控制系统网络安全大全11篇
时间:2023-03-08 15:05:23
控制系统网络安全篇(1)
改革开放以来,我国石油化工企业的自动化和信息化水平,无论在装备上、技术水平上、功能与规模上都有了较大的发展。测量和控制装置不断更新升级,DCS、PLC和IPC已成为大中型石油和化工企业的主要控制手段[3]。而由DCS、PLC和FCS等控制系统构成的控制网络在石化行业中也得到了广泛的应用。
1.1过程控制系统网络的特点过程控制系统的网络与传统的IT网络不同,具有以下特点。1)较高的实时性和可靠性。过程控制系统网络主要需要保证所有传输数据的实时性以及网络的可靠性,在传输过程中不允许有中断出现,需要整个传输过程始终在系统的可控范围内,不能出现失控的状态。2)专有通信协议。早先每一个过程控制系统供应商都有自己独自研发的专有通信协议,但随着过程控制系统的网络面逐渐扩大,而在彼此的通信传输中需要进行转换,不同通讯协议导致的不便捷性逐渐显露出来。近几年随着系统开放性呼声越来越高,在行业内部出现了一些开放的公用的专有通信协议,例如OPC,ModbusTCP,现场总线(Foundation/Hart/Profibus)等。3)相对的独立性。过程控制系统通常都是根据工艺设备的要求而进行独立设计,所以无论从前期网络设计到实际物理安装,整个控制系统网络都是相当独立的,不会与其他任何应用存在交联部分。在与外界交互的通道上仅仅开放OPCServer一个接口,通过OPC工业通信协议与外部进行数据交换。4)较长的产品更新周期。过程控制系统产品不以追求设备的先进性为目标,更多地是强调安全性与稳定性。所以结合实际工艺生产以及设备投资来进行综合考虑,过程控制系统通常具有较长的更新周期,这样就导致系统操作平台的安全漏洞得不到及时的维护。5)与杀毒软件兼容性差。目前市场上的杀毒软件厂商基本都是针对常用的应用软件进行兼容性测试,针对市场上使用频率较高的软件进行病毒防治策略的研究。而在网络中基于Windows平台上安装的所有过程控制软件,几乎没有杀毒软件厂商对其进行过完整的兼容性测试。这种情况同样也适应于过程控制系统制造商,各家控制系统制造商一般只认可少数几种防病毒软件,所以在工控领域的操作层级进行统一部署防护策略是一件很困难的事。
1.2过程控制系统网络的风险点根据对过程控制系统结构的分析,通常易受病毒侵袭的主要风险点主要有“数据采集网络的连接”,“先进过程控制站的连接”,“操作站”之间的三处连接。1)与数据采集网络的通信安全隐患例如采用双网卡配置的OPC数据采集机,但无其他任何防护措施。虽然OPC数据采集机采用双网卡配置,并已经将控制网与信息网进行隔离,信息网已经无法对控制网进行操纵攻击,但是双网卡结构的配置,对病毒的传播没有任何阻挡作用,所以来自上层信息网对控制网的病毒感染是目前的最大隐患。2)先进控制过程站的病毒感染隐患例如先进控制过程站通常可以由软件供应商进行自由操作,先进控制过程站本身并无任何防护措施,具有较高的病毒感染风险。首先先进控制过程站的安装、调试、运行一般需要较长的时间,而且需要项目工程师进行不断的调试、修改。期间先进控制过程站需要频繁与外界进行数据交换,这给先进控制过程站本身带来很大感染病毒的风险。一旦先进控制过程站受到病毒感染,其对实时运行的控制系统安全会造成极大隐患。另外先进过程控制站是应用OPC通信协议进行数据通信的,所以采用常规IT策略(例如常规的通用防火墙)无法提供适宜的防护。3)操作站互相感染的隐患目前大多数操作站都运行一个工作网络中,但在网络内部没有采取任何有效防护措施。而工业平台基本采用PC+Windows架构,同时也广泛应用以太网进行连接,TCP,STMP,POP3,ICMP,Netbios等大量开放的通信协议被广泛应用。但活跃在这些通讯协议上的木马、蠕虫等计算机病毒也具有一定的规模。目前普通的防火墙无法实现工业通信协议的过滤,所以当网络中某个操作站或工程师站感染病毒时,可能会马上通过数据交换传播到该工作网络中的其他PC机上,这就容易造成网络上所有操作站同时发生故障,严重时可导致所有操作站同时失控,甚至造成不可估计的损失。
2防护措施与建议
通过考虑石油化工过程控制系统中的网络架构和安全设计,同时参考保护层理论,列出了硬件、网络通信预防手段、杀毒软件预防手段、网络管理规章制度、良好的个人工作习惯等多个“保护层”,下图为石油化工过程控制系统网络的安全防护洋葱模型。图1石油化工过程控制系统网络的安全防护洋葱模型根据上图列出的各个风险点,可以参考以下措施进行有针对性的安全防护。
2.1设置防火墙相关单位或部门应该针对过程控制系统设置防火墙。防火墙是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络通信中采用防火墙,它能允许系统预设的人员和数据(白名单)进入你的网络,同时将系统未允许的人员和数据拒之门外,可以最大限度地阻止网络中的黑客访问公司内部网络,在内部网和外部网之间、专用网与公共网之间的界面上构造一道保护屏障,从而保护内部网免受非法用户的侵入。一般的防火墙软件例如ComodoFirewall、ZoneAlarm、瑞星个人防火墙、卡巴斯基等均有完善的白名单以及黑名单设置,管理员可以根据相应的软件说明书和自身状况进行详细设置。
2.2安装专业杀毒软件在已联网的过程控制系统工业计算机上安装相应的杀毒软件,以降低电脑病毒、特洛伊木马和恶意软件等感染计算机的概率。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的专业杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。但是需要注意的是,有的时候杀毒软件会对工业计算机上的一些正常行为误报为病毒或木马。这时候就需要网络安全管理人员在安装杀毒软件的同时,将已确认的工业正常行为录入杀毒软件的信任列表,以避免误删重要程序或导致系统停机的情况发生。
控制系统网络安全篇(2)
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。
2)要配备相应的软硬件安全设备:在内部网与外部网之间,在不同网络或网络安全域之间信息的唯一出入口设置防火墙。设置防火墙就是实现内外网的隔离与访问控制,保护内部网安全的最主要、同时也是最快捷、最节省的措施之一。防火墙一般具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和报警。防火墙主要类型有包过滤型,包过滤防火墙就是利用ip和tcp包的头信息对进出被保护网络的ip包信息进行过滤,能依据我们制定安全防范策略来控制(允许、拒绝、监测)出入网络的信息流,也可实现网络ip地址转换(nat)、审记与实时告警等功能。因为防火墙安装在被保护网络与路由器之间的通道上,所有也对被保护网络和外部网络起到隔离作用。
4.2 通过使用内部网不同网络安全域的隔离及访问控制
