• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    采油廠工控系統(tǒng)防護(hù)策略研究及應(yīng)用

    2018-08-28 08:26:56喬龍巴特
    中國(guó)管理信息化 2018年11期
    關(guān)鍵詞:防護(hù)策略安全防護(hù)

    喬龍巴特

    [摘 要] 隨著物聯(lián)網(wǎng)的快速發(fā)展,采油廠信息化與工業(yè)化的深度融合,工控系統(tǒng)能夠極大地提高生產(chǎn)效率,但是工控網(wǎng)絡(luò)受到攻擊或感染病毒后將有可能導(dǎo)致控制系統(tǒng)發(fā)生故障,壓力、溫度、流量、液位、計(jì)量等指示失效,檢測(cè)系統(tǒng)連鎖報(bào)警失效,或各類儀表電磁閥及電源無供給。一旦重大危險(xiǎn)源處于失控狀態(tài),后果不堪設(shè)想,將危急現(xiàn)場(chǎng)操作人員和生態(tài)環(huán)境。

    [關(guān)鍵詞] 工控系統(tǒng);安全防護(hù);防護(hù)策略

    doi : 10 . 3969 / j . issn . 1673 - 0194 . 2018. 11. 052

    [中圖分類號(hào)] TP311 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2018)11- 0118- 02

    1 前 言

    2014年采油廠的物聯(lián)網(wǎng)建成,采油廠工業(yè)控制網(wǎng)絡(luò)安全是信息化推進(jìn)中出現(xiàn)的新問題,現(xiàn)場(chǎng)工控主機(jī)為保證過程控制系統(tǒng)相對(duì)的獨(dú)立性仍在使用WindowsXP操作系統(tǒng),在工控系統(tǒng)投運(yùn)后升級(jí)操作系統(tǒng)或者打補(bǔ)丁會(huì)存在工控系統(tǒng)崩潰或失效的安全運(yùn)行風(fēng)險(xiǎn),不打補(bǔ)丁不升級(jí)操作系統(tǒng)就會(huì)存在被攻擊的漏洞,傳統(tǒng)信息安全的防護(hù)方法起不到保護(hù)的作用,工控主機(jī)感染病毒現(xiàn)象嚴(yán)重,運(yùn)維過程中重做系統(tǒng)等重復(fù)性維護(hù)工作量大,給安全生產(chǎn)帶來極大隱患。

    工控系統(tǒng)自動(dòng)化設(shè)備數(shù)目眾多,設(shè)備發(fā)生故障時(shí)維護(hù)人員是通過自己攜帶的U盤進(jìn)行維護(hù),然而工控系統(tǒng)內(nèi)部無安全存儲(chǔ)傳輸介質(zhì)、缺乏科學(xué)管理和技術(shù)防護(hù)手段,容易被非法入侵者通過傳輸介質(zhì)破壞、篡改或刪除數(shù)據(jù),同時(shí)存在著泄密的風(fēng)險(xiǎn)。

    采油廠自動(dòng)化服務(wù)器前端無任何安全訪問控制功能的設(shè)備,如防火墻、網(wǎng)閘等;沒有網(wǎng)絡(luò)管理平臺(tái),無法對(duì)異常報(bào)文、異常流量進(jìn)行檢測(cè),網(wǎng)絡(luò)故障檢測(cè)依靠人工排查,效率低、耗時(shí)長(zhǎng),影響中控室集中監(jiān)控。

    2 采油廠工控系統(tǒng)簡(jiǎn)述

    采油廠工控系統(tǒng)結(jié)構(gòu)可以分成三層:現(xiàn)場(chǎng)設(shè)備層、生產(chǎn)監(jiān)控層、生產(chǎn)管理層。

    (1)現(xiàn)場(chǎng)設(shè)備層:采油廠現(xiàn)場(chǎng)設(shè)備以網(wǎng)絡(luò)節(jié)點(diǎn)的形式掛接在現(xiàn)場(chǎng)總線網(wǎng)絡(luò)上,依照現(xiàn)場(chǎng)總線的協(xié)議標(biāo)準(zhǔn),設(shè)備采用功能模塊的結(jié)構(gòu),通過組態(tài)設(shè)計(jì),完成數(shù)據(jù)擷取、A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID控制等各種功能。

