智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
直播推薦
回放
回放
摘要:信息化是一項系統工程,信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強,企業網絡應用的范圍在不斷擴大。
隨著我國工業信息化建設的不斷深入,信息化已經成為企業發展的重要推動力量,國外石化企業信息化建設和應用已經走在我們前面。經濟化的發展以及WTO的加入,更對石化企業提出了新的挑戰,就石化企業而言,信息化是生存和發展的必由之路。
信息化是一項系統工程,信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強,企業網絡應用的范圍在不斷擴大,如通過互聯網獲取信息、展現企業形象、開展電子商務等,通過廣域網實現集團內部資源共享、統一集團管理等,企業信息化網絡不再是單純意義上的Intranet,而更多的則是基于Internet的網絡和應用。但網絡開放的同時,帶來的安全問題就更加嚴峻了,各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。
石化企業信息化與其它行業相比有一個突出特點,就是以管控一體化為重點。這是由石化行業自身的特點決定的,并具有一定的時代特點。
石化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等*的控制系統,生產管理上也更注重安全和平穩運行。通過加強生產管理,可以實現管理與生產過程控制的融合,通過優化調度、*控制和優化控制等手段,在保證生產平穩的基礎上獲取更大的經濟效益,因此,石化企業信息化的重點是管控一體化。當今的石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型,MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用:一是數據雙向通道的作用。即通過MES系統的實施,可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙,由下至上,通過對底層PCS層數據的搜集、存儲及校正,建立過程控制數據層次上的數字化工廠,結合生產調度層次上的調度事件信息數據等,為上層ERP/SCM計劃管理層提供準確統一的生產數據;由上至下,通過對實時生產數據的總結,上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃,下發MES層進行計劃的分解及產生調度指令,有效指導企業生產活動。因此,MES系統在數據層面上,起到了溝通PCS層和ERP/SCM層的橋梁作用,并保證了生產數據、調度事件等信息的一致性及準確性。另一方面,生產活動的復雜性產生了很多實際的用戶需求,為了滿足這些用戶需求,MES系統也可以視為一個功能模塊的集合。
由DCS、PLC和SCADA等控制系統構成的控制網絡,在過去幾十年的發展中呈現出整體開放的趨勢。以石化主流控制系統DCS為例,在信息技術發展的影響下,DCS已經進入了第四代,新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主,提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如,多數DCS廠商自己不再開發組態軟件平臺,而轉入采用其它專業公司的通用組態軟件平臺,或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站*呈現PC化與Windows化的趨勢。在新一代DCS的操作站中,幾乎清一色采用PC+Windows的技術架構,使用戶的投資及維護成本大幅降低。
同時,DCS網絡技術也呈現出開放的特征。過去,由于通信技術相對落后,網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯,同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時,大多采用基于TCP(UDP)/IP協議的以太網通信技術,使用OPC等開放接口標準。
開放性為用戶帶來的好處毋庸置疑,但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個控制網絡系統,產生安全漏洞的因素是多方面的。
1、網絡通信協議安全漏洞
隨著TCP(UDP)/IP協議被控制網絡普遍采用,網絡通信協議漏洞問題變得越來越突出。
TCP/IP協議簇zui初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后,安全問題發生了。所以說,TCP/IP在先天上就存在著致命的安全漏洞。
1)缺乏對用戶身份的鑒別
2)缺乏對路由協議的鑒別認證
3)TCP/UDP自身缺陷
2、操作系統安全漏洞
PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網絡中,上位機/操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
Windows操作系統從推出至今,以其友好的用戶界面、簡單的操作方式得到了用戶的認可,其版本也從zui初的Windows3.1發展到如今的XP、WindowsServer2003、Windows7等。但是,微軟在設計Windows操作系統時是本著簡單易用為原則的,因而忽略了安全方面的考慮,留下了很多隱患。這些隱患在單機時代并沒有顯現出來,后來隨著網絡的出現和普及,越來越多地使用Windows操作系統的PC接入網絡,微軟埋下的隱患逐漸浮出水面。一時間Windows操作系統漏洞頻繁出現,安全事故時有發生。雖然微軟在Windows2000以后的版本中采用了WindowsNT的核心,在一定程度上提高了Windows操作系統的安全性,但仍然不能避免安全漏洞的不斷出現。另一方面,Windows作為主流的操作系統,也更容易成為眾矢之的,每次Windows的系統漏洞被發現后,針對該漏洞的惡意代碼很快就會出現在網上,從漏洞被發現到惡意代碼的出現,中間的時差開始變得越來越短。以Windows2000版本為例,就曾被發現了大量漏洞,典型的如:輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大,惡意代碼通過這些漏洞,可以獲得Windows2000操作站的*控制權,甚至為所欲為。
3、應用軟件安全漏洞
處于應用層的應用軟件產生的漏洞是zui直接、zui致命的。一方面這是因為應用軟件形式多樣,很難形成統一的防護規范以應對安全問題;另一方面zui嚴重的是,當應用軟件面向網絡應用時,就必須開放其應用端口。例如,要想實現與操作站OPC服務器軟件的網絡通信,控制網絡就必須*開放135端口,這時防火墻等安全設備已經無能為力了。而實際上,不同應用軟件的安全漏洞還不止于此。
控制網絡安全隱患分析
控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷,從而使得攻擊者能夠在未*的情況下訪問和操控控制網絡系統,形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”,其整體安全性不在于其zui強處,而取決于系統zui薄弱之處,即安全漏洞所決定。只要這個漏洞被發現,系統就有可能成為網絡攻擊的犧牲品。
