(jì)，以幫助網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進(jìn)行自動(dòng)化監(jiān)控和管理，最終達(dá)到減少故障，提高IT效率的目標(biāo)。

二、網(wǎng)絡(luò)控制軟件的應(yīng)用及弊端

網(wǎng)絡(luò)管理軟件應(yīng)用程序的范圍很廣，主要可以分為廣義和狹義兩個(gè)方面。從廣義上來說，任何有網(wǎng)絡(luò)的地點(diǎn)都需要網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理軟件就用在這些領(lǐng)域內(nèi)。從實(shí)際的應(yīng)用來看，電信，銀行，金融等眾多行業(yè)都使用網(wǎng)絡(luò)管理軟件。在狹義的角度來看，網(wǎng)絡(luò)管理軟件有不同的劃分方式。根據(jù)網(wǎng)絡(luò)管理軟件管理的對象來分，它可分為系統(tǒng)管理軟件和設(shè)備管理軟件。系統(tǒng)管理軟件是對全面的整個(gè)網(wǎng)絡(luò)，深入的監(jiān)控和管理的軟件（包括服務(wù)器，網(wǎng)絡(luò)設(shè)備和應(yīng)用程序）；設(shè)備管理軟件是各種網(wǎng)絡(luò)設(shè)備廠商推出的，可以很好地管理他們的網(wǎng)絡(luò)的設(shè)備（如華為設(shè)備管理軟件）。雖然網(wǎng)絡(luò)控制軟件通過網(wǎng)絡(luò)使得人們的工作、學(xué)習(xí)和生活都帶來了巨大的方面，讓網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)可以實(shí)現(xiàn)各種各樣的遠(yuǎn)程操作，但是也同樣存在著弊端，例如由此會產(chǎn)生一些網(wǎng)絡(luò)系統(tǒng)的安全問題；計(jì)算機(jī)運(yùn)行的速度問題；由于網(wǎng)絡(luò)帶寬的問題導(dǎo)致的信息在傳輸過程中的阻塞等現(xiàn)象，這就需要電子計(jì)算機(jī)網(wǎng)絡(luò)工作者加強(qiáng)對網(wǎng)絡(luò)控制軟件的改進(jìn)和完善。

三、電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件改進(jìn)應(yīng)采取的措施

目前，隨著人們對網(wǎng)絡(luò)需求的提高，網(wǎng)絡(luò)規(guī)模急劇擴(kuò)充的現(xiàn)實(shí)已經(jīng)越來越不充分，因此計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的另一趨勢是智能化，集成化的網(wǎng)絡(luò)管理的方發(fā)展方向。

（一）注重對網(wǎng)絡(luò)安全的建設(shè)。我們可以有效地利用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)，對網(wǎng)絡(luò)進(jìn)行安全性測試，如果發(fā)現(xiàn)該系統(tǒng)漏洞和安全風(fēng)險(xiǎn)后，進(jìn)行排除。由于系統(tǒng)本身不可避免的存在一些漏洞，這時(shí)可以使用各種軟件的“補(bǔ)丁”對漏洞進(jìn)行修補(bǔ)，更多的系統(tǒng)軟件服務(wù)，就更容易發(fā)生多的系統(tǒng)漏洞，因此，應(yīng)該要避免運(yùn)行過多的軟件，提高電腦速度，減少漏洞風(fēng)險(xiǎn)，經(jīng)常性的進(jìn)行漏洞掃描，以提升網(wǎng)絡(luò)系統(tǒng)的安全性，有效地保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性。用戶可以通過授權(quán)和其他方法來對數(shù)據(jù)進(jìn)行加密，以此保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性。對系統(tǒng)中的所有數(shù)據(jù)，可以通過現(xiàn)代數(shù)據(jù)加密技術(shù)進(jìn)行保護(hù)，除了指定的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)用戶，沒有人可以解密加密數(shù)據(jù)。加密技術(shù)主要體現(xiàn)在系統(tǒng)運(yùn)營和維護(hù)，以及開發(fā)軟件和應(yīng)用方面，有效的實(shí)了現(xiàn)端到端的網(wǎng)絡(luò)安全保障，是網(wǎng)絡(luò)安全問題最有效和最可靠的解決方案。

（二）優(yōu)化配置。配置應(yīng)用程序?yàn)橛脩籼峁┝藢懺L問的資源，配置應(yīng)用程序可分為以下幾種形式：（1）有關(guān)當(dāng)前資源分配信息?？梢允褂肧NMP來詢問如路由表，接口表，地址表和ARP表等。（2）通過管理協(xié)議更改配置。通過SNMP協(xié)議服務(wù)中的Set服務(wù)來更改配置信息。這里的一個(gè)困難是由于SNMP安全問題，許多制造商不允許寫訪問的資源。這時(shí)可以通過登錄系統(tǒng)進(jìn)行配置。設(shè)備制造商允許用戶登錄到系統(tǒng)中直接更改系統(tǒng)配置工具。

（三）電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制實(shí)現(xiàn)分布式管理。核心分布式對象的目的是解決跨平臺的連接和互動(dòng)的問題，以實(shí)現(xiàn)分布式應(yīng)用系統(tǒng)。分布式網(wǎng)絡(luò)管理是建立多域名管理，域名管理負(fù)責(zé)管理域?qū)ο蟮墓芾磉M(jìn)程的進(jìn)程，同時(shí)進(jìn)程間進(jìn)行協(xié)調(diào)與互動(dòng)，以完成全球網(wǎng)絡(luò)的管理。這不僅降低了在中央網(wǎng)絡(luò)管理的負(fù)荷，并降低了信息傳送的延遲時(shí)間，達(dá)到更有效管理的目的。目前，分布式技術(shù)的研究主要來自兩個(gè)方面：一是使用CORBA技術(shù)的，另一種是利用移動(dòng)技術(shù)。

（四）深入研究和拓展智能網(wǎng)絡(luò)控制系統(tǒng)。智能控制是一類無需人工干預(yù)就能夠通過自主駕駛智能機(jī)實(shí)現(xiàn)其目標(biāo)的過程，是機(jī)器模擬人類智能的一個(gè)重要領(lǐng)域。智能控制，包括學(xué)習(xí)控制系統(tǒng)，分級分級智能控制系統(tǒng)，專家系統(tǒng)，模糊控制和神經(jīng)網(wǎng)絡(luò)控制系統(tǒng)。應(yīng)用智能控制技術(shù)，實(shí)現(xiàn)自動(dòng)控制理論和先進(jìn)的電腦控制系統(tǒng)，將促進(jìn)科學(xué)技術(shù)進(jìn)步和提高工業(yè)生產(chǎn)系統(tǒng)的自動(dòng)化水平，加快計(jì)算機(jī)技術(shù)智能控制的發(fā)展研究方法。

四、結(jié)束語

總之，為了提升計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的性能，必須使其朝著智能化、網(wǎng)絡(luò)化和集成化的方向發(fā)展，并加以改進(jìn)，從而促進(jìn)計(jì)算機(jī)控制系統(tǒng)的發(fā)展進(jìn)程和計(jì)算機(jī)控制系統(tǒng)的應(yīng)用。

參考文獻(xiàn)：

[1] 祁寶婷.電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的改進(jìn)[J].城市建設(shè)理論研究（電子版），2013，（23）.