主要是利用vlan技术来实现对内部子网的物理隔离。可以通过在交换机上划分vlan可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。因此就能防止影响一个网段的问题穿过整个网络传播。对于某些网络,一部分局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更加敏感,在不同的讥an段内划分信任网段和不信任网段,就可以限制局部网络安全问题对全部网络造成的影响。
4.3 通过使用网络安全检测
根据短板原理,可以说网络系统的安全性完全取决于网络系统中最薄弱的环节。最有效的方法就是定时对网络系统进行安全性分析,及时准确发现并修正存在的弱点和漏洞,能及时准确发现网络系统中最薄弱的环节,也能最大限度地保证网络系统安全。
网络安全检测工具是一款网络安全性评估分析软件,其具备网络监控、分析功能和自动响应功能,能及时找出经常发生问题的根源所在;建立必要的循环过程确保隐患时刻被纠正;及时控制各种网络安全危险;进行漏洞分析和响应;进行配置分析和响应;进行认证和趋势分析。
它的主要功能就是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议采用补救措施和安全策略,从而达到增强网络安全性的目的。
参考文献:
控制系统网络安全篇(3)
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。
2)要配备相应的软硬件安全设备:在内部网与外部网之间,在不同网络或网络安全域之间信息的唯一出入口设置防火墙。设置防火墙就是实现内外网的隔离与访问控制,保护内部网安全的最主要、同时也是最快捷、最节省的措施之一。防火墙一般具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和报警。防火墙主要类型有包过滤型,包过滤防火墙就是利用ip和tcp包的头信息对进出被保护网络的ip包信息进行过滤,能依据我们制定安全防范策略来控制(允许、拒绝、监测)出入网络的信息流,也可实现网络ip地址转换(nat)、审记与实时告警等功能。因为防火墙安装在被保护网络与路由器之间的通道上,所有也对被保护网络和外部网络起到隔离作用。
4.2 通过使用内部网不同网络安全域的隔离及访问控制
主要是利用vlan技术来实现对内部子网的物理隔离。可以通过在交换机上划分vlan可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。因此就能防止影响一个网段的问题穿过整个网络传播。对于某些网络,一部分局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更加敏感,在不同的讥an段内划分信任网段和不信任网段,就可以限制局部网络安全问题对全部网络造成的影响。
4.3 通过使用网络安全检测
根据短板原理,可以说网络系统的安全性完全取决于网络系统中最薄弱的环节。最有效的方法就是定时对网络系统进行安全性分析,及时准确发现并修正存在的弱点和漏洞,能及时准确发现网络系统中最薄弱的环节,也能最大限度地保证网络系统安全。
网络安全检测工具是一款网络安全性评估分析软件,其具备网络监控、分析功能和自动响应功能,能及时找出经常发生问题的根源所在;建立必要的循环过程确保隐患时刻被纠正;及时控制各种网络安全危险;进行漏洞分析和响应;进行配置分析和响应;进行认证和趋势分析。
它的主要功能就是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议采用补救措施和安全策略,从而达到增强网络安全性的目的。
参考文献:
控制系统网络安全篇(4)
中图分类号:F407 文献标识码: A
一、前言
作为电厂生产运作的一项重要工具,生产控制系统在近期得到了较为广泛的应用和深入的研究。研究其网络信息安全,能够更好地提升电厂生产控制系统的可靠性,从而更好地保证电厂生产的顺利进行。本文从概述相关内容开始探究。
二、概述
为了提高工作效率,绝大多数电厂都建立了自己的内部网络,内部网络存在的安全隐患同样会对信息安全造成很多的威胁,甚至会对电厂造成重大经济损失。电厂网络面临的威胁来自于电厂内部和电厂外部两个方面,安全隐患主要体现在管理不严,导致非法入侵;电厂内部操作不规范,故意修改自己的IP地址等,导致电厂内部信息的泄漏;网络黑客通过系统的漏洞进行攻击,导致网络的瘫痪,数据的盗取;病毒通过局域网资料的共享造成病毒的蔓延等。
电厂网络面临的外部威胁主要是指黑客攻击,它们凭借计算机技术和通信技术侵入到电厂内部网络信息系统中,非法获得电厂内部的机密文件和信息。无论是操作系统还是网络服务都存在一定的安全漏洞,这些漏洞的存在,就给攻击者提供了入侵的机会。网络黑客通过各种手段对网络中的计算机进行攻击,非法闯入信息系统,窃取信息,泄露信息系统内的重要文件。
由于电厂内部管理不善,电厂员工的恶意行为也影响着信息的安全,内部人员的威胁行为分为违规操作和恶意报复。其中,内部员工的违规操作是造成外部威胁得逞的主要原因,有的工作人员利用自己的工作便利进入电厂的信息系统,窃取电厂信息系统内的重要文件,并将信息泄漏给他人,获取一定的利益;有的员工直接打开从网上下载的文件和视频,不经过专业杀毒软件的扫描,给电厂的内部网络带来安全隐患,甚至带来的病毒在全网络蔓延,造成电厂内网的瘫痪,严重损坏公司的利益,影响公司的正常运转。
三、电厂生产控制系统面临的安全隐患
1.被动攻击形式
被动攻击这种情况下在计算机领域中称作是流量分析现象。在计算机网络安全中,最为典型的信息攻击方式是信息的截获,信息的捕获主要指的是在信息技术中,网络攻击者通过网络技术对他人的私人信息进行不断的窃取和攻击这一信息安全性的现状。在这个过程中,网络信息得到攻击者通过对数据信息的观察与分子,进行相应的网络信息的攻击,尤其是对其中的一个数据单元进行相应的攻击,其中攻击的是网络中的信息数据,并不是信息流。上述的这些网络信息的安全隐患中,网络信息的攻击者和黑客是无处不在的,总是对网络系统中的数据信息进行攻击,盗取用户的个人信息,这些攻击者主要是通过网络中的数据协议PUD对用户的信息资源进行了一定的控制与盗取,最终导致而来网络信息资源安全隐患的产生。
2.主动攻击
计算机网络安全注的主动攻击是指,在计算机网络通讯系统中,攻击者或者是黑客,通过网络技术,连接到具体的数据通讯协议进行有目的有计划的信息资源的获取。这个过程是一种目的性明确的信息盗取方式,对于系统中的信息进行有目的的安全性攻击。并且在整个计算机网络通讯技术的安全性攻击过程中,攻击者通过对系统中的数据协议进行攻击,延迟了PDU的运行,严重情况下,最终将一种伪造的PDU输送到相应的网络中进行信息数据的传输。其中,此处所述的信息中断、信息篡改以及数据信息内容的伪造是上述所说的一种计算机网络完全的被动攻击方式。
四、电厂生产控制系统对网络安全的改进方案
1.物资需求计划的应用
MRP即物资需求计划,所谓物资需求计划指根据产品结构中不同层次的物品的从属关系和数量关系,以单件产品为对象,以完工时间为标准的倒排计划,根据提前期的长短制定物品下达时间的先后顺序,是一种电厂内的物资计划管理模式。通过运用物资需求计划,精确地对每月的生产任务进行合理安排,可以有效解决电厂生产过程中出现的“月初任务松,月末任务紧”的现象,通过合理调整生产计划,使发电厂对市场的应变能力加强。
2.完善身生产生产计划和控制系统