安全漏洞對控制網絡的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網絡系統通過信息網絡連接到互聯上,這種威脅就越來越大。目前互聯網上已有幾萬個黑客站點,黑客技術不斷創新,基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握,將產生不良的后果。
對于控制網絡系統,由于安全漏洞可能帶來的直接安全隱患有以下幾種。
1、入侵
系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源,甚至是*掌控計算機和網絡。
控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備,甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統,對系統造成一些參數的修改,就可能導致生產運行的癱瘓,就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網絡接入到互聯網當中,這種可能就越來越大。
2、拒絕服務攻擊
受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如PingFlooding、UDPFlooding等,以及常見的連接型攻擊如SYNFlooding、ACKFlooding等,通過消耗系統的資源,如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍,從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。
控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓,與控制系統的通信*中斷等。可以想像,受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控,其后果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免,缺乏有效的手段來解決。
3、病毒與惡意代碼
病毒的泛濫是大家有目共睹的。范圍內,每年都會發生數次大規模的病毒爆發。目前已發現數萬種病毒,并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外,各種新型的惡意代碼也層出不窮,如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統病毒相比zui大不同在于自我復制過程。傳統病毒的自我復制過程需要人工干預,無論運行感染病毒的實用程序,或者是打開包含宏病毒的郵件等,沒有人工干預病毒無法自我完成復制、傳播。但蠕蟲卻可以自我獨立完成以下過程:
查找遠程系統:能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。
隨著我國工業信息化建設的不斷深入,信息化已經成為企業發展的重要推動力量,國外石化企業信息化建設和應用已經走在我們前面。經濟化的發展以及WTO的加入,更對石化企業提出了新的挑戰,就石化企業而言,信息化是生存和發展的必由之路。
信息化是一項系統工程,信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強,企業網絡應用的范圍在不斷擴大,如通過互聯網獲取信息、展現企業形象、開展電子商務等,通過廣域網實現集團內部資源共享、統一集團管理等,企業信息化網絡不再是單純意義上的Intranet,而更多的則是基于Internet的網絡和應用。但網絡開放的同時,帶來的安全問題就更加嚴峻了,各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。
石化企業信息化與其它行業相比有一個突出特點,就是以管控一體化為重點。這是由石化行業自身的特點決定的,并具有一定的時代特點。
石化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等*的控制系統,生產管理上也更注重安全和平穩運行。通過加強生產管理,可以實現管理與生產過程控制的融合,通過優化調度、*控制和優化控制等手段,在保證生產平穩的基礎上獲取更大的經濟效益,因此,石化企業信息化的重點是管控一體化。當今的石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型,MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用:一是數據雙向通道的作用。即通過MES系統的實施,可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙,由下至上,通過對底層PCS層數據的搜集、存儲及校正,建立過程控制數據層次上的數字化工廠,結合生產調度層次上的調度事件信息數據等,為上層ERP/SCM計劃管理層提供準確統一的生產數據;由上至下,通過對實時生產數據的總結,上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃,下發MES層進行計劃的分解及產生調度指令,有效指導企業生產活動。因此,MES系統在數據層面上,起到了溝通PCS層和ERP/SCM層的橋梁作用,并保證了生產數據、調度事件等信息的一致性及準確性。另一方面,生產活動的復雜性產生了很多實際的用戶需求,為了滿足這些用戶需求,MES系統也可以視為一個功能模塊的集合。
由DCS、PLC和SCADA等控制系統構成的控制網絡,在過去幾十年的發展中呈現出整體開放的趨勢。以石化主流控制系統DCS為例,在信息技術發展的影響下,DCS已經進入了第四代,新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主,提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如,多數DCS廠商自己不再開發組態軟件平臺,而轉入采用其它專業公司的通用組態軟件平臺,或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站*呈現PC化與Windows化的趨勢。在新一代DCS的操作站中,幾乎清一色采用PC+Windows的技術架構,使用戶的投資及維護成本大幅降低。
同時,DCS網絡技術也呈現出開放的特征。過去,由于通信技術相對落后,網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯,同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時,大多采用基于TCP(UDP)/IP協議的以太網通信技術,使用OPC等開放接口標準。
開放性為用戶帶來的好處毋庸置疑,但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個控制網絡系統,產生安全漏洞的因素是多方面的。
