| 當(dāng)前位置：拓步ERP資訊網(wǎng) >>新聞動(dòng)態(tài) >>企業(yè)應(yīng)用

www.guhuozai8.cn拓步ERP|ERP系統(tǒng)|ERP軟件|ERP管理系統(tǒng)軟件|免費(fèi)ERP系統(tǒng)|免費(fèi)ERP軟件|免費(fèi)進(jìn)銷存軟件|免費(fèi)倉(cāng)庫(kù)管理軟件|免費(fèi)下載專業(yè)資訊網(wǎng)-中石化工控系統(tǒng)安全應(yīng)用案例

中石化工控系統(tǒng)安全應(yīng)用案例

發(fā)布日期：2016-6-18 11:09:13 來(lái)源：www.guhuozai8.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評(píng)論

摘要：石油、天燃?xì)馐且环N重要的燃料和化工原料，已經(jīng)被廣泛的應(yīng)用于我國(guó)國(guó)民經(jīng)濟(jì)的各個(gè)方面，被譽(yù)為“工業(yè)的血液”。同時(shí)，石油作為一種具有政治特性的特殊資源，一種現(xiàn)代戰(zhàn)爭(zhēng)不可或缺的重要戰(zhàn)略物資，成為國(guó)際競(jìng)爭(zhēng)爭(zhēng)奪甚至引發(fā)戰(zhàn)爭(zhēng)的誘因。因此，保障石油石化行業(yè)的健康穩(wěn)定發(fā)展對(duì)我國(guó)的政治、經(jīng)濟(jì)的發(fā)展以及社會(huì)穩(wěn)定均具有重要意義。 原標(biāo)題：中石化工控系統(tǒng)安全應(yīng)用案例 原作者：2016/6/17 來(lái)源：力控華康作者：佚名
關(guān)鍵字：工控系統(tǒng)安全工業(yè)隔離網(wǎng)關(guān) 中石化

石油、天燃?xì)馐且环N重要的燃料和化工原料，已經(jīng)被廣泛的應(yīng)用于我國(guó)國(guó)民經(jīng)濟(jì)的各個(gè)方面，被譽(yù)為“工業(yè)的血液”。同時(shí)，石油作為一種具有政治特性的特殊資源，一種現(xiàn)代戰(zhàn)爭(zhēng)不可或缺的重要戰(zhàn)略物資，成為國(guó)際競(jìng)爭(zhēng)爭(zhēng)奪甚至引發(fā)戰(zhàn)爭(zhēng)的誘因。因此，保障石油石化行業(yè)的健康穩(wěn)定發(fā)展對(duì)我國(guó)的政治、經(jīng)濟(jì)的發(fā)展以及社會(huì)穩(wěn)定均具有重要意義。

中石化西北油田分公司雅克拉采氣廠地處塔里木盆地北緣，這里曾是沙參二井取得重大油氣突破的地方。昔日黃沙漫漫、人跡罕至的雅克拉采氣廠，如今管理著雅克拉、大澇壩、輪臺(tái)、巴楚 4 個(gè)油氣田的 30 多口油氣井，擁有兩座現(xiàn)代化的天然氣集氣處理站。該廠天然氣年產(chǎn)量達(dá)到 9.6 億立方米，原油當(dāng)前日產(chǎn)

1015 噸，已成長(zhǎng)為中國(guó)石化西部天然氣開發(fā)的排頭兵。在實(shí)現(xiàn)“數(shù)字油田”、“數(shù) 字石化”、“數(shù)字石油”信息化方面也不甘人后，但隨著信息化與企業(yè)各個(gè)業(yè)務(wù)環(huán)節(jié)的深入融合企業(yè)面臨的安全隱患也日益凸顯。如何確保信息系統(tǒng)及內(nèi)容在存取、處理和傳輸過程中保持機(jī)密性、完整性和可用性是當(dāng)下急需解決的問題。

企業(yè)系統(tǒng)現(xiàn)狀分析

1. 基本網(wǎng)絡(luò)結(jié)構(gòu)