发电厂需要将安全生产列为其主要的研究内容,通过确保其生产质量提高其在同行业中的竞争力,从而获得较大的经济效益。通过完善发电厂自身的管理体系,使其在进行安全生产的同时,保障其生产计划的顺利执行。建立并完善合理的监督管理体系,有助于提高发电厂内部员工的自觉性和职业素质,可以在满足客户需求的同时,有效地提高发电厂的经济效益。
3.主生产计划方案编制
所谓主生产计划,是物资需求计划的主要输入因素,其以合同为依据,并按一定的时间段对相关电力产品的数量以及交货日期进行合理分析,并在现有的生产计划与设备资源中做出相应的平衡的新型生产计划。另一方面,从客户和电厂的双方面角度出发,主生产计划方案的编制一方面为电厂制定了完备的生产和控制计划,另一方面使得电厂的各项生产得以有序进行,从而提高了电厂与用户的合作效率。
五、强化生产控制系统安全的措施
1.对安全规划产生足够的重视
电厂网络安全规划就是全面的思考网络的安全问题,对于安全问题,需要以系统观点进行考虑。要想提升安全管理的有效性,就需要对信息安全管理体系进行全面系统的构建。
2.对安全域进行合理划分
电厂将电厂网络的内外网实行了物理隔离,但是在内网上,安全域的合理划分依然非常重要。在划分的时候,需要结合整体的安全规划和信息安全等级来进行,对核心重点防范区域和一般防范区域以及开放区域进行划分。网络安全的核心就是重点防范区域,用户不能够对这个区域直接访问,安全级别较高;应该在这个区域内放置各种重要数据、服务器和数据库服务器,在本区域内运行各种应用系统、OA系统等。
3.对安全管理进行强化,对制度建设产生足够的重视
为了促使电厂网络信息安全得到保证,就需要系统性的考虑电厂网络信息安全,对于电厂网络的安全问题,非常重要的一个方面就是安全管理和制度建设。首先要对日志管理和安全审计产生足够的重视,通常情况下,审计功能是防火墙和入侵检测系统都具备的,要将它们的审计功能给充分利用起来,提升网络日志管理和安全审计的质量。要严格管理审计数据,任何人不得对审计记录进行随意的修改和删除。
4.构建内网的统一认证系统
网络信息安全最为关键的一项技术就是认证,通过认证,身份鉴别服务、访问控制服务以及机密都可以得到实现。对病毒防护体系进行构建,将防病毒体系安装于电厂网络上,远程安装、远程报警以及集中管理等都是防病毒软件的功能;要对防病毒的管理制度进行构建,不能够在内网主机上随意拷贝互联网上下载的数据,不能够在联网计算机上使用来历不明的移动存储设备,发现病毒之后,相关工作人员需要及时采取处理措施。
六、结束语
通过对电厂生产控制系统网络信息安全的相关研究,我们可以发现,威胁其安全的因素来自多方面,有关人员应该从电厂生产控制系统运作的客观实际出发,充分分析威胁因素,从而研究制定最为切合实际的网络信息安全应对策略。
参考文献:
[1] 覃冠标.关于发电厂生产计划与控制系统的改进研究[J].科技资讯.2013(34):141-143.
[2] 吴兴波.S公司生产计划与控制改进研究[J].华南理工大学学报.2010(01):88-89.
控制系统网络安全篇(5)
中图分类号:F407 文献标识码: A
一、前言
作为电厂生产运作的一项重要工具,生产控制系统在近期得到了较为广泛的应用和深入的研究。研究其网络信息安全,能够更好地提升电厂生产控制系统的可靠性,从而更好地保证电厂生产的顺利进行。本文从概述相关内容开始探究。
二、概述
为了提高工作效率,绝大多数电厂都建立了自己的内部网络,内部网络存在的安全隐患同样会对信息安全造成很多的威胁,甚至会对电厂造成重大经济损失。电厂网络面临的威胁来自于电厂内部和电厂外部两个方面,安全隐患主要体现在管理不严,导致非法入侵;电厂内部操作不规范,故意修改自己的IP地址等,导致电厂内部信息的泄漏;网络黑客通过系统的漏洞进行攻击,导致网络的瘫痪,数据的盗取;病毒通过局域网资料的共享造成病毒的蔓延等。
电厂网络面临的外部威胁主要是指黑客攻击,它们凭借计算机技术和通信技术侵入到电厂内部网络信息系统中,非法获得电厂内部的机密文件和信息。无论是操作系统还是网络服务都存在一定的安全漏洞,这些漏洞的存在,就给攻击者提供了入侵的机会。网络黑客通过各种手段对涉密网络中的计算机进行攻击,非法闯入涉密信息系统,窃取涉密信息,泄露涉密信息系统内的重要文件。
由于电厂内部管理不善,电厂员工的恶意行为也影响着信息的安全,内部人员的威胁行为分为违规操作和恶意报复。其中,内部员工的违规操作是造成外部威胁得逞的主要原因,有的工作人员利用自己的工作便利进入电厂的信息系统,窃取电厂信息系统内的重要文件,并将信息泄漏给他人,获取一定的利益;有的员工直接打开从网上下载的文件和视频,不经过专业杀毒软件的扫描,给电厂的内部网络带来安全隐患,甚至带来的病毒在全网络蔓延,造成电厂内网的瘫痪,严重损坏公司的利益,影响公司的正常运转。
三、电厂生产控制系统面临的安全隐患
1.被动攻击形式
被动攻击这种情况下在计算机领域中称作是流量分析现象。在计算机网络安全中,最为典型的信息攻击方式是信息的截获,信息的捕获主要指的是在信息技术中,网络攻击者通过网络技术对他人的私人信息进行不断的窃取和攻击这一信息安全性的现状。在这个过程中,网络信息得到攻击者通过对数据信息的观察与分子,进行相应的网络信息的攻击,尤其是对其中的一个数据单元进行相应的攻击,其中攻击的是网络中的信息数据,并不是信息流。上述的这些网络信息的安全隐患中,网络信息的攻击者和黑客是无处不在的,总是对网络系统中的数据信息进行攻击,盗取用户的个人信息,这些攻击者主要是通过网络中的数据协议PUD对用户的信息资源进行了一定的控制与盗取,最终导致而来网络信息资源安全隐患的产生。
2.主动攻击
计算机网络安全注的主动攻击是指,在计算机网络通讯系统中,攻击者或者是黑客,通过网络技术,连接到具体的数据通讯协议进行有目的有计划的信息资源的获取。这个过程是一种目的性明确的信息盗取方式,对于系统中的信息进行有目的的安全性攻击。并且在整个计算机网络通讯技术的安全性攻击过程中,攻击者通过对系统中的数据协议进行攻击,延迟了PDU的运行,严重情况下,最终将一种伪造的PDU输送到相应的网络中进行信息数据的传输。其中,此处所述的信息中断、信息篡改以及数据信息内容的伪造是上述所说的一种计算机网络完全的被动攻击方式。
四、电厂生产控制系统对网络安全的改进方案
1.物资需求计划的应用
MRP即物资需求计划,所谓物资需求计划指根据产品结构中不同层次的物品的从属关系和数量关系,以单件产品为对象,以完工时间为标准的倒排计划,根据提前期的长短制定物品下达时间的先后顺序,是一种电厂内的物资计划管理模式。通过运用物资需求计划,精确地对每月的生产任务进行合理安排,可以有效解决电厂生产过程中出现的“月初任务松,月末任务紧”的现象,通过合理调整生产计划,使发电厂对市场的应变能力加强。
2.完善身生产生产计划和控制系统
发电厂需要将安全生产列为其主要的研究内容,通过确保其生产质量提高其在同行业中的竞争力,从而获得较大的经济效益。通过完善发电厂自身的管理体系,使其在进行安全生产的同时,保障其生产计划的顺利执行。建立并完善合理的监督管理体系,有助于提高发电厂内部员工的自觉性和职业素质,可以在满足客户需求的同时,有效地提高发电厂的经济效益。