    (2)生產(chǎn)監(jiān)控層:主要由OPC Server 服務(wù)器、工程師站和操作員站組成,相對(duì)于PLC 下位機(jī)設(shè)備,它們都屬于上位機(jī)系統(tǒng),通過SCADA、DCS系統(tǒng)各種運(yùn)行參數(shù)和狀態(tài),仿真顯示現(xiàn)場(chǎng)工況,實(shí)現(xiàn)現(xiàn)場(chǎng)無人值守和遠(yuǎn)程監(jiān)控。監(jiān)控參數(shù)的圖形動(dòng)畫表達(dá)和實(shí)時(shí)報(bào)警處理,傳達(dá)現(xiàn)場(chǎng)操作人員有效處理設(shè)備的報(bào)警狀態(tài)。

    (3)生產(chǎn)管理層:包括實(shí)時(shí)數(shù)據(jù)庫(kù)、關(guān)系數(shù)據(jù)庫(kù)和生產(chǎn)管理平臺(tái)。同時(shí)提供生產(chǎn)過程監(jiān)測(cè)、生產(chǎn)分析與工況診斷、物聯(lián)網(wǎng)設(shè)備管理、視頻監(jiān)控、報(bào)表管理、數(shù)據(jù)管理、輔助分析與決策支持等功能。

    工控網(wǎng)病毒防護(hù)承載著信息自動(dòng)化業(yè)務(wù)的穩(wěn)定性與時(shí)效性,工控網(wǎng)病毒防護(hù)是集中監(jiān)控、遠(yuǎn)程管理的保障基礎(chǔ),可以為安全生產(chǎn)提供可靠的信息自動(dòng)化平臺(tái)。采油廠在工控系統(tǒng)安全防護(hù)方面還存在著隱患。

    3 工控系統(tǒng)防護(hù)策略建設(shè)

    3.1 防護(hù)策略整體架構(gòu)設(shè)計(jì)

    采油廠工業(yè)控制系統(tǒng)防護(hù)策略分為生產(chǎn)管理層安全防護(hù)、生產(chǎn)監(jiān)控層安全防護(hù)、現(xiàn)場(chǎng)設(shè)備層安全防護(hù);按照邊界控制、主機(jī)監(jiān)測(cè)、內(nèi)部審計(jì)設(shè)計(jì)思路進(jìn)行建設(shè),使整個(gè)工業(yè)控制系統(tǒng)在信息安全防護(hù)建設(shè)過程中做到多層防御,從點(diǎn)到面防御。同時(shí)將各層面的日志統(tǒng)一收集、分析評(píng)價(jià)自動(dòng)化網(wǎng)絡(luò)的信息安全態(tài)勢(shì),以便管理人員實(shí)時(shí)監(jiān)控物聯(lián)網(wǎng)運(yùn)行狀況,對(duì)異常情況進(jìn)行有效處理。

    將網(wǎng)絡(luò)按“垂直分層、水平分區(qū)”進(jìn)行分區(qū)域管理,縱向按邏輯結(jié)構(gòu)分為:生產(chǎn)管理層(數(shù)據(jù)庫(kù)服務(wù)器、核心交換機(jī))、生產(chǎn)監(jiān)控層(工程師站、操作員站)、現(xiàn)場(chǎng)設(shè)備層(RTU、PLC等);橫向按屬地單位劃分。對(duì)不同層級(jí)的區(qū)域配置不同的安全訪問控制策略和安全防護(hù)策略,防止非法攻擊行為發(fā)生,實(shí)現(xiàn)采油廠自動(dòng)化網(wǎng)絡(luò)安全。

    3.2 生產(chǎn)管理層安全防護(hù)

    在3座處理站DCS控制柜與上位機(jī)之間部署3套工控防火墻,同時(shí)在3套處理站DCS系統(tǒng)與作業(yè)區(qū)自動(dòng)化核心交換機(jī)之間部署3套工控防火墻;在生產(chǎn)監(jiān)控中心SCADA系統(tǒng)與自動(dòng)化核心交換機(jī)部署1套工控防火墻。

