石油化工自动化系统网络安全的设计探索(2)
时间:2018-05-04 17:36 来源:网络整理 作者:墨客科技 点击:次
(3)所有来自L4层的外部访问只能访问L3.5层,确保L3、L2、L1层正常安全运行,安装防火墙,有三个网络接口,第1个口接L3层(内部网络),第2个口接L4层(以太网),第3个口接DMZ边界网络。 (4)生产调度层(L4)包括防火墙、交换机、生产调度站、ODS客户端、WEB客户端等管理节点,通过防火墙访问L3.5层服务器,获取过程信息、画面、报表等。 5、网络安全策略 5.1安全隔离 划分清晰的网络和安全区域边界,制定准确严格的访问控制策略;通过部署工控防火墙,限制非法用户对控制器的访问,减轻控制器负载,防止控制器遭受大规模数据包攻击。 5.2 病毒防护 病毒防护采用软件白名单方式; 只允许在白名单范围内的程序运行,工控系统安装的程序单一稳定,适合软件白名单方式运行。 5.3 安全审计 日志审计和流量监控,网络设备、主机系统的日志收集。 5.4 身份识别 制定严格的身份认证机制,针对不同角色设定不同的身份鉴别方式。 5.5设备自身保护 网络设备加固:关闭不需要的服务,限制远程管理地址,使用加密方式进行远程管理; 主机操作系统加固:安装系统补丁,关闭多余服务,删除多余系统组件; 工控系统自身防护:采用合适软件开发模式,启用身份鉴别和用户权限控制机制等。 5.6 边界完整性 严格控制非授权设备接入,加强对移动介质的管理,及时对输入数据进行扫描查杀,防止数据泄露; DCS、SCADA使用无线网络传输数据,必须对无线信号加密,接入设备认证,无线-有线网络间使用工控防火墙或网关隔离等。 5.7 控制网络的拓扑为星型结构,每个设备的接入带宽完全独享,单点的通讯故障不影响其它设备通讯。 5.8 控制网络完全冗余,BUS1和BUS2同时工作,数据设差错检验,确保两网数据完全一致。 5.9控制器防火墙只允许与控制器有关信息通过,控制、I/O通信、点对点通信保证确定性。 6、网络安全待解决问题 (1)培养兼顾通用软硬件技术和网络安全的复合型人才; (2)工控系统制造商和信息安全制造商应深度合作研发适用的工控系统安全解决方案; (3)工控系统信息安全产品可靠性、可用性、工业环境运行等待提高; (4)自动控制人员加强网络安全知识学习、培训、应用,总结经验; (5)尽快编制工控系统网络安全管理策略及程序。 (责任编辑:admin) |