3.主生产计划方案编制
所谓主生产计划,是物资需求计划的主要输入因素,其以合同为依据,并按一定的时间段对相关电力产品的数量以及交货日期进行合理分析,并在现有的生产计划与设备资源中做出相应的平衡的新型生产计划。另一方面,从客户和电厂的双方面角度出发,主生产计划方案的编制一方面为电厂制定了完备的生产和控制计划,另一方面使得电厂的各项生产得以有序进行,从而提高了电厂与用户的合作效率。
五、强化生产控制系统安全的措施
1.对安全规划产生足够的重视
电厂网络安全规划就是全面的思考网络的安全问题,对于安全问题,需要以系统观点进行考虑。要想提升安全管理的有效性,就需要对信息安全管理体系进行全面系统的构建。
2.对安全域进行合理划分
电厂将电厂网络的内外网实行了物理隔离,但是在内网上,安全域的合理划分依然非常重要。在划分的时候,需要结合整体的安全规划和信息安全等级来进行,对核心重点防范区域和一般防范区域以及开放区域进行划分。网络安全的核心就是重点防范区域,用户不能够对这个区域直接访问,安全级别较高;应该在这个区域内放置各种重要数据、服务器和数据库服务器,在本区域内运行各种应用系统、OA系统等。
3.对安全管理进行强化,对制度建设产生足够的重视
为了促使电厂网络信息安全得到保证,就需要系统性的考虑电厂网络信息安全,对于电厂网络的安全问题,非常重要的一个方面就是安全管理和制度建设。首先要对日志管理和安全审计产生足够的重视,通常情况下,审计功能是防火墙和入侵检测系统都具备的,要将它们的审计功能给充分利用起来,提升网络日志管理和安全审计的质量。要严格管理审计数据,任何人不得对审计记录进行随意的修改和删除。
4.构建内网的统一认证系统
控制系统网络安全篇(6)
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。
控制系统网络安全篇(7)
中图分类号:TP273 文献标识码:A 文章编号:1671-7597(2012)1210177-01
0 前言
随着计算机应用的日益广泛、通信技术和信息网络的快速发展,一些功能独立的计算机利用信息技术来互联起来,这样就形成了一个庞大的网络系统。计算机网络系统已经广泛的应用于社会的各个领域。计算机网络系统在给人们带来便利的同时,其安全问题也日益突显出来。网络自身存在着脆弱性,这样就会导致网络系统平台的搭建过程中出现不稳定的因素。这样就会导致非法入侵、病毒传播以及平台崩溃等现象出现。因此,解决网络中的不安全问题,提高网络系统的安全性与可靠性,是现阶段亟待解决的问题。加强计算机网络系统安全是十分有意义的。
1 网络系统安全的定义
所谓网络系统安全,主要是指软件、硬件以及其系统中的数据受到保护,并且不受偶然或者恶意原因造成的破坏和泄露,从而系统可以连续正常可靠的运行。网络服务不中断主要包括网络系统和信息安全。在实际的应用过程中,网络协议本身就存在着缺陷,计算机软件也存在一些安全漏洞,人们忽视了网络系统的安全等。这些都会使网络系统面临着严重的安全问题,并且还会给网络系统带来很大的风险。
2 网络系统的不安全因素
计算机网络系统面临的威胁主要分为两种:一种是对网络系统中信息的威胁,还有一种就是对网络系统中设备的威胁。影响计算机网络系统的因素有很多种。在这些因素中,有一些因素是有意的,而还有一些因素则是无意的;有些因素是认为的,还有一些因素是非人为的;有些因素是外来的黑客对网络系统资源的非法占有。这样总的来说,针对计算机网络系统的不安全因素主要有以下几方面:
1)人为的无意的失误。网络系统操作员安全配置不恰当时引起的网络系统安全漏洞,网络系统用户的安全意识不够强,用户口令的选择也比较简单,计算机用户将自己的账号随便地转接给他人使用或者与别人共享自己的账号,这样都会给网络系统安全带来威胁。
2)人为的恶意的攻击。人为的恶意的攻击时计算机网络所面临的最大的威胁。对手的攻击和计算机网络犯罪属于人为的恶意的攻击这一类。人为的恶意的攻击主要包括两种:一种是主动攻击,这种攻击是以各种方式进行有选择的破坏信息的有效性和完整性;另一种就是被动攻击,这种攻击是在不影响计算机网络系统正常工作的情况下,利用截获、窃取以及破译等的方式来获得重要的机密信息。人为的恶意的攻击不仅对计算机网络系统造成很大的危害,还有可能导致一些机密数据泄漏。
3)计算机网络软件的漏洞。计算机网络软件并不是百分之百的没有缺陷和漏洞的。然而,黑客进行攻击的首选目标就是计算机网络软件的漏洞和缺陷。那些黑客攻击计算机网络内部的事件,大多数就是因为计算机网络系统安全措施不完善所导致的结果。还有软件公司的编程人员为了自身的利益设置一些软件的“后门”,这些“后门”一般都不为外人所知道。然后,这些后门将会造成很严重的后果。
3 网络系统的安全对策
1)物理安全策略。计算机网络系统的核心部分之一就是机房。因此,要想保证网络信息系统的安全,就要采取一定的物理安全策略,构建一个良好的工作环境。对于那些重要的的设备则要安装防电磁辐射装置。同时还要建立一个完备的安全管理制度,这样可以防止偷窃、破坏等活动的发生。
2)设立防火墙。所谓防火墙是一个负责访问控制的安全设备。这种设备可以内外隔离,从而有效地阻止外界对内部网络资源的非法访问,同时还可以控制对外部那些特殊站点的访问。因此,要想充分发挥防火墙的作用,这就需要计算机网络管理人员对防火墙进行合理的配置。尽可能的少开一些端口。同时还要采用一些过滤严格的WEB程序以及一些加密的HTTP协议。
3)对网络数据进行加密。对计算机网络数据进行加密主要是为了保证数据在存储和传输的过程中的保密性。对网络数据进行加密主要是通过变换和置换的方式将那些需要被保护的信息置换成秘闻,然后进行信息的存数和传输。在对信息进行加密的过程中,要保证那些加密信息在进行存储和传输的过程中不会被那些非授权人员获得,从而达到保护信息的目的。
4)对计算机网络系统进行入侵检测。对计算机网络系统进行入侵检测就是从计算机网络中手机信息。通过对这些信息来分析计算机网络的入侵特征。查找那些非法用户的越权操作,同时还要检测网络系统的正确性和安全漏洞,并手机相关的入侵攻击信息。避免网络系统受到入侵。
5)安装安全防护软件。计算机网络系统是一个动态运行的系统。计算机网络受病毒等恶意程序的威胁。因此,要采取一些企业级别的防护产品,并对网络系统进行定期的升级和修补。对于那些来历不明的软件和程序,不要随便打开或者执行。
6)对网络安全漏洞进行扫描。计算机网络系统安全扫描不仅可以检测到本地主机上的弱点,还可以让网络管理人员及时对这些漏洞进行修补。安全漏洞扫描软件主要包括主机、网络漏洞扫描以及专门对数据库安全漏洞进行检查的扫描器。
7)计算机网络管理。在对计算机网络进行网络风险防范时,还要重视管理工作。可以指定一些网络管理规章制度以及一些应急措施,规划计算机网络安全策略,确保网络的安全性和可靠性。
4 结束语
在计算机网络系统中,没有绝对的安全。所谓的网络安全不仅是技术上的问题,还是安全管理上的问题。因此,为了保障计算机网络安全,要建立一个良好的计算机网络安全系统,提高计算机的安全意识,确保网络系统的安全,确保网络信息的安全。
参考文献:
[1]闫娟、杨慧斌,神经网络PID在PLC系统控制中的应用研究[J].计算机仿真,2012(1).
