用户中心

资讯 > 工业安全

安全控制系统:你需要了解什么?

作者:Jay Abshier and Joe Weiss2009.02.12阅读 5342

  虽然广泛应用的Internet网络技术已经带来了效率和生产力发展的新机会,但它同时也带来了很大的风险,比如网络系统易受攻击。对控制工程师和管理人员来说,在满足普通商业需求的同时,如何隔离和保护监控和数据采集(SCADA)系统免受Internet的攻击,这是一个关键的问题。在工业中利用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC),这些我们都称为SCADA系统。
  伴随着自动化控制系统与基于Internet网络的IT商业系统之间的连通性越来越多,最棘手的便是SCADA系统的安全问题。特别明显的缺点是SCADA系统的最初工程设计并未预想到与Internet网络的连接,为什么呢?SCADA系统是从私人的产品发展而来的,它应用开放式的、基于Internet网络的技术,具有众所周知的操作性能和安全缺陷。为了达到因经营规模扩大而得到的经济节约,对于多种重要基础设施www.cechina.cn,现在销售商通常应用同一系列的控制系统元件产品。
  威胁的存在
  在许多行业中,已经发生了对SCADA系统的攻击,比如在油/气、电力、水、造纸和制造业的控制系统都遭受过影响。这些行业中,多数要求具有保密性。但是一些已经被泄露,其中包括:
  (1)、在亚洲损失了1000MW的水电;
  (2)、在澳洲的一个污水处理厂,因为排出阀的数据被计算机黑客随意删改,导致释放了数百万公升的污水;
  (3)、计算机网络蠕虫病毒Slammer和Blaster攻击了许多电力和供水设备的控制系统CONTROL ENGINEERING China版权所有,包括美国俄亥俄州的Davis-Besse核动力设备,以及其它的工业制造业的控制系统。
  安全攻击是存在的,威胁也是存在的,现在是回顾SCADA安全要素的时侯了。
  为了使SCADA系统安全运行,它必须和外界的消极影响相隔离。这些消极影响可能包括从一个工程师需要的大量数据到由电脑黑客的蠕虫病毒产生的大规模的电子邮件传输。
  为了实现这个隔离,所有和SCADA原函数关联的机器必须依靠一个公共的网络—工厂控制网络(PCN),应用一个内部的防火墙把它和其它的网络保护起来(图1)。

安全控制系统

  图1: 控制网络隔离(工厂网络应被隔离并用防火墙保护)

  建立防火墙是为了管理防火墙内部机器和防火墙外部机器的连接。可以编写防火墙的规则允许任何网络通信,或是对指定的设备和应用限制网络通信。
  需要向SCADA系统发送数据的系统类型将根据应用而变化。实验室信息系统(LIS)就是一个很好的例子,在现代的精炼厂操作中,它和精炼厂的SCADA系统周期性的交换有关产品质量和产量的数据。在假定情况下CONTROL ENGINEERING China版权所有,我们把称得上网络的LIS看作工厂信息网络(PIN)。
  为了和SCADA系统软件代理商发生数据转换,需要与LIS软件通信或建立一个连接。新的防火墙规则应明确识别LIS系统CONTROL ENGINEERING China版权所有,因此仅仅它能应用这个规则(图2)。

安全控制系统

  图2:由工厂网络获得数据(通过网络交换数据之前,建立安全协议)

  许多公司发现在数据进入SCADA控制系统进行计算之前,允许人员外在的检查与确认是最优方法。为了完成他们的职责,几乎每个雇员都需有权使用企业电子邮件和Internet网络。进行两个网络连接时不慎将病毒或者计算机网络蠕虫引入到控制网络,便会出现很多的问题。防火墙规则必须是来自控制网络类型的访问,也将开放控制网络,使其充满由病毒和计算机网络蠕虫产生的大量的有害数据,即便控制网络上的计算机没被感染病毒。应避免类似事件的发生。
  为了给操作员提供企业电子邮件和Internet网络功能但又不危及PCN网络的安全,和PIN网络分开的连接应该对所有地点工作的操作员都是适用的。仅仅连接到PIN网络的工作站能提供操作员访问电子邮件和Internet网络功能,分离PCN网络,以便其免受来自Internet的危险(图3)。

安全控制系统

  图3:操作员进入E-mail和Internet

  保持畅通
  对远程设备的软件上载和系统诊断,大多数销售商更喜欢应用调制解调器进行访问。在这种情况下,在要求服务之前,与调制解调器连接的电话线应该是畅通的,销售商一旦结束连接,线路也应该是畅通的。当销售商需要进行诊断时,就适当的安全策略和安全实施而言,如果公司在现场有工作人员,这可能是一个可以接受的方法。
  对那些并不是现场24/7小时都有雇员的公司,这可能是一个主要争论点,可选择的折中方法包括:回拨功能的调制解调器——可以对一个指定的销售商电话号码回拨CONTROL ENGINEERING China版权所有,口令保护功能的调制解调器,加密功能的调制解调器,以及安全套接层协议虚拟专用网络(SSL VPN)连接。
  通常,回拨功能的调制解调器是不切实际的,因为它要求销售商始终为同一个电话号码提供服务。如果你的电话线能够一直保持畅通,密码保护的调制解调器也许是保护销售商访问的最大成本效益的方

版权声明:版权归控制工程网所有,转载请注明出处!

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2018    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688