下圖可見，企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)在地理位置上有三部分構(gòu)成，分別為：雅克拉基地、采氣一廠（大澇壩）采氣二廠（雅克拉），網(wǎng)絡(luò)拓?fù)溆? Industrial network（工業(yè) 網(wǎng)控制網(wǎng)絡(luò)）和 EntERPrise Network(企業(yè)管理網(wǎng)絡(luò))組成，其中，企業(yè)管理網(wǎng)絡(luò)三地通過核心路由互聯(lián)，一廠 HoneyWell DCS 系統(tǒng)組成的工業(yè)網(wǎng)絡(luò)及二廠 FoxBoro DCS 系統(tǒng)組成的工業(yè)控制網(wǎng)絡(luò)各自物理隔離，各自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)示意圖

2. 需求分析

雅克拉采氣廠是典型的資金和技術(shù)密集型企業(yè)，對(duì)信息系統(tǒng)依賴程度很高，生產(chǎn)的連續(xù)性很強(qiáng)，裝置和設(shè)備的意外停產(chǎn)都會(huì)導(dǎo)致巨大的經(jīng)濟(jì)和財(cái)產(chǎn)損失，生產(chǎn)過程控制采用先進(jìn)的 DCS 控制系統(tǒng)，生產(chǎn)管理上也更注重安全和平穩(wěn)運(yùn)行。通過加強(qiáng)生產(chǎn)管理，實(shí)現(xiàn)管理與生產(chǎn)過程控制的融合，通過優(yōu)化調(diào)度、先進(jìn)控制和優(yōu)化控制等手段，在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟(jì)效益，因此，企業(yè)信息化的重點(diǎn)是管控一體化。

要實(shí)現(xiàn)管理與控制的一體化，原始的企業(yè)工業(yè)控制網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)的物理隔離手段已無(wú)法滿足當(dāng)前“兩化融合”的需求，為了提高企業(yè)信息化合綜合自動(dòng)化水平，實(shí)現(xiàn)生產(chǎn)和管理的高效率、高效益，管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間必須實(shí)現(xiàn)數(shù)據(jù)交換，一廠和二廠的生產(chǎn)控制信息及監(jiān)測(cè)數(shù)據(jù)（共計(jì) 2000 余點(diǎn)）必須實(shí)時(shí)地傳輸?shù)交刂锌厥覟楣芾碚咛峁?zhǔn)確統(tǒng)一的生產(chǎn)數(shù)據(jù)；由上至下，通過對(duì)實(shí)時(shí)生產(chǎn)數(shù)據(jù)的展現(xiàn)總結(jié)，基地領(lǐng)導(dǎo)可以根據(jù)現(xiàn)階段生產(chǎn)狀況調(diào)整生產(chǎn)計(jì) 劃，下發(fā)產(chǎn)生調(diào)度指令，有效指導(dǎo)企業(yè)生產(chǎn)活動(dòng)。

本次方案主要是針對(duì)雅克拉、大澇壩兩采氣場(chǎng)的現(xiàn)場(chǎng)數(shù)據(jù)通過力控華康工業(yè)隔離網(wǎng)關(guān) pSafetyLink PSL-A1081 傳輸?shù)窖趴死赝ㄟ^力控科技的 ForceCortol 6.1 Server 進(jìn)行組態(tài)的解決辦法。

3. 安全風(fēng)險(xiǎn)分析

隨著信息技術(shù)的迅猛發(fā)展，信息化在企業(yè)中的應(yīng)用取得了飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用 TCP/IP 技術(shù)，ICS 網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來(lái)越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統(tǒng)開放的同時(shí)，也減弱了控制系統(tǒng)與外界的隔離，在當(dāng)前“兩化整合”的應(yīng)用需求下，工業(yè)控制網(wǎng)絡(luò)同企業(yè)管理網(wǎng)絡(luò)通必須進(jìn)行數(shù)據(jù)交換，工控系統(tǒng)的安全隱患問題就愈發(fā)突顯也備受考驗(yàn)。系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓，造成重在人員財(cái)產(chǎn)損失。典型工業(yè)控制系統(tǒng)入侵事件：