控制系统网络安全篇(8)
中图分类号: TN915?34 文献标识码: A 文章编号: 1004?373X(2013)20?0121?03
无线传感网络相对有线网络拥有无需考虑布线的优势,但仍然不可避免要受网络中的延时、丢包、干扰等因素的影响。矿井下环境非常复杂,这就使得矿井安全监控系统采集的井下环境参数在矿井下的传输受到随机、不确定的干扰影响。本文将非线性PID控制策略控制的无线传感网络应用于矿井安全监控系统,可以提高无线传感网络的抗干扰能力。
1 基于无线传感网络的矿井安全监控系统
矿井安全监测系统要求能够实时地采集井下环境参数,并能够将采集到的数据传输给井上的监控微机,并能够实时反映井下人员的位置[1]。系统可分为四个部分,其总体结构如图 1所示。
系统中位于最上层的是井上监控室的监控微机,负责安全监控的工作人员通过监控微机的监控软件给下层节点发送命令,查询矿井下环境参数数据信息及各节点的工作状态;处于第二层的是二级汇聚节点,负责将上级命令发送给下级汇聚节点并将下级总线上的数据信息发送给上级监控微机;处于系统第三层的是一级汇聚节点,其作为网关节点起到无线传感网络中网络路由器的作用;系统的最底层由数量相对较多的无线传感器节点构成,这些无线传感器节点构成无线传感网络系统,采集环境数据及节点的工作状态发送给上级。本文通过改善无线传感网络的抗干扰能力提高采集信号数据的准确性,实现矿井安全监控系统可靠性提高。
2 无线传感网络干扰控制研究
从控制角度出发,采用各种智能控制算法来改变控制策略以提高无线网络的可控性;从通信角度出发,通过改进网络通信协议来提高无线网络的稳定性;从通信与控制相结合的角度出发,通过采用动态网络调度来减小无线网络系统中的时延、丢包、干扰等因素对其稳定性的影响。文章从控制角度出发,选择结构简单,易于实现的非线性PID控制器,在改善传统PID控制器在快速性和稳定性方面存在的缺陷同时,也降低了干扰对无线传感网络控制系统的影响,保证采样信号的准确性,使得矿井安全监控系统更加可靠。
2.1 非线性PID控制原理
建立非线性PID控制器的模型常用的方法是根据系统输出偏差ep的大小来修改常规PID控制器的系数kp、ki和kd来实现建立模型的目的[2]。图2为二阶系统响应曲线,以图2进行分析。
从图2可以看出,系统响应曲线可以按时间划分为5段。在不同的时间段,系统偏差ep大小不同,比例、积分和微分参数在不用时间段的期望变化趋势也不同。根据系统期望比例、积分和微分参数的期望变化趋势构造相应的增益函数。
(1)比例增益参数kp(ep)的确定。在响应时间0≤t
式中ap,bp,cp为正常数。
(2)积分增益参数ki(ep)的确定。系统希望偏差ep较小时,积分增益增大,以消除系统的稳态偏差,构造积分增益系数ki的非线性偏差函数为[4]:
式中ki[∈](0,ai)。
(3)微分增益参数kd(ep)的确定。在响应时间0≤t
式中ad,bd,cd,dd为正常数。
非线性PID控制算法为:
[ut=kpeptept+kiept0teptdt+kdeptdeptdt]
由上式可以看出,该算法增强了对被控对象模型参数变化的适应范围,有利于增强整个控制系统的鲁棒性。
2.2 仿真与结果分析
对安全监控系统中的无线传感网络系统进行建模,模型如图3所示。
如图3所示,无线传感网络系统中包含了4个节点:干扰节点、执行器节点、控制器节点以及传感器节点[6?7]。传感器节点对被控对象进行周期采样。改变干扰节点中的BWshare参数,以改变干扰量的大小。BWshare分别设为0.2和0.6。运行仿真模型,示波器显示不同干扰量下的采样波形输出情况,得到图4。图4为常规PID控策略下干扰量为20%和60%采样信号输出曲线;图5为非线性PID控制策略下干扰量为20%和60%采样信号输出曲线。
从图4可以看出,常规PID控制下,在干扰量较低时,采样信号能够跟踪参考输入信号的变化(图中方波为参考信号),但当干扰量较大时,系统的控制性能明显不能满足控制要求;而图5则显示,控制策略改为非线性PID控制时,虽然干扰量加大但采样信号仍能快速跟踪参考输入信号,系统的控制性能质量降低不明显。
纵向比较曲线图可知,在相同的干扰量下,不论是干扰量较小还是较大时,非线性PID控制策略下的采样信号输出曲线都比常规PID控制策略下的被控对象采样曲线更加理想。
3 结 语
(1)仿真结果显示,非线性PID控制要比常规PID控制对无线网络控制系统的控制效果要好,保证了监控微机收到的井下环境数据和节点工作状态信息的准确性,能够提高矿井安全监控系统的可靠性。
(2)非线性PID控制器不仅改善了传统PID控制器在快速性和稳定性方面存在的缺陷,而且结构简单,易于实现,应用前景广泛。
(3)在已做工作的基础上,可以考虑在无线传感网络中加入Smith预估补偿器,虽然增加了硬件的复杂度,却能够使得整个系统更加稳定,进一步保证矿井安全监控系统的可靠安全。
参考文献
[1] 李纪榕,李福进,吴艳微,等.基于无线传感网络的煤矿安全检测系统设计[J].传感技术学报,2011,45(9):1336?1340.
[2] 雷文彬.一种非线性PID控制算法的仿真研究[J].计算机仿真,2012,29(4):268?271.
[3] 刘丹丹,吉建娇,张姣姣,等.PID调节器及其控制规律分析[J].科技创新导报,2009,22(8):81?82.
[4] 郭彦青,姚竹亭,王楠.非线性PID控制器研究[J].中北大学学报:自然科学版,2006,27(5):423?425.