[2] 張彤.計(jì)算機(jī)網(wǎng)絡(luò)管理軟件的應(yīng)用研究[J].企業(yè)導(dǎo)報(bào)，2012，（10）.

第7篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

【關(guān)鍵詞】火力發(fā)電廠；信息安全體系

前言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展促使網(wǎng)絡(luò)信息管理系統(tǒng)數(shù)據(jù)傳輸效率不斷提升，推動(dòng)了火力發(fā)電企業(yè)數(shù)據(jù)集中處理、數(shù)據(jù)共享、生產(chǎn)自動(dòng)化的進(jìn)程，在發(fā)電廠生產(chǎn)管理過程中信息系統(tǒng)成為必不可少的管理工具，而隨著黑客惡意入侵、網(wǎng)絡(luò)攻擊等現(xiàn)象的頻繁出現(xiàn)對火力發(fā)電廠生產(chǎn)經(jīng)營信息管理系統(tǒng)、生產(chǎn)控制信息系統(tǒng)的信息安全造成了極大的威脅，因此網(wǎng)絡(luò)信息安全體系的構(gòu)建成為現(xiàn)階段火力發(fā)電企業(yè)生產(chǎn)經(jīng)營過程中的重要任務(wù)。

一、火力發(fā)電廠基本情況

火力發(fā)電廠是國家循環(huán)經(jīng)濟(jì)的典型項(xiàng)目之一，其為了進(jìn)一步提高經(jīng)濟(jì)效益，加強(qiáng)了信息化技術(shù)在電力生產(chǎn)管理工作中的應(yīng)用，主要包括發(fā)電設(shè)備網(wǎng)絡(luò)控制系統(tǒng)、管理信息系統(tǒng)，信息技術(shù)在發(fā)電廠生產(chǎn)經(jīng)營管理中的應(yīng)用極大的提高了電力生產(chǎn)與管理的效率，但同時(shí)也為其帶來了一定的安全威脅，如遭遇黑客惡意攻擊會很大程度上影響發(fā)電廠的發(fā)電機(jī)組、經(jīng)營管理系統(tǒng)等方面的正常運(yùn)行，從而影響發(fā)電廠正常的生產(chǎn)經(jīng)營活動(dòng)。

二、火力發(fā)電廠面臨的網(wǎng)絡(luò)安全威脅

火力發(fā)電廠面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括管理信息系統(tǒng)、生產(chǎn)控制系統(tǒng)、設(shè)備設(shè)施控制系統(tǒng)等幾個(gè)方面[1]。其中由于電力生產(chǎn)控制系統(tǒng)主要用于電力生產(chǎn)過程，其雖然具有一定的安全防護(hù)能力，但是其結(jié)構(gòu)、管理、技術(shù)等方面的安全漏洞很容易在受到攻擊夠造成大范圍的用電事故。根據(jù)相應(yīng)的信息管理結(jié)構(gòu)可以從兩個(gè)方面進(jìn)行分析，首先來自該火力發(fā)電廠內(nèi)部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如系統(tǒng)管理工作人對其工作不夠了解，在工作過程中的不規(guī)范行為導(dǎo)致信息管理系統(tǒng)出現(xiàn)故障；另一方面來自該火力發(fā)電廠外部的網(wǎng)絡(luò)安全威脅，主要有外來人員的網(wǎng)絡(luò)病毒入侵、網(wǎng)絡(luò)攻擊等，如在生產(chǎn)控制系統(tǒng)受到攻擊時(shí)會首先導(dǎo)致相應(yīng)的發(fā)電系統(tǒng)發(fā)生跳機(jī)故障，隨之影響整個(gè)發(fā)電系統(tǒng)的正常運(yùn)行。在內(nèi)部與外部兩個(gè)方面的共同作用下，再加上管理制度不夠完善、網(wǎng)絡(luò)缺陷、軟件漏洞等行為通過病毒傳播、偽裝、惡意代碼、非授權(quán)操作、特權(quán)濫用、調(diào)試不強(qiáng)等行為導(dǎo)致電力系統(tǒng)的正常運(yùn)行受到了阻礙，火力發(fā)電廠網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生在影響相應(yīng)發(fā)電機(jī)構(gòu)的經(jīng)濟(jì)效益的同時(shí)，也會影響用戶的正常用電的過程，從而影響社會生產(chǎn)生活的平穩(wěn)進(jìn)行。

三、火力發(fā)電廠信息安全體系的構(gòu)建

1.安裝防火墻。

防火墻的安裝可以提高火力發(fā)電廠整體信息管理系統(tǒng)的防護(hù)性能，其主要是在整體信息網(wǎng)絡(luò)出口進(jìn)行硬件防火墻的安裝，該火力發(fā)電廠可根據(jù)實(shí)際需要選擇性能較高的防火墻，然后在防火墻安轉(zhuǎn)的過程中為了保護(hù)數(shù)據(jù)的穩(wěn)定性，可將該火力發(fā)電廠信息管理系統(tǒng)中的所以數(shù)據(jù)包進(jìn)行關(guān)閉操作，同時(shí)進(jìn)行防火墻包過濾配置的設(shè)計(jì)，如未經(jīng)許可不允許其他IP越過防火墻進(jìn)入該火力發(fā)電廠信息管理系統(tǒng)內(nèi)部，提高該火力發(fā)電廠信息管理的安全性。此外為了保證不同信息管理系統(tǒng)的獨(dú)立性，可建立相應(yīng)的安全控制點(diǎn)，如在生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)之間設(shè)置一個(gè)安全控制點(diǎn)通過相應(yīng)的指令對進(jìn)入或者流出內(nèi)部網(wǎng)絡(luò)服務(wù)進(jìn)行控制，如拒絕、重新定向、允許等[2]。通過相應(yīng)指令的控制提高管理信息系統(tǒng)的安全性，降低安全風(fēng)險(xiǎn)對火力發(fā)電廠生產(chǎn)管理信息系統(tǒng)的安全威脅。