    上位機(jī)與下位機(jī)、DCS與SCADA系統(tǒng)之間都實(shí)現(xiàn)區(qū)域防護(hù),防止數(shù)據(jù)被破壞或信息外泄。在工控防火墻上啟用白名單功能實(shí)現(xiàn)主動(dòng)防御,將工控網(wǎng)絡(luò)中可信的軟件或程序放入白名單,只有白名單中的軟件或程序才能被安裝和運(yùn)行,可以有效阻止惡意病毒和木馬的入侵或非法程序的運(yùn)行。防火墻開啟異常報(bào)文檢測(cè)和異常流量檢測(cè)功能實(shí)現(xiàn)被動(dòng)防御,防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊的發(fā)生。

    3.3 生產(chǎn)監(jiān)控層安全防護(hù)

    將采油廠工程師站、操作員站部署工控主機(jī)防護(hù)軟件。主機(jī)防護(hù)客戶端可獨(dú)立運(yùn)行在工作站上,能夠監(jiān)控分析應(yīng)用程序和人工操作的行為特征、有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy等在內(nèi)的工控惡意程序或代碼在工控主機(jī)上的感染、執(zhí)行和擴(kuò)散。

    主機(jī)防護(hù)客戶端能夠檢查操作系統(tǒng)開機(jī)時(shí)所加載的系統(tǒng)文件是否被修改,當(dāng)發(fā)現(xiàn)工作站操作系統(tǒng)完整性被破壞時(shí)進(jìn)行告警,防止操作系統(tǒng)被篡改和植入后門;保護(hù)運(yùn)行進(jìn)程的內(nèi)存空間的完整性,防止緩沖區(qū)溢出等攻擊;管理員可定制添加需要監(jiān)控的配置文件和關(guān)鍵注冊(cè)表鍵值,通過監(jiān)控關(guān)鍵配置文件和注冊(cè)表的變更情況并形成報(bào)告,防止關(guān)鍵配置文件和注冊(cè)表被惡意篡改或破壞,從而為管理員的安全防護(hù)工作提供參考;對(duì)廠商已停止維護(hù)的老舊Windows主機(jī)設(shè)備的全面維護(hù),具備良好的系統(tǒng)兼容性,不會(huì)出現(xiàn)傳統(tǒng)殺毒軟件對(duì)工控軟件的誤殺現(xiàn)象。

    統(tǒng)一管理采油廠內(nèi)部所有工控主機(jī)防護(hù)軟件客戶端,進(jìn)行狀態(tài)監(jiān)控及策略配置和下發(fā),并收集、匯總、更新、同步單獨(dú)客戶端的白名單數(shù)據(jù)信息,統(tǒng)一收集單獨(dú)客戶端的審計(jì)信息,并進(jìn)行數(shù)據(jù)分析。

    通過對(duì)工控主機(jī)部署主機(jī)防護(hù)客戶端并進(jìn)行統(tǒng)一管理防護(hù)主機(jī),在管理上建立完善的工控系統(tǒng)安全運(yùn)維方案、策略和計(jì)劃,加強(qiáng)日常安全培訓(xùn),嚴(yán)控處理流程,防止內(nèi)部攻擊,實(shí)現(xiàn)終端安全防護(hù),針對(duì)現(xiàn)階段難以解決的技術(shù)問題應(yīng)通過管理手段進(jìn)行彌補(bǔ),切實(shí)提高工控系統(tǒng)的安全防護(hù)能力。工控系統(tǒng)信息安全是一個(gè)動(dòng)態(tài)過程,需要在整個(gè)生命周期中持續(xù)進(jìn)行,不斷完善改進(jìn)。

    3.4 現(xiàn)場(chǎng)設(shè)備層安全防護(hù)