控制系统网络安全篇(9)
中图分类号:TP393.08
近年来,随着信息技术的深入发展,疾病预防控制工作的信息化步伐日益加快,大量疾控信息系统相继投入使用,极大的推动了疾控工作水平的提升。在我们享受网络带来的优势与便利的同时,不知不觉中也增加了对信息系统及网络的依赖性,继而不可避免的要面对网络开放性所带来的信息安全方面的新挑战[1]。
信息安全问题在疾控机构的突出表现在网络上的信息安全隐患,网络系统要求生成、流动及存储的数据,不受偶然的或者恶意的破坏、泄露、更改,系统能够不间断工作,网络持续提供正常服务。疾病预防控制系统承担着卫生应急处置、食品安全、职业安全、健康相关产品安全、放射卫生、环境卫生、妇女儿童保健等各项公共卫生管理工作,存储着全社会人群的大量公共卫生数据,对信息的保密性、完整性、可用性、真实性和可控性要求很高。对于疾控系统而言,信息安全不仅仅涉及到个人和单位的安全与利益,甚至影响到地区乃至国家的经济发展与社会稳定,不可轻视。
1 目前疾控系统常见的网络信息安全问题
1.1 管理方面的问题
1.1.1 信息安全认识不足,责任意识薄弱
近年来,随着疾控系统的信息化建设的日益深入,广大干部职工的信息化应用能力日益提高,但主要局限于利用网络开展业务工作和学习,对网络信息的安全性认识尚有不足,安全意识比较淡薄。对各级疾控机构而言,更注重的是利用网络开展疾病报告、健康教育、新闻宣传等业务工作,对信息安全方面的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的查漏封堵状态,仅能勉强做到事后补救,事前防范无从谈起。很多单位领导还没有把信息安全列为重要的安全日常安全管理职责,侥幸心理比较普遍,无法形成全民主动防范、积极应对的良好工作氛围,无法从根本上提高网络安全的监测防护、响应处置及抵御抗击能力。
1.1.2 信息化专业科室薄弱,管理制度不够健全
疾控系统更加强调卫生防病相关能力建设,往往忽视信息化能力的建设,信息部门未受到应有的重视,很多疾控机构尚未设立独立的信息管理部门。日常工作职责也仅限于应付网络设备、电脑终端、应用软件的维护和培训,管理制度上普遍存在重使用、轻管理、更轻安全,往往仅从硬件使用上进行管理,未将网络安全管理与审计日常管理制度,无法有效定期落实。
1.1.3 网络安全软硬件投入不足,能力建设滞后
疾控机构的投入基本上集中在公共卫生相关业务上,对于网络信息安全重视不足,常以满足电脑和网络能够正常运行,不影响业务工作为要求,有限的投资也往往用在终端和网络设备购置上,对于网络系统安全建设方面缺乏未雨绸缪的长远规划。特别是基层疾控机构盗版系统软件较为普遍,容易隐藏木马、后门等恶意代码,不仅占用了大量的网络带宽资源,甚至攻击疾病上报系统,影响业务工作正常开展。
1.1.4 专业人员缺乏,网络安全处置能力不强
网络系统的正常运行离不开系统管理人员,但疾控系统比较偏重于公共卫生专业人员,信息专业人员比较匮乏,有的单位甚至没有,常出现网络系统管理维护混乱、系统的管理措施不当、保密信息的意外泄露等认为因素失误。同时,信息专业人员网络信息安全模拟演练不够,往往缺少网络安全突发事件应对经验,对于突发的网络信息安全事件无法合理应对、有效处置。
1.2 技术方面的问题
1.2.1 权限攻击
互联网中任何人只要能实际接触到线缆且拥有适当的工具就能接入网络,并且成为上面的超级用户,这是它最大的优点也是最大的弱点。攻击者通常可以用root身份执行有缺陷的系统守护进程,在远程实现无需一个账号登录到本地,直接获取系统管理员权限的操作,擅自修改程序,实施基于权限的攻击[2]。疾控近年来上线了大量公共卫生管理系统,实现了很多网络报病系统的整合,账号的权限往往过大,交叉过多,一旦发生权限攻击并成功,将造成严重的数据损失,隐患很大。
1.2.2 系统漏洞攻击
互联网最基本的协议是TCP/IP,它的特点是讲求了效率但忽视了安全性,重复代码量大,运行效率降低,本身的安全性存在缺陷,很容易被窃听和欺骗[3]。漏洞是指利用硬件、软件、协议在具体安全策略存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统。疾控系统报病终端众多,操作系统使用人员网络安全知识有限,系统补丁很难全面及时地补全,往往给系统漏洞攻击提供了可乘之机。
1.2.3 垃圾邮件
垃圾邮件是指攻击者利用邮件的公开性进行操作,将邮件强行推送至别人的电子邮箱,强迫他人接受垃圾邮件。使用者往往采用了很弱的口令加密方式,使攻击者可以很容易地分析口令的密码,从而使攻击者通过某种方法得到密码后还原出原文来。疾控系统大多还依赖免费的电子邮箱服务,安全机制较为缺乏,容易受垃圾邮件侵扰。如果邮件中夹杂恶意链接或代码,很容易使终端收到攻击,为数据安全带来极大的隐患。
1.2.4 病毒攻击
计算机病毒已广为人知,是指编制或插入在计算机程序中的,能破坏计算机功能和数据,影响计算机使用并且能自我复制的一组计算机指令或者程序代码[2]。病毒传播性、隐蔽性、破坏性和潜伏性等共同特性。盗版软件和网络非法软件很容易成为病毒载体,被疾控中心工作人员错误下载至疾控系统的使用终端,如果潜伏发作,有可能感染整个局域网,造成严重的网络安全事件。
1.2.5 黑客攻击
黑客是影响网络安全的最主要因素之一。由于工作需要疾控中心网络与互联网相连,信息共享的同时也面临着遭遇攻击的风险。现在互联网上可以下载到很多攻击工具,进行黑客攻击的技术门槛大大降低。疾控系统存贮这大量的社会人群的公共卫生数据,也容易吸引很多黑客的注意力,由于黑客工具容易获得,设置简单、使用方便、破坏力大,往往一个很普通的上网者也会对疾控系统造成很大的危害。
2 解决网络信息安全问题的对策
2.1 提高认识,加强网络安全管理的制度建设
坚持网络信息安全相关法律法规的宣传和贯彻,提高领导和全民的网络信息安全认识,把网络信息安全作为安全责任制度的一项重要内容,形成一把手负总责的领导机制和责任追究机制,切实提高网络信息管理的力度。
健全安全管理制度,提高可操作性,做好平时的制度落实和演练,当网络出现被攻击行为或其它安全威胁时(如内部人员的违规操作等),可以实时的监控、检测、报告与预警。当事故发生后,可以保留追踪线索及破案依据,提高网络的可控性与可审查性。将健全的管理制度和日常的严格管理相结合,充分保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络,为业务工作提供可靠的服务。
2.2 加大软硬件投入,加强专业人员队伍建设
“工欲善其事,必先利其器。”必要的网络安全设备必不可少,网络安全问题究其本质也就是信息安全。近年来,但是目前我国自主开发研究的网络安全产品逐渐丰富,价格逐渐降低,根据数据显示,目前我国国产防火墙约有 131 个产品,防火墙的功能早已从简单的封包过滤向多元化演进,功能已涵盖应用、防病毒、实时监控、VPN、入侵检测、安全审计、集封包过滤等多种功能。疾控系统购置并正确使用适当的网络安全设备可以构建起保障整个机构的网络安全的第一道技术防线[3]。
人才缺乏是基层疾控机构网络信息安全管理薄弱的主要原因之一,疾控信息系统要发挥作用,最终要由公共卫生专业人员使用,因此各级疾控机构要着力培育熟悉信息技术和卫生业务的复合型人才。另一方面,要提高全员的网络信息安全意识和能力,加强对各类专业技术人员进行不同层次的信息技术培训,使每一位员工都了解信息化方面的培训,理解掌握一定的信息安全技术,提升计算机与网络应用技能,更好地完成各项业务工作。
2.3 完善安全策略,全面掌握各项网络信息安全技术
全面掌握各项网络信息安全技术,是提高网络安全水平的根本保证。疾控机构在网络日常管理工作中必须完善各项安全策略,充分利用各项成熟的计算机技术保障网络信息安全。比如物理措施:例如,保护网络关键设备(如交换机、服务器等),采取防辐射、防雷、防火以及安装不间断电源(UPS)等措施。访问控制:对用户访问网络资源的权限进行严格的认证和控制,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。网络隔离:采用单机隔离卡或网络安全隔离网闸内外网络的隔离。数据加密:对重要数据进行加密存储和传输,确保保障信息被非法截获后不能轻易读懂其含义,防止重要信息泄露。其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
3 结束语
在信息技术支持和信息资源管理需求迅速增长的行业大趋势下,疾病预防控制信息化建设工作随着国家疾病预防控制体系的建设与发展得到了不断的深化与加强,基础网络和业务应用系统的建设有序地推进,信息的整合利用与共享服务不断加强积极推进,信息支撑作用日益显现,信息化的深度和广度不断提升。在此大背景下,疾控系统的网络信息安全问题将日益突出,必须得到各级疾控机构的关心和重视[4]。
网络信息安全问题是一个信息社会共同面对的复杂而长远的工程,疾控的网络信息安全也不例外,随着疾病预防控制各业务系统的建立与应用,信息安全问题越来越突出显现出来,“信息孤岛”效应造成了的信息的分散,造成安全管理责任分散,加上目前信息安全的基础建设相对薄弱,带来了一系列网络信息安全问题的隐患[5]。这就要求各级疾控机构高度重视网络信息安全问题,按照“人防+技防”的总体原则,切实加强网络安全管理的制度建设,进一步加大软硬件投入,特别是网络安全设备的投入,加强专业人员队伍建设,不断完善各项安全策略,掌握运用好各项网络信息安全技术,变被动为主动,整体统一防范,充分提高网络信息安全管理水平,更好的保障疾病预防控制各项业务工作的开展。
参考文献:
[1]刘宝旭,许榕生.网络安全关键技术[J].信息网络安全,2005(7).