2.建立相關(guān)防護(hù)系統(tǒng)。

為了進(jìn)一步維持火力發(fā)電廠信息系統(tǒng)管理的可靠性、先進(jìn)性及實(shí)用性，可依據(jù)《信息系統(tǒng)-布線標(biāo)準(zhǔn)》等技術(shù)規(guī)范進(jìn)行相關(guān)防護(hù)系統(tǒng)的構(gòu)建，然后根據(jù)信息系統(tǒng)的整體布局，可設(shè)計(jì)從音頻信號集中控制傳輸，并在特殊情況下將系統(tǒng)內(nèi)部的揚(yáng)聲器設(shè)置為語音廣播模式，促使網(wǎng)絡(luò)信息安全事故可以及時(shí)發(fā)現(xiàn)處理，減低人員誤操作為整體信息系統(tǒng)造成的安全威脅。而在數(shù)據(jù)的傳輸過程中可利用計(jì)算機(jī)信息系統(tǒng)進(jìn)行全數(shù)字化傳輸模式，且在其配置安裝時(shí)應(yīng)不采用網(wǎng)線、光纖裝換器等網(wǎng)絡(luò)設(shè)備的應(yīng)用。為了保證安全防護(hù)系統(tǒng)的穩(wěn)定運(yùn)行，可設(shè)置視頻監(jiān)控中心為主控制機(jī)構(gòu)，然后在相應(yīng)管理人員的辦公室內(nèi)部進(jìn)行分控制機(jī)構(gòu)的設(shè)置，如IP網(wǎng)絡(luò)尋呼話筒等。

此外，由于火力發(fā)電廠信息管理區(qū)域的區(qū)別，可根據(jù)具體需求的區(qū)別進(jìn)行生產(chǎn)管理信息防護(hù)系統(tǒng)的分區(qū)設(shè)置，結(jié)合機(jī)架式IP網(wǎng)絡(luò)系統(tǒng)，促使相關(guān)防護(hù)系統(tǒng)在火力信息系統(tǒng)管理維護(hù)中發(fā)揮最大的效能。發(fā)電廠管理人員需提高對相關(guān)防護(hù)系統(tǒng)的關(guān)注力度，然后加強(qiáng)科學(xué)技術(shù)在相應(yīng)防護(hù)系統(tǒng)中的應(yīng)用，在這個(gè)前提下，可將企業(yè)實(shí)時(shí)防護(hù)系統(tǒng)安置在火力發(fā)電廠網(wǎng)絡(luò)系統(tǒng)的出入口處，同時(shí)在核心的交換機(jī)上也加設(shè)企業(yè)實(shí)時(shí)防護(hù)系統(tǒng)，促使火力發(fā)電廠網(wǎng)絡(luò)信息管理系統(tǒng)風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)、處理。

3.完善信息安全組織體系。

完善的信息安全組織體系是信息安全體系順利運(yùn)行的前提，首先可根據(jù)發(fā)電廠實(shí)際管理結(jié)構(gòu)組織專門的人員建立信息安全管理組織，并在相應(yīng)的部門建立相應(yīng)的管理小組，然后可采用分級負(fù)責(zé)機(jī)制進(jìn)一步細(xì)化各信息管理人員的工作職責(zé)，并依據(jù)制定規(guī)范的信息安全管理要求，進(jìn)行嚴(yán)格的管理，組織專門的人員進(jìn)行信息安全管理工作的監(jiān)督審查，同時(shí)為了促使該火力發(fā)電廠內(nèi)部人力資源的更充分的應(yīng)用，可要求各業(yè)務(wù)機(jī)構(gòu)的人員兼任網(wǎng)絡(luò)信息管理監(jiān)督人員，促使整個(gè)廠區(qū)內(nèi)部形成全方位的信息安全管理，促使信息安全管理體系切實(shí)提高該火力發(fā)電廠信息管理系統(tǒng)的安全性。

4.系統(tǒng)安全分區(qū)防護(hù)。

系統(tǒng)安全分區(qū)防護(hù)主要在橫向隔離、縱向認(rèn)證、網(wǎng)絡(luò)專用、安全分區(qū)的指導(dǎo)下進(jìn)行相應(yīng)的實(shí)施措施，[2]然后根據(jù)實(shí)際生產(chǎn)經(jīng)營狀況及電力信息系統(tǒng)安全分區(qū)工作規(guī)范系統(tǒng)制定安全分區(qū)方案，可根據(jù)信息管理系統(tǒng)應(yīng)用性能的區(qū)別對其進(jìn)行安全等級的劃分，并采取相應(yīng)的區(qū)域的安全防護(hù)措施，一般來說可將安全防護(hù)工作的重點(diǎn)放在實(shí)時(shí)控制區(qū)域，如生產(chǎn)控制系統(tǒng)、設(shè)備設(shè)施監(jiān)控系統(tǒng)等，而安全防護(hù)等級較弱的為二級控制區(qū)域，如管理信息系統(tǒng)等。脫硝控制系統(tǒng)、化水控制系統(tǒng)、生產(chǎn)信息管理系統(tǒng)、輔助控制體系等安全防護(hù)一級區(qū)域的防護(hù)主要可在物理單向隔離裝置安裝的基礎(chǔ)上，對數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)度，并將其與廠區(qū)內(nèi)部的實(shí)時(shí)控制系統(tǒng)進(jìn)行有機(jī)整合，如在管理信息系統(tǒng)、生產(chǎn)控制系統(tǒng)間依據(jù)相應(yīng)工作需求進(jìn)行電力橫向單向安全隔離裝置的設(shè)計(jì)安裝，而在管理信息系統(tǒng)內(nèi)部也可以進(jìn)行安全分區(qū)措施，如根據(jù)設(shè)備、設(shè)施的功能、類型的區(qū)別對其訪問權(quán)限進(jìn)行一定的控制。此外在一級安全防護(hù)區(qū)域還具有自動(dòng)電壓控制系統(tǒng)、遠(yuǎn)程終端單元系統(tǒng)等各級管理系統(tǒng)，而機(jī)組錄波、故障信息處理、線路母線錄波、電力采集等在二級安全區(qū)域，為了保證系統(tǒng)安全分區(qū)信息處理的及時(shí)性，可采用縱向虛擬專用網(wǎng)絡(luò)進(jìn)行兩者的連接，并采取加密認(rèn)證措施。

四、總結(jié)