    增設(shè)自動(dòng)化系統(tǒng)內(nèi)部安全存儲(chǔ)傳輸介質(zhì)——安全U盤,安全U盤分為普通區(qū)和安全區(qū),不同使用環(huán)境配置不同的分區(qū)。普通區(qū)在未安裝工控主機(jī)衛(wèi)士產(chǎn)品的計(jì)算機(jī)上可讀??;安全分區(qū)僅在安裝有工控主機(jī)加固的主機(jī)上,同時(shí)開放相應(yīng)策略后才可看到和正常使用,實(shí)現(xiàn)“專區(qū)專用”。對(duì)安全分區(qū)進(jìn)行加密,采用高強(qiáng)度商密算法,有效防止暴力破解導(dǎo)致的數(shù)據(jù)泄露。安全U盤結(jié)合工控主機(jī)加固移動(dòng)存儲(chǔ)介質(zhì)管理功能以及自身安全特性,可有效防御木馬、病毒等進(jìn)入工控主機(jī),保證工控主機(jī)安全。

    加強(qiáng)管理存儲(chǔ)介質(zhì)的管理,在工控設(shè)備拷貝傳輸數(shù)據(jù)時(shí),禁止私自使用U盤進(jìn)行拷貝數(shù)據(jù),只能通過安全U盤拷貝數(shù)據(jù),杜絕數(shù)據(jù)交換過程中因U盤濫用導(dǎo)致的病毒進(jìn)入工控網(wǎng)絡(luò)環(huán)境并傳播的問題,提高工控主機(jī)安全性。

    4 結(jié)論及認(rèn)識(shí)

    工控系統(tǒng)的安全防護(hù)應(yīng)該說三分在技術(shù),七分在管理,完善的安全控制制度、安全操作計(jì)劃、安全設(shè)備保控、人員安全意識(shí)培養(yǎng)和管理都是工控系統(tǒng)安全防護(hù)效果的重要保障基礎(chǔ)。同時(shí),在安全防護(hù)技術(shù)方面,三分在產(chǎn)品,七分在應(yīng)用,一個(gè)安全防護(hù)產(chǎn)品直接部署到相應(yīng)位置,無法發(fā)揮其應(yīng)有的防護(hù)作用,要通過對(duì)工控系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估合理匹配并不斷調(diào)整相應(yīng)的安全防護(hù)策略,因此工控系統(tǒng)的安全防護(hù)是一個(gè)動(dòng)態(tài)的工作,要隨著安全風(fēng)險(xiǎn)類型和內(nèi)容的變化,不斷優(yōu)化、升級(jí)、調(diào)整工控系統(tǒng)安全防護(hù)之“盾”。

    主要參考文獻(xiàn)

    [1]程云龍.井下溫壓動(dòng)態(tài)監(jiān)測(cè)技術(shù)在SAGD生產(chǎn)中的應(yīng)用[J].國(guó)外測(cè)井技術(shù),2015(4):45-46.

    [2]韓菲,蔣能記. 兩化融合推進(jìn)稠油SAGD高效開發(fā)[J].油氣田地面工程,2016,35(10):80-82

    [3]桑林翔,姜丹.重32井區(qū)SAGD開發(fā)階段生產(chǎn)參數(shù)優(yōu)化[J].特種油氣藏,2016,23(1):96-99.

    猜你喜歡
    防護(hù)策略安全防護(hù)
    計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略解析
    計(jì)算機(jī)信息網(wǎng)絡(luò)安全以及防護(hù)安全策略研究
    計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析
    通訊網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)技術(shù)
    簡(jiǎn)述計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略
    基于等級(jí)保護(hù)的電網(wǎng)云計(jì)算安全防護(hù)分析
    通用門式起重機(jī)安全防護(hù)裝置及其檢驗(yàn)探析
    用電信息采集系統(tǒng)安全防護(hù)
    關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略探究
    目標(biāo)中心戰(zhàn)中信息網(wǎng)絡(luò)安全防護(hù)問題研究
    科技視界(2016年21期)2016-10-17 16:30:08
    观塘区| 阿拉善左旗| 九台市| 阆中市| 乌鲁木齐县| 三都| 孟村| 天柱县| 株洲市| 宣威市| 桃园县| 米易县| 祁阳县| 酒泉市| 枣庄市| 宣威市| 綦江县| 榆树市| 晋江市| 仙游县| 弥勒县| 彭水| 永修县| 阿图什市| 临城县| 康乐县| 永年县| 垦利县| 天津市| 定日县| 兴海县| 清河县| 曲周县| 泊头市| 南涧| 海丰县| 佛冈县| 安远县| 五家渠市| 抚远县| 嵊泗县|