1、網絡通信協議安全漏洞
隨著TCP(UDP)/IP協議被控制網絡普遍采用,網絡通信協議漏洞問題變得越來越突出。
TCP/IP協議簇zui初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后,安全問題發生了。所以說,TCP/IP在先天上就存在著致命的安全漏洞。
1)缺乏對用戶身份的鑒別
2)缺乏對路由協議的鑒別認證
3)TCP/UDP自身缺陷
2、操作系統安全漏洞
PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網絡中,上位機/操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
Windows操作系統從推出至今,以其友好的用戶界面、簡單的操作方式得到了用戶的認可,其版本也從zui初的Windows3.1發展到如今的XP、WindowsServer2003、Windows7等。但是,微軟在設計Windows操作系統時是本著簡單易用為原則的,因而忽略了安全方面的考慮,留下了很多隱患。這些隱患在單機時代并沒有顯現出來,后來隨著網絡的出現和普及,越來越多地使用Windows操作系統的PC接入網絡,微軟埋下的隱患逐漸浮出水面。一時間Windows操作系統漏洞頻繁出現,安全事故時有發生。雖然微軟在Windows2000以后的版本中采用了WindowsNT的核心,在一定程度上提高了Windows操作系統的安全性,但仍然不能避免安全漏洞的不斷出現。另一方面,Windows作為主流的操作系統,也更容易成為眾矢之的,每次Windows的系統漏洞被發現后,針對該漏洞的惡意代碼很快就會出現在網上,從漏洞被發現到惡意代碼的出現,中間的時差開始變得越來越短。以Windows2000版本為例,就曾被發現了大量漏洞,典型的如:輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大,惡意代碼通過這些漏洞,可以獲得Windows2000操作站的*控制權,甚至為所欲為。
3、應用軟件安全漏洞
處于應用層的應用軟件產生的漏洞是zui直接、zui致命的。一方面這是因為應用軟件形式多樣,很難形成統一的防護規范以應對安全問題;另一方面zui嚴重的是,當應用軟件面向網絡應用時,就必須開放其應用端口。例如,要想實現與操作站OPC服務器軟件的網絡通信,控制網絡就必須*開放135端口,這時防火墻等安全設備已經無能為力了。而實際上,不同應用軟件的安全漏洞還不止于此。
控制網絡安全隱患分析
控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷,從而使得攻擊者能夠在未*的情況下訪問和操控控制網絡系統,形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”,其整體安全性不在于其zui強處,而取決于系統zui薄弱之處,即安全漏洞所決定。只要這個漏洞被發現,系統就有可能成為網絡攻擊的犧牲品。
安全漏洞對控制網絡的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網絡系統通過信息網絡連接到互聯上,這種威脅就越來越大。目前互聯網上已有幾萬個黑客站點,黑客技術不斷創新,基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握,將產生不良的后果。
對于控制網絡系統,由于安全漏洞可能帶來的直接安全隱患有以下幾種。
1、入侵
系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源,甚至是*掌控計算機和網絡。
控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備,甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統,對系統造成一些參數的修改,就可能導致生產運行的癱瘓,就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網絡接入到互聯網當中,這種可能就越來越大。
2、拒絕服務攻擊
受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如PingFlooding、UDPFlooding等,以及常見的連接型攻擊如SYNFlooding、ACKFlooding等,通過消耗系統的資源,如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍,從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。
控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓,與控制系統的通信*中斷等。可以想像,受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控,其后果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免,缺乏有效的手段來解決。
3、病毒與惡意代碼
病毒的泛濫是大家有目共睹的。范圍內,每年都會發生數次大規模的病毒爆發。目前已發現數萬種病毒,并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外,各種新型的惡意代碼也層出不窮,如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統病毒相比zui大不同在于自我復制過程。傳統病毒的自我復制過程需要人工干預,無論運行感染病毒的實用程序,或者是打開包含宏病毒的郵件等,沒有人工干預病毒無法自我完成復制、傳播。但蠕蟲卻可以自我獨立完成以下過程:
查找遠程系統:能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。
下一篇:傳感器應用于智能交通四大領域
全年征稿/資訊合作
聯系郵箱:1271141964@qq.com
免責聲明
- 凡本網注明"來源:智能制造網"的所有作品,版權均屬于智能制造網,轉載請必須注明智能制造網,http://www.xashilian.com。違反者本網將追究相關法律責任。
- 企業發布的公司新聞、技術文章、資料下載等內容,如涉及侵權、違規遭投訴的,一律由發布企業自行承擔責任,本網有權刪除內容并追溯責任。
- 本網轉載并注明自其它來源的作品,目的在于傳遞更多信息,并不代表本網贊同其觀點或證實其內容的真實性,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時,必須保留本網注明的作品來源,并自負版權等法律責任。
- 如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系,否則視為放棄相關權利。
浙公網安備 33010602000006號
智能制造網APP
智能制造網小程序
微信公眾號
2025中國鄭州衡器與計量技術設備展覽會
展會城市:鄭州市展會時間:2025-11-07