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力生產(chǎn)管理中發(fā)揮著越來越重要的作用，提高電力生產(chǎn)管理效率的同時(shí)，也為電力生產(chǎn)管理信息管理帶來了一定的安全隱患，因此電力企業(yè)管理人員應(yīng)提高對安全信息的重視，對威脅自身發(fā)展的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析，然后采取防火墻安裝、相關(guān)防護(hù)系統(tǒng)構(gòu)建、安全信息組織體系、系統(tǒng)安全分區(qū)防護(hù)工作等措施，保障電力生產(chǎn)經(jīng)營過程中信息安全，推動(dòng)電力企業(yè)更加穩(wěn)定、安全的發(fā)展。

作者：關(guān)東祥

    參考文獻(xiàn)： 

第8篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

關(guān)鍵詞可控網(wǎng)絡(luò)系統(tǒng)；控制中心；身份認(rèn)證；訪問控制；邊界控制

中圖分類號 TP393 DOI：10．3969／j．issn．1672－9722．2016．03．021

1引言

隨著網(wǎng)絡(luò)規(guī)模的不斷增加、網(wǎng)絡(luò)設(shè)備的多樣化和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的復(fù)雜度不斷增加，對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，傳統(tǒng)的網(wǎng)絡(luò)管理已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的變化。針對當(dāng)前網(wǎng)絡(luò)中的安全威脅，為了解決傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)功能單一，被動(dòng)防護(hù)的問題，可控網(wǎng)絡(luò)理論的研究逐漸興起。可控網(wǎng)絡(luò)理論是以網(wǎng)絡(luò)控制論為核心理論，是以實(shí)現(xiàn)網(wǎng)絡(luò)安全性為控制目標(biāo)的網(wǎng)絡(luò)安全控制理論［1］。接入控制是對節(jié)點(diǎn)接入網(wǎng)絡(luò)及節(jié)點(diǎn)的訪問權(quán)限進(jìn)行控制，是信息網(wǎng)絡(luò)安全的基礎(chǔ)。因此，對可控網(wǎng)絡(luò)中的接入控制進(jìn)行研究，實(shí)現(xiàn)對網(wǎng)絡(luò)節(jié)點(diǎn)的接入功能動(dòng)態(tài)可控，對增強(qiáng)網(wǎng)絡(luò)的安全性具有重要意義。

2可控網(wǎng)絡(luò)中的接入控制系統(tǒng)

2．1相關(guān)理論知識

可控網(wǎng)絡(luò)理論是在網(wǎng)絡(luò)控制論的指導(dǎo)下的各種有關(guān)網(wǎng)絡(luò)安全控制的理論，它以解決網(wǎng)絡(luò)安全問題為著眼點(diǎn)，以網(wǎng)絡(luò)安全性能為目標(biāo)，整合集成現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)，構(gòu)建高效的、科學(xué)合理的網(wǎng)絡(luò)安全控制體系［2］?；诳煽鼐W(wǎng)絡(luò)理論，通過反饋控制，實(shí)現(xiàn)網(wǎng)絡(luò)安全性指標(biāo)的網(wǎng)絡(luò)系統(tǒng)，稱為可控網(wǎng)絡(luò)系統(tǒng)。可控網(wǎng)絡(luò)系統(tǒng)的顯著特點(diǎn)是通過施加一定的作用，使得網(wǎng)絡(luò)的狀態(tài)和行為在能夠預(yù)期和把握的范圍內(nèi)。為了實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)必須具有對用戶行為高度的控制和管理能力，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)行為狀態(tài)的監(jiān)測、網(wǎng)絡(luò)行為結(jié)果的評估和網(wǎng)絡(luò)異常行為的控制，形成對網(wǎng)絡(luò)行為的反饋閉環(huán)控制，提高網(wǎng)絡(luò)安全防護(hù)能力［3］。接入控制是可控網(wǎng)絡(luò)安全的第一道防線，包括邊界控制、身份認(rèn)證和訪問控制三個(gè)方面。通過邊界控制實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)（以下簡稱內(nèi)網(wǎng)）與外部網(wǎng)絡(luò)（以下簡稱外網(wǎng)）通信的管控以及對內(nèi)網(wǎng)接入終端的控制，防止外網(wǎng)非法用戶訪問內(nèi)網(wǎng)、內(nèi)網(wǎng)用戶訪問非授權(quán)資源以及非法終端接入內(nèi)網(wǎng)；通過身份認(rèn)證，檢查用戶身份是否真實(shí)可信，防止非法人員違規(guī)操作獲得不當(dāng)利益；通過訪問控制設(shè)計(jì)不同力度的訪問控制策略，對進(jìn)入可控網(wǎng)絡(luò)中的用戶的資源訪問權(quán)限進(jìn)行監(jiān)督和限制。三者之間功能相輔相成能夠有效地杜絕外界網(wǎng)絡(luò)的安全入侵、非法用戶的違規(guī)操作和合法用戶的越權(quán)操作，確保了網(wǎng)絡(luò)的安全性。

2．2接入控制系統(tǒng)的組成與功能

接入控制主要由安全控制中心、交換傳輸設(shè)備、互連網(wǎng)資源以及主機(jī)組成，如圖1所示。安全控制中心是可控網(wǎng)絡(luò)的核心，主要由日志審計(jì)服務(wù)器、大數(shù)據(jù)分析服務(wù)器、邊界控制服務(wù)器、身份認(rèn)證服務(wù)器、訪問控制管理模塊以及各種相應(yīng)功能的服務(wù)器組成，其主要功能是對接入控制中的異常認(rèn)證行為和訪問行為進(jìn)行動(dòng)態(tài)、實(shí)時(shí)管控，確保系統(tǒng)的安全性與穩(wěn)定性。邊界控制服務(wù)通過設(shè)置相應(yīng)的過濾規(guī)則對訪問內(nèi)網(wǎng)的用戶及通信數(shù)據(jù)進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)網(wǎng)中存在安全漏洞的網(wǎng)絡(luò)服務(wù)的目的，同時(shí)實(shí)施安全策略對網(wǎng)絡(luò)通信進(jìn)行訪問控制、防止內(nèi)部網(wǎng)信息暴露；同時(shí)能夠限制內(nèi)網(wǎng)中的用戶對外網(wǎng)的非授權(quán)訪問。通過設(shè)定交換機(jī)端口、綁定網(wǎng)卡MAC地址和IP地址等手段對接入子網(wǎng)的終端進(jìn)行限定，以此來限定內(nèi)網(wǎng)的邊界。身份認(rèn)證服務(wù)通過相應(yīng)的認(rèn)證協(xié)議對可控網(wǎng)絡(luò)中的用戶進(jìn)行身份的鑒別，從而確保非法用戶被拒絕于應(yīng)用服務(wù)之外。身份認(rèn)證的本質(zhì)是被驗(yàn)證者與驗(yàn)證者之間執(zhí)行多次信息協(xié)商后，由驗(yàn)證者確認(rèn)被驗(yàn)證者的身份是否真實(shí)可信，防止非法人員違規(guī)操作獲得不當(dāng)利益。訪問控制服務(wù)通過相應(yīng)的訪問控制策略對網(wǎng)絡(luò)中通過認(rèn)證用戶的訪問權(quán)限進(jìn)行判定，從而解決內(nèi)部合法用戶的安全威脅，作為可控網(wǎng)絡(luò)的第二道防線，訪問控制主要解決“合法用戶在系統(tǒng)中對各類資源以何種權(quán)限訪問”的問題。