● 2007年，攻擊者入侵加拿大的一個(gè)水利 SCADA 控制系統(tǒng)，通過安裝惡意軟件破壞了用于取水調(diào)度的控制計(jì)算機(jī)；

● 2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導(dǎo)致 4 節(jié)車廂脫軌；

● 2010年，“網(wǎng)絡(luò)超級(jí)武器”Stuxnet 病毒通過針對(duì)性的入侵 ICS 系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營(yíng)；

● 2011年，黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng) SCADA，使得美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

由上可見，在工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)絡(luò)之間如不進(jìn)行安全有效的隔離，勢(shì)必對(duì)企事業(yè)的生命財(cái)產(chǎn)造成致命威脅，主要有以下方面：

通信協(xié)議漏洞

“兩化融合”和物聯(lián)網(wǎng)的發(fā)展使得 TCP/IP 協(xié)議和 OPC 協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來(lái)的通信協(xié)議漏洞問題也日益突出。雅克拉采氣廠數(shù)據(jù)的采集傳輸均采用 OPC 協(xié)議，OPC Classic 協(xié)議(OPC DA， OPC HAD 和 OPC A&E) 基于微軟的 DCOM 協(xié)議，DCOM 協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊，并且 OPC 通訊采用不固定的端口號(hào)，導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的 IT 防火墻來(lái)確保其安全性。因此必須使用有效專用的工業(yè)隔離網(wǎng)關(guān) pSafetyLink 確保使用 OPC 通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性。

操作系統(tǒng)漏洞

雅克拉采氣廠目前工業(yè)控制系統(tǒng)的工程師站 / 操作站 /HMI /Server 都是 Windows 平臺(tái)的，由于工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)及企業(yè)網(wǎng)絡(luò)的隔離，同時(shí)為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性，以及考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場(chǎng)工程師未對(duì) Windows 平臺(tái)安裝任何補(bǔ)丁，但是存在的問題是，不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。

安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定的威脅。現(xiàn)場(chǎng)實(shí) 際操作在工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U 盤等設(shè)備的使用和不嚴(yán)格的訪問控制策略。

應(yīng)用軟件漏洞

由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題；另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口。因此常規(guī)的 IT 防火墻等安全設(shè)備很難保障其安全性�；ヂ�(lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想。

以 Stuxnet 蠕蟲為例，其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè) PC 與控制系統(tǒng)存在的安全漏洞（LIK 文件處理漏洞、打印機(jī)漏洞、RPC 漏洞、WinCC 漏洞、S7 項(xiàng)目文件漏洞以及 Autorun.inf 漏洞），為攻擊者入侵提供了七條隱蔽的通道。

圖2 應(yīng)用軟件漏洞

控制網(wǎng)絡(luò)安全隱患分析

控制網(wǎng)絡(luò)的安全漏洞暴露了整個(gè)控制系統(tǒng)安全的脆弱性。由于網(wǎng)絡(luò)通信協(xié)議、操作系統(tǒng)、應(yīng)用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問和操控控制網(wǎng)絡(luò)系統(tǒng)，形成了巨大的安全隱患�？刂凭W(wǎng)絡(luò)系統(tǒng)的安全性同樣符合“木桶原則”，其整體安全性不在于其最強(qiáng)處，而取決于系統(tǒng)最薄弱之處，即安全漏洞所決定。只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。

安全漏洞對(duì)控制網(wǎng)絡(luò)的隱患體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅。隨著越來(lái)越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)上，這種威脅就越來(lái)越大。目前互聯(lián)網(wǎng)上已有幾萬(wàn)個(gè)黑客站點(diǎn)，黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已達(dá)上千種。這些攻擊技術(shù)一旦被不法之徒掌握，將產(chǎn)生不良的后果。

項(xiàng)目目標(biāo)