[2]司天歌,刘铎,戴一奇.安全的基于网络的计算机系统[J].清华大学学报,2007(07).
[3]胡江.计算机网络安全问题和对策研究[J].科技风,2010(24).
[4]伍立玲,刘亚民.传染病报告质量影响因素及改进对策探讨[J].中国社会医学杂志,2010(3).
控制系统网络安全篇(10)
当今社会,人们获取信息的重要途径就是计算机网络,在计算机网络发展的同时也存在一些安全隐患,它不会通过安全的体系设计方案进行解决,比如非法访问用户账户、干扰计算机网络的正常运行、破坏数据的完整性,传播网络病毒,进行数据盗取等。医院要想计算机网络消除安全方面的隐患,需要先对影响计算机安全的因素有个大体的了解。下面就讲解了影响医院计算机信息网络系统安全的因素。
一、影响医院信息系统安全的因素
1.自身系统及软硬件的不稳定
医院信息网络系统不可避免的会出现安全漏洞。信息网络系统最容易出现漏洞的方面有调用RPC漏洞,缓冲区溢出漏洞。信息网络系统的数据库也比较容易受到攻击。信息网络系统出现的漏洞被利用后,可能会遭受远程攻击。应用软件具有一定的软件缺陷,这种缺陷可以存在于小程序中,也可以存在于大型的软件系统中。软件的缺陷导致了医院信息网络系统的安全风险。网络硬盘设备方面也存着在缺陷,网络硬盘作为信息传递中重要的硬件设备,在被人们使用的同时也存在着安全隐患,它包含的电磁信息泄露是主要的安全隐患。网络硬盘与计算机信息网络系统组成的不牢固也能造出计算机信息网络系统安全隐患。
2.网络病毒的恶意传播
现在网络病毒从类型上来分有木马病毒和蠕虫病毒。木马病毒采用的是后门启动程序,它往往会隐藏在医院计算机的操作系统中,对用户资料进行窃取。而蠕虫病毒比木马病毒更高级一些,它的传播可以通过操作系统以及软件程序的漏洞进行主动攻击,传播途径非常广泛,每一个蠕虫病毒都带有检查计算机电脑是否有系统及软件漏洞的模块,如果发现电脑含有漏洞,立刻启动传播程序传播出去,它的这一特点,使危害性比木马病毒大的多,在一台电脑感染了蠕虫病毒后,通过这个电脑迅速的传播到、该电脑所在网络的其他电脑中,电脑被感染蠕虫病毒后,会接受蠕虫病毒发送的数据包,被感染的电脑由于过多的无关数据降低了自己的运行速度,或者造成CPU内存占用率过高而死机。漏洞型病毒传播方法主要通过微软windows操作系统。由于windows操作系统漏洞很多或者用户没有及时的进行windows系统的自身更新,造成了漏洞型病毒趁虚而入,攻占医院的计算机电脑。计算机技术在更新换代,病毒技术也在发展变化,现在的网络病毒不像以前的计算机病毒,现在的病毒有的可以通过多种途径共同传播,比如集木马型病毒、漏洞型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。
3.人为恶意攻击
人为的恶意攻击是医院计算机信息网络系统面临的最大安全风险,人为的恶意攻击可以分为主动攻击和被动攻击,主动攻击是有选择的通过各种形式破坏信息网络系统的完整性和有效性;被动攻击是在不影响医院信息网络系统正常运行的情况下,进行数据信息的窃取、截获以及寻找重要的机密文件。它们都对医院的信息网络系统造成了巨大的危害。
二、保护医院信息系统安全的措施
1.建立防火墙防御技术
防火墙设计的理念是防止计算机网络信息泄露,它通过既定的网络安全策略,对网内外通信实施强制性的访问控制,借此来保护计算机网络安全。它对网络间传输的数据包进行安全检查,监视计算机网络的运行状态。一个完整的防火墙保护体系可以很好的阻止威胁计算机的用户及其数据,阻止黑客通过病毒程序访问自己的电脑网络,防止不安全因素扩散到电脑所在的局域网络。通过将用户电脑的使用账户密码设置的高级些,,禁用或者删除无用的账号,不定期进行账号密码的修改都可以很好的防止病毒侵入。由于网络入侵者的实时性、动态性,所以在计算机网络中防火墙软件要做到实时监控的要求。防火墙的实时监控技术通过过滤在调用前的所以程序,发现含有破坏网络安全的程序文件,并发出警报,对可疑程序进行查杀,将网络入侵者阻拦,使计算机免受其害。
2.采用特征码技术
目前的查杀病毒采用方法主流是通过结合特征码查毒和人工解毒。当搜查病毒时采用特征码技术查毒,在杀除清理的时候采用人工编制解毒技术。特征码查毒技术体现了人工识别病毒的基本方法,它是人工查毒的简单描述,按照“病毒中某一类代码相同”的原则进行查杀病毒。当病毒的种类和变形病毒有相关同一性时,可以使用这种特性进行程序代码比较,然后查找出病毒。但是描述特征码不能用于所有的病毒,许多的病毒很难被特征码进行描述或者根本描述不出来。在使用特征码技术时,一些补充功能需要一同使用,比如压缩包和压缩可执行性文件的自动查杀技术。
3.其他网络安全保护对策
加密技术通过将医院计算机信息网络系统的可读信息变为密文来保护网络安全。IP地址影响着用户的计算机网络安全,网络黑客通过特殊的网络探测手段抓取用户IP,然后对此发送网络攻击。对IP进行隐藏是指通过用户服务器上网,防止了网络黑客获取自己的IP。关闭电脑中不必要的端口也可以有效防范黑客的入侵,还能提高系统的资源利用率。对自己的账号密码进行定期、不定期的更改,然后设置账号密码保护问题,可以在第一道防线阻止网络黑客的入侵。及时更新计算机操作系统和应用软件可以有效避免漏洞病毒的侵入。安装知名的保护网络安全软件,对保护网络安全的软件进行及时更新。
总结
医院信息网络系统的安全与医院的经济效益息息相关。影响医院信息网络系统安全的因素是多方面的,网络病毒也在不断发展进化,面对这种严峻的形势,我们不能只采用单一的防范措施,而是采用多种保护医院信息网络系统安全的措施,相互协调,发挥优势,扬长避短,保证医院的信息网络系统在防范风险方面取得较好的效果。
参考文献:
[1]王鑫.关于医院网络环境下计算机安全的防范技术[J].计算机与数字工程,2009
控制系统网络安全篇(11)