3接入控制結(jié)構(gòu)

可控網(wǎng)絡(luò)系統(tǒng)一般包括施控部分、被控部分、控制單元及反饋單元四部分。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)接入可控網(wǎng)絡(luò)系統(tǒng)進(jìn)行資源訪問時(shí)，節(jié)點(diǎn)的接入請求會受到外界信息的干擾，主要是非法分子的攻擊和系統(tǒng)入侵；同時(shí)節(jié)點(diǎn)訪問網(wǎng)絡(luò)資源時(shí)，也會受到擾動(dòng)，主要為內(nèi)部安全威脅。通過對網(wǎng)絡(luò)異常行為進(jìn)行分析將結(jié)果通過反饋單元傳給控制者和控制子網(wǎng)，控制者和控制子網(wǎng)針對異常行為通過控制單元實(shí)施網(wǎng)絡(luò)主動(dòng)防御控制，從而形成網(wǎng)絡(luò)控制閉環(huán)，達(dá)到主動(dòng)防御控制目的［4］?？煽鼐W(wǎng)絡(luò)中的接入控制系統(tǒng)主要由信息采集節(jié)點(diǎn)、中間控制節(jié)點(diǎn)和安全控制中心組成，具體如圖2所示。施控部分的主要功能是根據(jù)反饋回路中的反饋信息對網(wǎng)絡(luò)中的異常行為進(jìn)行分析、處理，并實(shí)施調(diào)控。在接入控制系統(tǒng)中，安全控制中心屬于施控部分?？刂浦行耐ㄟ^大數(shù)據(jù)分析、日志審計(jì)及入侵檢查等服務(wù)器對終端的接入控制行為進(jìn)行分析、判斷，并將處理結(jié)果通過控制回路發(fā)送給被控部分。被控部分的主要功能是將網(wǎng)絡(luò)中的行為通過反饋單元發(fā)送給施控部分，并根據(jù)控制單元的控制信息對異常行為進(jìn)行處理。在接入控制中，信息采集節(jié)點(diǎn)及網(wǎng)絡(luò)資源與行為屬于被控部分。信息采集節(jié)點(diǎn)將終端的接入控制行為通過安全接口反饋給控制中心，并根據(jù)控制單元的處理信息進(jìn)行相應(yīng)的響應(yīng)。控制單元的主要功能是對控制信息進(jìn)行傳輸，同時(shí)對網(wǎng)絡(luò)異常行為進(jìn)行處理，使得網(wǎng)絡(luò)系統(tǒng)向安全可控狀態(tài)轉(zhuǎn)變?？刂茊卧ǜ鞣N控制作用和控制通道?？刂谱饔迷谀撤N意義上可以說是按一定目標(biāo)對受控系統(tǒng)在狀態(tài)空間中的各種可能狀態(tài)進(jìn)行選擇，使系統(tǒng)的運(yùn)動(dòng)達(dá)到或趨近這些被選擇的狀態(tài)［5］。因此，沒有選擇的目標(biāo)就沒有控制?？刂仆ǖ朗强刂菩畔⒌靡粤魍ǖ母鞣N控制結(jié)構(gòu)、控制方式和傳輸介質(zhì)的組合，它可以是物理的組合，也可以是邏輯的組合。在控制通道上，控制信息從施控部分傳遞到被控部分，屬于前向通道。反饋單元的主要功能是針對一定目標(biāo)對受控系統(tǒng)的狀態(tài)進(jìn)行監(jiān)測、分析和報(bào)告，使施控系統(tǒng)能夠及時(shí)做出響應(yīng)。接入控制系統(tǒng)在反饋?zhàn)饔玫挠绊懴?，能夠監(jiān)視系統(tǒng)處于何種狀態(tài)。反饋單元包括反饋?zhàn)饔煤头答佂ǖ?。反饋通道由各種信息采集和分析設(shè)備、信息反饋和決策系統(tǒng)等組成。在反饋通道上，反饋信息從被控部分傳遞到施控部分，屬于反向通道。

4接入控制的工作過程

接入控制要經(jīng)過邊界控制、身份認(rèn)證和訪問控制三道流程后，才能確定用戶能否訪問應(yīng)用資源，具體流程如圖3所示。當(dāng)用戶提出訪問請求后，首先要判斷訪問請求來自內(nèi)網(wǎng)用戶還是外網(wǎng)用戶。當(dāng)訪問請求來自內(nèi)網(wǎng)用戶時(shí)，首先判斷用戶訪問的資源是否為外網(wǎng)資源；若為外網(wǎng)資源，則邊界控制服務(wù)器根據(jù)過濾規(guī)則庫判斷該請求能否通過，用戶是否具有訪問外網(wǎng)的權(quán)限；若為內(nèi)網(wǎng)資源，身份認(rèn)證服務(wù)器根據(jù)認(rèn)證規(guī)則庫進(jìn)行用戶身份認(rèn)證，判斷用戶是否合法；用戶通過身份認(rèn)證后進(jìn)入應(yīng)用系統(tǒng)，訪問控制器根據(jù)訪問控制策略庫進(jìn)行訪問權(quán)限控制，判斷用戶是否具有訪問資源的權(quán)限。當(dāng)訪問請求來自外網(wǎng)用戶時(shí)，則邊界控制服務(wù)器根據(jù)過濾規(guī)則庫判斷該請求能否通過，用戶是否具有訪問內(nèi)網(wǎng)的權(quán)限；當(dāng)用戶通過邊界控制服務(wù)器認(rèn)證后進(jìn)入內(nèi)網(wǎng)，身份認(rèn)證服務(wù)器根據(jù)認(rèn)證規(guī)則庫進(jìn)行用戶身份認(rèn)證，判斷用戶是否合法；用戶通過身份認(rèn)證后進(jìn)入應(yīng)用系統(tǒng)，訪問控制器根據(jù)訪問控制策略庫進(jìn)行訪問權(quán)限控制，判斷用戶是否具有訪問資源的權(quán)限；只有當(dāng)所有的接入控制都通過后，用戶才能進(jìn)行應(yīng)用資源的訪問。當(dāng)接入控制某個(gè)環(huán)節(jié)出現(xiàn)問題時(shí)，安全控制中心會根據(jù)反饋單元的信息對異常行進(jìn)行分析和處理，并通過控制單元對相應(yīng)節(jié)點(diǎn)進(jìn)行調(diào)控［6］。