通過對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，針對(duì)不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求，實(shí)施工業(yè)控制網(wǎng)絡(luò)安全建設(shè)，針對(duì) DCS 網(wǎng)絡(luò)管理的關(guān)鍵區(qū)域?qū)嵤┛煽康倪吔绨踩O(shè)備及策略，實(shí)現(xiàn)分層級(jí)的縱深安全防御策略，抵御各種已知的攻擊威脅。

本項(xiàng)目的安全目標(biāo)是：

● 保護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的可用性；

● 防范網(wǎng)絡(luò)資源對(duì)工業(yè)控制網(wǎng)絡(luò)的非法訪問；

● 防范入侵者對(duì)工業(yè)控制網(wǎng)絡(luò)的惡意攻擊與破壞；

● 保護(hù)工業(yè)控制網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)陌踩?/div>

網(wǎng)絡(luò)安全方案設(shè)計(jì)原則

在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：

需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則

對(duì)雅克拉采掘廠的網(wǎng)絡(luò)進(jìn)行了實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。

綜合性、整體性原則

應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代價(jià)、效果對(duì)不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

一致性原則

一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期) 同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施。

易操作性原則

安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

適應(yīng)性及靈活性原則

安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。

多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

解決方案

從雅克拉廠總體結(jié)構(gòu)上看，系統(tǒng)網(wǎng)絡(luò)可分為二層次：企業(yè)管理層和控制層。企業(yè)管理層主要從控制層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策，從控制層獲取數(shù)據(jù)，完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析等功能�？刂茖迂�(fù)責(zé) 通過組態(tài)設(shè)汁，完成數(shù)據(jù)采集、A/D 轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID 控制等各種功能。系統(tǒng)的每一個(gè)安全漏洞都會(huì)導(dǎo)致不同的嚴(yán)重后果，所以將它們單獨(dú)隔離防護(hù)十分必要。

參照 ANSI/ISA-99 標(biāo)準(zhǔn)，同時(shí)結(jié)合雅克拉廠的具體情況將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略，如下圖：

圖3 “縱深防御”策略

在工業(yè)控制網(wǎng)絡(luò)同企業(yè)管理網(wǎng)絡(luò)之間采用力控華康工業(yè)隔離網(wǎng)關(guān) pSafetyLin PSL-A1081 主要起到在工業(yè)控制網(wǎng)絡(luò)同企業(yè)管理網(wǎng)絡(luò)之間隔離作用，隔離網(wǎng)關(guān)采用物理隔離和安全通道隔離，將以太網(wǎng)進(jìn)行物理級(jí)安全隔離，安全通道隔離即通過專用通信硬件和私有不可路由協(xié)議等安全機(jī)制來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來(lái)，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。

系統(tǒng)提供多種工業(yè)通信協(xié)議驅(qū)動(dòng)接口可供選擇，同時(shí)可提供對(duì)國(guó)內(nèi)外主流平臺(tái)軟件如：WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等產(chǎn)品的底層快速通信接口。

可行性評(píng)估

企業(yè)管理網(wǎng)絡(luò)和網(wǎng)絡(luò)控制網(wǎng)絡(luò)之間的安全防護(hù)

本案中無(wú)論是采氣一廠還是二廠都使用 OPC 通訊協(xié)議，由于 OPC 通訊采用不固定的端口號(hào)，使用傳統(tǒng)的 IT 防火墻進(jìn)行防護(hù)時(shí)，不得不開放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下，防火墻提供的安全保障被降至最低。因此，在企業(yè)管理網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)之間應(yīng)安裝專業(yè)工業(yè)隔離網(wǎng)關(guān) pSafetyLink PSL-A1081，解決 OPC 通訊采用動(dòng)態(tài)端口帶來(lái)的安全防護(hù)瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來(lái)自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到相鄰的工控網(wǎng)絡(luò)及其他網(wǎng)絡(luò)，提升網(wǎng)絡(luò)區(qū)域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。