铝制品在我国生产生活中被广泛应用,因此铝电解技术影响到社会发展的方方面面,在铝电解发展过程中,科学技术发挥着十分重要的作用,自动化控制和通讯网络的出现推动了铝电解技术的发展,但随着自动控制技术和网络通讯的广泛应用,自动控制网络安全问题也随之产生,对其进行深入研究,可以保障铝电解自动控制网络的安全和稳定性,从而保障铝电解生产的稳定运行。
1铝电解自动控制系统概念
铝电解自动控制系统分为电解车间自动控制系统和辅助车间自动控制系统。电解车间自动控制系统主要包含槽控机系统和上位机。槽控机实时采集数据信息、控制电解槽正常运行,其中包含打壳、下料等操作,并且还具有报警、处理等功能,以实现铝电解的自动化控制。辅助车间自动控制系统主要包含PLC、上位机以及检测仪表和设备,实现对辅助车间工况的监测与控制。
2铝电解自动控制网络安全运行问题
随着市场竞争日益激烈,需要铝行业实施控制和管理的一体化,并且随着互联网技术的快速发展,使得铝电解控制系统和相应的管理系统向着网络化集成发展,这就使得控制系统变得更为复杂。虽然铝电解自动控制系统网络与互联网的集成实现了资源数据信息共享,使得工作效率得以提升,但也为工厂生产带来更多的安全问题,使得运行风险加大。(1)物理连接层面的安全运行问题。铝电解厂在运行和施工过程中,架空和埋地网络线路容易被强行破坏,此时简单网络将会彻底瘫痪,无法工作,设备层网络的破坏会造成生产停车甚至产生安全事故。除此之外,铝电解厂属于强磁场环境,磁场对通讯网络产生很大的干扰,如不能彻底解决磁场干扰问题,将可能会导致数据传输不稳定或者通讯失败。(2)数据传输层面的安全运行问题。随着技术的进步,电解铝厂的控制系统和管理系统逐步向集中化发展,自动控制网络常与管理层网络连接在一起,操作站作为网络访问端口,容易受到病毒和木马的攻击,如果管理不善,病毒和木马入侵网络,会影响整个工厂的正常生产,造成巨大的经济损失,因而自动控制网络数据传输安全问题应得到重视。
3铝电解自动控制网络安全运行问题的解决对策
3.1物理连接层面安全运行问题的解决对策。(1)冗余网络。冗余网络包括软件冗余和硬件冗余。软硬件冗余技术结合起来实现两条完全相同,互为备用的网络,一条线路损坏可以快速切换至另一条,从而不影响系统通讯,提高系统的稳定性。冗余网络是自动控制系统安全运行的保障,可降低意外中断风险,从而通过及时响应保障生产设备能够安全稳定运行,减少关键数据流上任意一点失效带来的影响。(2)光纤通讯。与普通网络相比,光纤通讯抗干扰能力强,信号衰减小,无中断设备,因此传输距离远,传输容量大,并且信号质量高。光纤设备尺寸小、重量轻,方便传输和铺设,特别适用于电磁干扰强,传输距离远以及传输数据量大的场合。为降低铝电解厂内的磁场对网络通讯的干扰,对于较长的通讯网络,采用光电转换器将电信号转化为光信号传输,在接近接收设备时再进行逆向转换,能取得较好的抗干扰效果[1]。(3)屏蔽接地。屏蔽接地主要分为单端接地和双端接地。单端接地是在屏蔽电缆的一端将金属屏蔽层直接接地,另一端不接地或通过保护接地,利用抑制电势电位差达到消除电磁干扰的目的。在网络传输距离大,线路两端接地电位差较大时,可考虑采用单端接地;双端接地是将屏蔽电缆的金属屏蔽层的两端均接地,如果两个接地点电位差较小,可采用这种接地方式。3.2数据传输层面安全运行问题的解决对策。(1)调整网络传输速率与传输距离相匹配。对于设备层的网络而言,其传输的稳定性与传输距离、传输速率有密切关系。如西门子自动控制系统采用的Profibus-DP网络,主要是负责PLC之间和PLC与设备之间的数据通讯,其网络传输速率和传输距离有着相关关系。如果在传输过程中传输距离超出允许值,却仍使用较大的传输速率,将会造成通讯不稳定,有时还会出现通讯中断的情况。所以,在满足数据刷新的前提下,使用较小的传输速率,可以保障通讯的安全和稳定性。(2)提高员工的网络安全意识,加强网络安全管理。如果想要保障系统网络的安全性和稳定性,需要加强技术与管理之间的融合力度。在网络安全管理过程中,相关工作人员加强网络安全管理是保障自动控制系统网络安全的前提。因此企业应建立完善的网络管理制度、网络操作规范标准和各种网络维护规章制度。除此之外,企业还应定期开展培训活动,大力宣传网络安全教育知识,使得企业上下详细了解木马和网络病毒的危害,提高防护安全意识。并向员工讲解如果出现病毒和木马侵入情况应怎样处理,同时还应对网络系统定期进行检查和维护,有效杜绝网络漏洞问题的发生,全面提升网络的安全和稳定性。(3)制定完善的操作制度,规范访问行为。制定完善的自动控制系统操作制度,对计算机病毒和木马进行预防,从而避免出现网络入侵的情况,确保企业网络的安全可靠性。根据系统网络,设置不同的访问权限,可以通过不同的访问权限访问不同的文件、资源等,从而在一定程度上可以保障网络资源的安全,有效避免非法使用网络资源和非法访问情况的出现。除此之外,企业还应规范员工网络操作方法和浏览网址,严禁企业员工浏览陌生和危险网站,这样可以有效避免病毒和木马的侵入。如果出现上述问题可以利用网络安全杀毒软件对恶意软件和网页进行合理的控制,从而提高自动化系统网络的安全和可靠性。(4)加强防火墙建设,提高网络安全系数。建立防火墙的主要目的是实现外部网与内部网之间的隔离,从而可以在网络边界中建立完善的通信实时监控系统,使得网络按照相关规章制度和标准进行安全访问,并可以根据网络的访问情况进行安全判断,在技术上为内部网络提供屏障,保障网络安全。(5)定期维护和更新计算机操作系统。在自动控制系统的安全问题中,计算机操作系统发挥着十分重要的作用。随着计算机技术的发展和进步,操作系统也快速进行着大版本的更新,微软的WindowsXP系统已经不提供官方维护服务,从而导致操作系统安全性大大降低。一部分铝电解厂的自动控制系统仍然运行在WindowsXP操作系统下,存在安全隐患。在自动控制软件兼容的情况下,可将WindowsXP系统升级为Windows7系统,并允许操作系统进行实时更新,从而保障操作系统的安全稳定性。