5接入控制模型

5．1身份認(rèn)證模型

身份認(rèn)證模型一般由用戶、認(rèn)證服務(wù)器、控制中心以及數(shù)據(jù)庫存服務(wù)器組成，如圖4所示。身份認(rèn)證模型一般包括注冊與認(rèn)證兩個(gè)階段。注冊階段主要完成用戶與認(rèn)證服務(wù)器身份標(biāo)識的選擇、密鑰的分發(fā)（針對基于密鑰的身份認(rèn)證）。用戶將能夠證明自己身份的信息，通過加密等手段傳遞給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器將用戶注冊信息存儲在數(shù)據(jù)庫存服務(wù)器中用于下步的認(rèn)證，并將注冊結(jié)果返回給用戶。認(rèn)證階段主要完成用戶與認(rèn)證服務(wù)器之間的身份認(rèn)證［7］。用戶和服務(wù)器根據(jù)注冊信息以及采用的身份認(rèn)證協(xié)議進(jìn)行單向或雙向的身份認(rèn)證?？刂浦行耐ㄟ^反饋通道采集用戶身份認(rèn)證行為，并通過大數(shù)據(jù)分析對異常身份認(rèn)證行為進(jìn)行分析處理，通過控制通道將處理結(jié)果通過控制通道傳遞給身份認(rèn)證服務(wù)器。綜述所述，身份認(rèn)證的結(jié)構(gòu)控制如圖5所示。當(dāng)受控對象根據(jù)認(rèn)證協(xié)議和認(rèn)證信息執(zhí)行身份認(rèn)證服務(wù)時(shí)，控制單元能夠采集受控對象信息以及認(rèn)證服務(wù)，通過控制中心進(jìn)行大數(shù)據(jù)分析后，將控制結(jié)果通過控制回路反饋給受控對象，同時(shí)將控制信息反饋給執(zhí)行單元，執(zhí)行單元根據(jù)控制信息和認(rèn)證協(xié)議進(jìn)行認(rèn)證服務(wù)處理，完成認(rèn)證回路。

5．2訪問控制模型

訪問控制模型一般由主體、客體、控制中心、訪問控制器以及規(guī)則數(shù)據(jù)庫組成，如圖6所示。訪問控制器包括執(zhí)行部件和授權(quán)部件兩大部分［8］。執(zhí)行部件根據(jù)訪問規(guī)則和授權(quán)關(guān)系實(shí)現(xiàn)對主體訪問客體的控制，它要驗(yàn)證訪問的有效性和合法性，記錄訪問事件，杜絕非法訪問；授權(quán)部件根據(jù)控制策略選擇訪問控制類型，根據(jù)不同的控制類型與方式建立和維護(hù)訪問規(guī)則和授權(quán)關(guān)系，包括能力表、訪問表等，并將它們保存在數(shù)據(jù)庫中。主體不能繞過訪問控制器直接存取客體。主體在必要的時(shí)候，可攜帶訪問令牌，該令牌由授權(quán)部件核發(fā)，并經(jīng)過完整性、真實(shí)性保護(hù)，提交訪問請求時(shí)，它由執(zhí)行部件驗(yàn)證。一般情況下，訪問令牌具有時(shí)效性?？刂浦行耐ㄟ^反饋通道采集用戶訪問行為，并通過大數(shù)據(jù)分析對異常訪問行為進(jìn)行分析處理，通過控制通道將處理結(jié)果通過控制通道傳遞給訪問控制器。綜上所述，訪問控制的控制結(jié)構(gòu)如圖7所示。訪問控制器的授權(quán)部件屬于控制單元，它根據(jù)系統(tǒng)的控制策略、主體的訪問請求和被控對象的信息，針對不同的控制方式形成訪問能力表（針對自主訪問控制下的主體）、訪問控制表（針對自主訪問控制下的客體）和訪問控制規(guī)則（針對強(qiáng)制訪問控制與基于角色的訪問控制），并傳遞給作為執(zhí)行單元的執(zhí)行部件執(zhí)行。同時(shí)，控制單元還可建立被控對象的安全標(biāo)記（用于強(qiáng)制訪問控制），也可根據(jù)主體的訪問請求核發(fā)訪問令牌，這些控制信息均屬于前饋控制信息流。在具體執(zhí)行訪問控制時(shí)，受控對象向執(zhí)行單元提交安全標(biāo)記或訪問令牌，執(zhí)行單元根據(jù)訪問控制表或控制規(guī)則實(shí)施具體的訪問控制，并將訪問事件記錄在案，反饋給控制單元?？腕w所在系統(tǒng)的日志信息也會被反饋給控制單元，由控制單元根據(jù)反饋信息做出訪問權(quán)限的調(diào)整［9］。

5．3邊界控制模型

邊界控制可以分為外網(wǎng)邊界控制和內(nèi)網(wǎng)邊界控制。外網(wǎng)邊界控制通常作用于內(nèi)網(wǎng)與外網(wǎng)之間，明確哪些數(shù)據(jù)包能夠離開或者進(jìn)入內(nèi)網(wǎng)，防止其到達(dá)目的主機(jī)［10］。內(nèi)網(wǎng)邊界控制主要作用于內(nèi)網(wǎng)終端上，明確哪些終端能夠接入內(nèi)網(wǎng)，防止未授權(quán)終端接入內(nèi)網(wǎng)。外網(wǎng)邊界控制模型一般由內(nèi)網(wǎng)、外網(wǎng)、控制中心、邊界控制服務(wù)和相應(yīng)的過濾規(guī)則組成，如圖8所示。邊界控制服務(wù)器根據(jù)需求設(shè)置相應(yīng)的過濾規(guī)則，進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包應(yīng)根據(jù)規(guī)則進(jìn)行相應(yīng)判斷，符合過濾規(guī)則的數(shù)據(jù)才能進(jìn)行轉(zhuǎn)發(fā)?？刂浦行耐ㄟ^反饋通道采集用戶邊界服務(wù)行為，并通過大數(shù)據(jù)分析對異常邊界服務(wù)行為進(jìn)行分析處理，通過控制通道將處理結(jié)果通過控制通道傳遞給邊界控制器。邊界控制器中的執(zhí)行部件根據(jù)過濾規(guī)則和控制信息實(shí)現(xiàn)對內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)通信的控制。綜上所述，外網(wǎng)邊界控制的控制結(jié)構(gòu)如圖9所示。當(dāng)受控對象根據(jù)過濾規(guī)則執(zhí)行外網(wǎng)邊界控制服務(wù)時(shí)，控制單元能夠采集受控對象信息以及邊界服務(wù)，通過控制中心進(jìn)行大數(shù)據(jù)分析后，將控制結(jié)果通過控制回路反饋給受控對象，同時(shí)將控制信息反饋給執(zhí)行單元，執(zhí)行單元根據(jù)控制信息和過濾規(guī)則進(jìn)行邊界服務(wù)處理，完成邊界控制回路。內(nèi)網(wǎng)邊界控制主要作用于用戶終端。邊界控制服務(wù)器根據(jù)交換機(jī)端口、終端IP地址以及MAC地址對用戶終端接入內(nèi)網(wǎng)權(quán)限進(jìn)行判定?？刂浦行耐ㄟ^反饋通道能夠采集終端接入子網(wǎng)的接入行為，并進(jìn)行大數(shù)據(jù)分析和風(fēng)險(xiǎn)評估，邊界控制服務(wù)器根據(jù)自身設(shè)定的規(guī)則和控制中心處理結(jié)果對終端接入子網(wǎng)的行為進(jìn)行控制。