數(shù)據(jù)交換的同時(shí)進(jìn)行有效的隔離

工業(yè)隔離網(wǎng)關(guān) pSafetyLink 通過內(nèi)部特殊的 2+1 的雙獨(dú)立主機(jī)架構(gòu)，控制端接入工業(yè)控制網(wǎng)絡(luò)，通過采集接口完成各子系統(tǒng)數(shù)據(jù)的采集；信息接入到企業(yè)管理網(wǎng)絡(luò)，完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機(jī)之間通過專有的 PSL 網(wǎng)絡(luò)隔離傳輸技術(shù)，截?cái)?TCP 連接，徹底割斷穿透性的 TCP 連接。PSL 的物理層采用專用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用 128 位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。PSL 技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機(jī)制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過，確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。

產(chǎn)品介紹

工業(yè)隔離網(wǎng)關(guān) pSafetyLink 系統(tǒng)采用“2+1”件架構(gòu)：系統(tǒng)硬件平臺(tái)由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)、隔離交換系統(tǒng)三部分組成。內(nèi)網(wǎng)/外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立的運(yùn)算單元和存儲(chǔ)單元，隔離交換系統(tǒng)要求基于 PSL 技術(shù)及相應(yīng)的隔離加密電路，不受主機(jī)系統(tǒng)控制，獨(dú)立完成應(yīng)用數(shù)據(jù)的封包、擺渡、拆包，從而實(shí)現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離交換。保證數(shù)據(jù)交換延遲時(shí)間低于 1ms，從而滿足用戶對(duì)高性能安全隔離的需求。

圖4 工業(yè)隔離網(wǎng)關(guān)

網(wǎng)絡(luò)隔離技術(shù)與通用防火墻技術(shù)的區(qū)別和優(yōu)勢(shì)

防火墻一般在進(jìn)行 IP 包轉(zhuǎn)發(fā)的同時(shí)，通過對(duì) IP 包的處理，實(shí)現(xiàn)對(duì) TCP 會(huì)話的控制，但是對(duì)應(yīng)用數(shù)據(jù)的內(nèi)容不進(jìn)行檢查。這種工作方式無(wú)法防止泄密，也無(wú)法防止病毒和黑客程序的攻擊。工業(yè)隔離網(wǎng)關(guān)在網(wǎng)絡(luò)間進(jìn)行安全隔離的同時(shí)進(jìn)行信息交換，是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進(jìn)行的。工業(yè)隔離網(wǎng)關(guān)直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù)，利用存儲(chǔ)轉(zhuǎn)發(fā)的方法進(jìn)行應(yīng)用數(shù)據(jù)的交換。

防火墻是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包作安全檢查，并不切斷網(wǎng)絡(luò)連接，很多案例證明無(wú)論包過濾還是代理防火墻都很難防止木馬病毒的入侵內(nèi)部網(wǎng)絡(luò)，Nimda 繞過很多防火墻的檢查并在全世界肆虐就是一個(gè)很好的例證，通常見到的木馬大部分是基于 TCP 的，木馬的客戶端和服務(wù)器端需要建立連接，而隔離網(wǎng)關(guān)從原理上切斷所有的 TCP 連接，包括 UDP、ICMP 等其他各種協(xié)議，使各種木馬無(wú)法通過工業(yè)隔離網(wǎng)關(guān)進(jìn)行通訊，從而可以防止未知和已知的木馬攻擊。

總結(jié)

工信部協(xié)【2011】451 號(hào)通知明確指出：“切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。”石化工業(yè)是國(guó)家的基礎(chǔ)性能源支柱產(chǎn)業(yè)，因此，本案必須不斷加強(qiáng)信息安全風(fēng)險(xiǎn)管理，通過提升基礎(chǔ)設(shè)施產(chǎn)品的安全防護(hù)能力，按照等級(jí)保護(hù)安全管理要求積極開展信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)維體系的建設(shè)，并通過教育培訓(xùn)等手段，提升行業(yè)就業(yè)人員的技能，加強(qiáng)安全風(fēng)險(xiǎn)防范意識(shí)等方式，全面提升企業(yè)的信息安全水平，為企業(yè)石油石化業(yè)務(wù)生產(chǎn)的健康穩(wěn)定發(fā)展保駕護(hù)航。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：中石化工控系統(tǒng)安全應(yīng)用案例