6結(jié)語

第9篇：控制系統(tǒng)網(wǎng)絡(luò)安全范文

關(guān)鍵詞：計(jì)算機(jī)安全；網(wǎng)絡(luò)安全；計(jì)算機(jī)管理；安全防護(hù)體系；工業(yè)控制系統(tǒng)

中圖分類號：TP393.08

企業(yè)的計(jì)算機(jī)技術(shù)迅猛發(fā)展，計(jì)算機(jī)在生產(chǎn)中發(fā)揮著越來越重要的作用，同時(shí)，計(jì)算機(jī)安全面臨前所未有的威脅，普通的網(wǎng)絡(luò)連通是無法滿足要求的，針對企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方面存在的缺陷，簡單的技術(shù)防范措施已無法解決。必須采用先進(jìn)的技術(shù)、加強(qiáng)先進(jìn)設(shè)施和有效的計(jì)算機(jī)安全技術(shù)手段，形成保證計(jì)算機(jī)信息安全的各項(xiàng)防護(hù)措施，只有這樣，才能提高企業(yè)的生產(chǎn)效率，保證企業(yè)的快速發(fā)展。

1建立計(jì)算機(jī)網(wǎng)絡(luò)安全架構(gòu)

計(jì)算機(jī)信息安全架構(gòu)必須按照計(jì)算機(jī)安全防護(hù)措施體系建立，但僅依靠技術(shù)的防范是保證不了信息的安全，只有根據(jù)計(jì)算機(jī)安全的自身特點(diǎn)，建立先進(jìn)的計(jì)算機(jī)安全運(yùn)行機(jī)制，完善企業(yè)計(jì)算機(jī)安全技術(shù)和管理機(jī)制，才能從技術(shù)和管理上保證企業(yè)計(jì)算機(jī)信息安全。

1.1計(jì)算機(jī)安全防護(hù)關(guān)鍵技術(shù)

由操作系統(tǒng)安全技術(shù)、防火墻（Firewall）、入侵檢測技術(shù)、應(yīng)用系統(tǒng)安全技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、漏洞掃描技術(shù)、虛擬局域網(wǎng)（VLAN）和電磁泄漏發(fā)射防護(hù)技術(shù)等構(gòu)成了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

1.2企業(yè)計(jì)算機(jī)安全防護(hù)措施

企業(yè)計(jì)算機(jī)安全防護(hù)措施是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證技術(shù)、計(jì)算機(jī)防病毒及電磁泄漏發(fā)射防護(hù)等多個(gè)安全組件共同組成的，每個(gè)組件只能完成其中部分功能。

（1）操作系統(tǒng)安全。Windows操作系統(tǒng)的安全由以下內(nèi)容：

1）Windows的密碼系統(tǒng)。使用安全帳戶管理器，建立系統(tǒng)用戶名和密碼。

2）Windows操作系統(tǒng)安全配置。有選擇地安裝組件，關(guān)閉危險(xiǎn)的服務(wù)和端口，正確的設(shè)置和管理賬戶，正確的設(shè)置目錄和文件權(quán)限，設(shè)置文件訪問權(quán)限，禁止建立空連接。

3）Windows系統(tǒng)更新和日常維護(hù)。通過本地安全策略中的Windows組件服務(wù)，設(shè)定Windows系統(tǒng)更新時(shí)間、更新源以及相關(guān)信息，建立補(bǔ)丁分布服務(wù)器器系統(tǒng) WSUS （Windows Server Up Services）實(shí)現(xiàn)操作系統(tǒng)的升級服務(wù)。Windows操作系統(tǒng)是一個(gè)非常開放，同時(shí)非常脆弱的系統(tǒng)，需用維護(hù)人員定期和日常維護(hù)。

（2）應(yīng)用系統(tǒng)安全技術(shù)。應(yīng)用系統(tǒng)是信息系統(tǒng)重要組成部分，目前，針對應(yīng)用系統(tǒng)B/S架構(gòu)建立應(yīng)用系統(tǒng)的數(shù)據(jù)庫防護(hù)措施，如：數(shù)據(jù)庫加密、數(shù)據(jù)庫安全配置，這樣才能避免因受攻擊而導(dǎo)致數(shù)據(jù)破壞或丟失。

（3）防火墻。防火墻主要用于提供計(jì)算機(jī)網(wǎng)絡(luò)邊界防護(hù)和構(gòu)建安全域，可防止“非法用戶”進(jìn)入網(wǎng)絡(luò)，可以限制外部用戶進(jìn)入內(nèi)部網(wǎng)，同時(shí)過濾掉危及網(wǎng)絡(luò)的不安全服務(wù)，拒絕非法用戶的進(jìn)入。同時(shí)可利用其產(chǎn)品的安全機(jī)制建立VPN（Virtual Private Networks）。通過VPN，能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。但防火墻的防護(hù)是有限的需要配合其他安全措施來協(xié)同防范。

（4）入侵檢測系統(tǒng)（IDS/Intrasion Detection System）。入侵檢測系統(tǒng)是一種計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)入侵者試圖通過各種途徑進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，它能夠檢測出來，進(jìn)行報(bào)警，采取相應(yīng)措施進(jìn)行響應(yīng)。它的功能和防火墻有很大的區(qū)別，它是防火墻的合理補(bǔ)充，幫助識別防火墻通常不能識別的攻擊，提高信息系統(tǒng)基礎(chǔ)結(jié)構(gòu)的完整性。其主要功能有：監(jiān)控并分析用戶和系統(tǒng)的活動(dòng)、異常行為模式的統(tǒng)計(jì)分析、對操作系統(tǒng)的校驗(yàn)管理、檢查系統(tǒng)配置和漏洞、識別已知攻擊的活動(dòng)模式等。入侵檢測系統(tǒng)是作為一種主動(dòng)的安全防護(hù)技術(shù)，通過技術(shù)手段，進(jìn)行實(shí)時(shí)的入侵檢測和事后的完整性分析。

（5）漏洞掃描系統(tǒng)。通過漏洞掃描軟件對漏洞進(jìn)行預(yù)警，發(fā)現(xiàn)漏洞進(jìn)行相應(yīng)修復(fù)。

（6）計(jì)算機(jī)防病毒系統(tǒng)。近年來，計(jì)算機(jī)病毒通過多種途徑進(jìn)入企業(yè)計(jì)算機(jī)，因此，企業(yè)計(jì)算機(jī)的防病毒工作形式日益嚴(yán)峻，針對計(jì)算機(jī)病毒的威脅，建立防病毒系統(tǒng)的防護(hù)策略，定期進(jìn)行病毒庫升級、查殺，有效地控制病毒的傳播，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定。

（7）電磁泄漏發(fā)射防護(hù)。為了保證計(jì)算機(jī)信息安全必須建立電磁泄漏發(fā)射防護(hù)措施，確保計(jì)算機(jī)設(shè)備不被具有無線發(fā)射與接受功能的設(shè)備如：手機(jī)、無線網(wǎng)絡(luò)裝置等侵入。

（8）路由器和交換機(jī)。路由器和交換機(jī)是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)設(shè)備，路由器是黑客通過互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)首要攻擊的目標(biāo)，因此路由器必須在技術(shù)上安裝必要的安全規(guī)則，濾掉安全隱患的IP 地址和服務(wù)。例如：首先屏蔽所有的IP 地址，然后有選擇地允許打開一些地址進(jìn)入網(wǎng)絡(luò)。路由器也可以過濾服務(wù)協(xié)議，放行需要的協(xié)議通過，而過濾掉其他有安全隱患的協(xié)議。目前企業(yè)內(nèi)部網(wǎng)大多采用以三層網(wǎng)絡(luò)為中心、路由器為邊界的內(nèi)部網(wǎng)絡(luò)格局。對于交換機(jī)，按規(guī)模一般大型網(wǎng)絡(luò)分為核心、匯聚、接入；中小型分為核心和接入架構(gòu)。核心交換機(jī)最關(guān)鍵的工作是訪問控制功能。訪問控制就是交換機(jī)就是利用訪問控制列表ACL對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行過濾和篩選。此外，為實(shí)現(xiàn)網(wǎng)絡(luò)安全的運(yùn)行通常采用一項(xiàng)非常關(guān)鍵的工作就是劃分虛擬局域網(wǎng)（VLAN），通過使用網(wǎng)絡(luò)交換機(jī)管理軟件，對交換機(jī)進(jìn)行配置完成，有利于計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)。

（9）身份認(rèn)證系統(tǒng)。通常為了能夠更好地保護(hù)應(yīng)用服務(wù)器不被非法訪問，可以將身份認(rèn)證系統(tǒng)串接在終端與應(yīng)用服務(wù)器之間，用戶需要訪問身份認(rèn)證系統(tǒng)后面的應(yīng)用系統(tǒng)服務(wù)器時(shí)，首先需要通過身份認(rèn)證系統(tǒng)的認(rèn)證，認(rèn)證通過后，身份認(rèn)證系統(tǒng)自動(dòng)將用戶身份傳遞給應(yīng)用系統(tǒng)。

2計(jì)算機(jī)安全防護(hù)管理

計(jì)算機(jī)安全防護(hù)技術(shù)對保障信息安全極其重要，但是，要確保信息安全還很不夠，有效的技術(shù)手段只是計(jì)算機(jī)安全的基礎(chǔ)工作。只有建立嚴(yán)格的企業(yè)計(jì)算機(jī)安全管理制度，按制度進(jìn)行嚴(yán)格周密的管理，才能充分發(fā)揮計(jì)算機(jī)安全防護(hù)的效能，才能真正使計(jì)算機(jī)及網(wǎng)絡(luò)安全信息得到最可靠的保證。

3工業(yè)控制系統(tǒng)的安全防護(hù)

工信部2011年10月下發(fā)了“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，要求各級政府和國有大型企業(yè)切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)的安全管理，否則將影響到我國重要生產(chǎn)設(shè)施的安全。根據(jù)工業(yè)控制系統(tǒng)安全防護(hù)的特點(diǎn)，在實(shí)施安全防護(hù)中，提出了分層、分域、分等級，構(gòu)建三層架構(gòu)，二層防護(hù)的工業(yè)控制系統(tǒng)安全體系架構(gòu)思想。三層架構(gòu)分別是計(jì)劃管理層，制造執(zhí)行層，工業(yè)控制層。二層防護(hù)指管理層與制造執(zhí)行（MES）層之間的安全防護(hù)；再就是制造執(zhí)行（MES）與工業(yè)控制層之間的安全防護(hù)。

4結(jié)束語

目前企業(yè)計(jì)算機(jī)安全已經(jīng)深入到企業(yè)生產(chǎn)管理、客戶服務(wù)、物流和營銷及工業(yè)控制等各個(gè)領(lǐng)域。建立計(jì)算機(jī)信息安全防護(hù)措施是一個(gè)復(fù)雜而又龐大的系統(tǒng)工程，涉及的問題也比較多。只有不斷對計(jì)算機(jī)安全措施進(jìn)行深入的研究和探討，提高信息安全專業(yè)人員的技術(shù)技能。更重要的是加強(qiáng)計(jì)算機(jī)安全管理，管理不到位，再多的技術(shù)也無能為力，只有充分發(fā)揮了人的作用，才能更好地實(shí)現(xiàn)信息系統(tǒng)安全，保證企業(yè)信息化建設(shè)的持續(xù)發(fā)展。

參考文獻(xiàn)：

[1]嚴(yán)體華,張凡.網(wǎng)絡(luò)管理員教程[M].第三版.北京:清華大學(xué)出版社,2009.

[2]林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].北京:機(jī)械工業(yè)出版社,2004.

[3]季一木,唐家邦,潘俏羽,匡子卓.一種云計(jì)算安全模型與架構(gòu)設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全,2012,6:6-8.