本文網(wǎng)址：http://www.guhuozai8.cn/html/news/10515519454.html

關(guān)鍵詞標(biāo)簽： 中石化工控系統(tǒng)安全應(yīng)用案例,工控系統(tǒng)安全工業(yè)隔離網(wǎng)關(guān) 中石化,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進(jìn)銷存軟件,財(cái)務(wù)軟件,倉(cāng)庫(kù)管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費(fèi)ERP,免費(fèi)ERP軟件,免費(fèi)ERP系統(tǒng),ERP軟件免費(fèi)下載,ERP系統(tǒng)免費(fèi)下載,免費(fèi)ERP軟件下載,免費(fèi)進(jìn)銷存軟件,免費(fèi)進(jìn)銷存,免費(fèi)財(cái)務(wù)軟件,免費(fèi)倉(cāng)庫(kù)管理軟件,免費(fèi)下載,

本文轉(zhuǎn)自：e-works制造業(yè)信息化門戶網(wǎng)

本文來(lái)源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識(shí)、有益學(xué)習(xí)和研究的目的進(jìn)行的轉(zhuǎn)載，為網(wǎng)友免費(fèi)提供，并盡力標(biāo)明作者與出處，如有著作權(quán)人或出版方提出異議，本站將立即刪除。如果您對(duì)文章轉(zhuǎn)載有任何疑問請(qǐng)告之我們，以便我們及時(shí)糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇：魯西化工工控系統(tǒng)安全應(yīng)用案例

下一篇：工業(yè)物聯(lián)網(wǎng)與中國(guó)智能制造的當(dāng)務(wù)之急

相關(guān)文章

新聞動(dòng)態(tài)

拓步新聞

行業(yè)新聞

關(guān)注產(chǎn)品

觀點(diǎn)縱橫

企業(yè)管理

企業(yè)應(yīng)用

ERP軟件選型&體驗(yàn)

拓步ERP倉(cāng)庫(kù)管理軟件財(cái)務(wù)管理軟件進(jìn)銷存管理軟件免費(fèi)下載免費(fèi)使用

熱門軟件下載

拓步ERP系統(tǒng)軟件平臺(tái)11.5專業(yè)版v10.1.2...

拓步ERP系統(tǒng)軟件平臺(tái)11.5標(biāo)..

金蝶KIS財(cái)務(wù)軟件標(biāo)準(zhǔn)版V8.1..

金蝶KIS財(cái)務(wù)軟件迷你版V8.1..

金蝶KIS工業(yè)貿(mào)易專業(yè)版V12...

SQL2000 4in1 ISO..

MSDE2000 SP4 簡(jiǎn)體中..

金蝶KIS商貿(mào)高級(jí)版V4.0|破..

金蝶KIS財(cái)務(wù)軟件行政事業(yè)版V9..

金蝶KIS零售版V4.1|破解版..

熱門培訓(xùn)視頻

拓步ERP系統(tǒng)平臺(tái)庫(kù)存管理系統(tǒng)培訓(xùn)視頻教材

拓步ERP系統(tǒng)平臺(tái)客戶端安裝培訓(xùn)..

拓步ERP財(cái)務(wù)管理系統(tǒng)培訓(xùn)視頻

拓步ERP系統(tǒng)平臺(tái)數(shù)據(jù)庫(kù)安裝培訓(xùn)..

拓步ERP系統(tǒng)平臺(tái)通用操作培訓(xùn)視..

拓步ERP系統(tǒng)平臺(tái)采購(gòu)管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺(tái)考勤管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺(tái)財(cái)務(wù)報(bào)表系統(tǒng)培..

拓步ERP系統(tǒng)平臺(tái)財(cái)務(wù)總帳系統(tǒng)培..

拓步ERP系統(tǒng)平臺(tái)應(yīng)收帳款系統(tǒng)培..

熱門電子圖書

拓步ERP財(cái)務(wù)管理系統(tǒng)電子圖書

熱門管理軟件

拓步ERP系統(tǒng)管理軟件介紹

拓步ERP平臺(tái)系列旗艦版

拓步ERP生產(chǎn)系列標(biāo)準(zhǔn)版（進(jìn)銷存..

拓步ERP業(yè)務(wù)系列倉(cāng)存版（倉(cāng)庫(kù)管..

拓步ERP平臺(tái)系列標(biāo)準(zhǔn)版

拓步ERP財(cái)務(wù)系列迷你版（財(cái)務(wù)管..

拓步ERP條碼系列業(yè)務(wù)標(biāo)準(zhǔn)版（條..

拓步ERP平臺(tái)系列企業(yè)版

拓步ERP平臺(tái)系列專業(yè)版

拓步ERP行業(yè)系列電子行業(yè)版

最新新聞動(dòng)態(tài)

新鄭卷煙廠工控網(wǎng)絡(luò)安全應(yīng)用案例

魯西化工工控系統(tǒng)安全應(yīng)用案例

中石化工控系統(tǒng)安全應(yīng)用案例

特步CIO唐坤軍：重構(gòu)IT 支撐..

工業(yè)物聯(lián)網(wǎng)與中國(guó)智能制造的當(dāng)務(wù)之..

VR最值得投入兵力的地方在哪？

B2B網(wǎng)站如何做好搜索引擎優(yōu)化

O2O：線上線下該如何融合？

吉利集團(tuán)董事長(zhǎng)李書福：我眼中的智..

滴滴成功秘訣：玩轉(zhuǎn)大數(shù)據(jù)與人工智..

點(diǎn)擊

聯(lián)系ERP系統(tǒng)咨詢顧問
點(diǎn)擊

聯(lián)系ERP系統(tǒng)售前顧問-1
點(diǎn)擊

聯(lián)系ERP系統(tǒng)售前顧問-2

拓步ERP資訊網(wǎng)|隱私條款|法律條款|網(wǎng)站地圖|友情鏈接|在線留言|聯(lián)系我們|微博發(fā)布|新浪微博|騰訊微博

粵ICP備05017285號(hào)


	ERP新聞動(dòng)態(tài) 拓步新聞行業(yè)新聞關(guān)注產(chǎn)品觀點(diǎn)縱橫企業(yè)管理企業(yè)應(yīng)用

	ERP解決方案按ERP應(yīng)用行業(yè)分類按ERP企業(yè)規(guī)模分類按ERP管理領(lǐng)域分類按ERP軟件功能分類按ERP系統(tǒng)特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達(dá)ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風(fēng)險(xiǎn)分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標(biāo) ERP實(shí)施監(jiān)理 ERP評(píng)審驗(yàn)收 ERP績(jī)效評(píng)價(jià) ERP基礎(chǔ)知識(shí) ERP課程培訓(xùn) ERP培訓(xùn)教育 ERP視頻教材

	CIO技術(shù)專欄 CIO企業(yè)應(yīng)用 CIO網(wǎng)絡(luò)通信 CIO信息安全 CIO基礎(chǔ)設(shè)施 CIO云計(jì)算

	ERP技術(shù)支持技術(shù)支持知識(shí)庫(kù) 常見問題資料庫(kù) 在線學(xué)習(xí)資料庫(kù) 日常辦公資料庫(kù) 企業(yè)管理知識(shí)庫(kù)

	ERP系統(tǒng)價(jià)格拓步ERP系統(tǒng)價(jià)格體系拓步EIS軟件價(jià)格體系合作品牌ERP價(jià)格體系技術(shù)支持服務(wù)價(jià)格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達(dá)SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術(shù)支持快速搜索ERP軟件資訊

	關(guān)于拓步公司介紹公司愿景企業(yè)文化誠(chéng)聘英才聯(lián)系我們在線留言在線訂購(gòu)意向下載體驗(yàn)登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

拓步新聞

行業(yè)新聞

關(guān)注產(chǎn)品

觀點(diǎn)縱橫

企業(yè)管理

企業(yè)應(yīng)用

即時(shí)聯(lián)系

服務(wù)熱線

快捷互動(dòng)

猜您喜歡