新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 工業(yè)以太網(wǎng)在實(shí)際應(yīng)用中安全對(duì)策解決方案

工業(yè)以太網(wǎng)在實(shí)際應(yīng)用中安全對(duì)策解決方案

作者: 時(shí)間:2014-02-22 來源:網(wǎng)絡(luò) 收藏


2.1.2 工業(yè)以太網(wǎng)網(wǎng)絡(luò)設(shè)備的穩(wěn)定性對(duì)安全的影響

以太網(wǎng)用于工業(yè)控制必須具有很好的可靠性和運(yùn)行穩(wěn)定性,否則將對(duì)連續(xù)生產(chǎn)的工業(yè)流程帶來嚴(yán)重的威脅。

2.2 網(wǎng)絡(luò)對(duì)外連接帶來的隱患

由于作為DCS網(wǎng)絡(luò)的工業(yè)以太網(wǎng)需經(jīng)實(shí)時(shí)數(shù)據(jù)庫(kù)將裝置生產(chǎn)數(shù)據(jù)上傳至工廠信息管理網(wǎng)的MES和ERP,而工廠信息管理網(wǎng)又與Internet相連。這就難以避免來自Internet和工廠信息管理網(wǎng)的黑客攻擊、信息阻塞、病毒,從而導(dǎo)致工業(yè)以太網(wǎng)的工作異常或癱瘓,使DCS網(wǎng)絡(luò)運(yùn)行速度大幅降低或控制器處于失控狀態(tài),嚴(yán)重威脅裝置的生產(chǎn)安全。

2.3 網(wǎng)絡(luò)終端與操作及維護(hù)人員界面帶來的安全隱患

如前所述,工業(yè)以太網(wǎng)終端以操作站、服務(wù)器和工程師站為主,主要用于系統(tǒng)維護(hù)、組態(tài)和生產(chǎn)操作。在工藝操作人員和系統(tǒng)維護(hù)工程師實(shí)施操作和系統(tǒng)維護(hù)時(shí),其開放的光驅(qū)、USB接口均可成為危及工業(yè)以太網(wǎng)及其終端安全運(yùn)行的病毒的侵人途徑,人為的非法操作、維護(hù)也會(huì)直接危及生產(chǎn)裝置和工業(yè)以太網(wǎng)及控制系統(tǒng)的安全運(yùn)行。

三、安全對(duì)策

根據(jù)以上分析,在項(xiàng)目執(zhí)行的不同階段應(yīng)設(shè)計(jì)并實(shí)施相應(yīng)的安全對(duì)策

(1)項(xiàng)目規(guī)劃和DCS選型階段(總體設(shè)計(jì)階段)

此階段對(duì)所選DCS工業(yè)以太網(wǎng)的安全運(yùn)行提出具體要求:網(wǎng)絡(luò)負(fù)荷、與MES等上層信息管理網(wǎng)的連接接口、終端界面的安全措施、系統(tǒng)使用賬戶管理、系統(tǒng)的在線可維護(hù)性要求及控制系統(tǒng)設(shè)備的具體選型等。

(2)基礎(chǔ)設(shè)計(jì)階段

對(duì)所選工業(yè)以太網(wǎng)的所有安全內(nèi)容均提出具體要求和技術(shù)方案,編制設(shè)計(jì)文件作為后續(xù)工作的指南。

(3)詳細(xì)設(shè)計(jì)階段

按照上一階段的基礎(chǔ)設(shè)計(jì)文件進(jìn)行系統(tǒng)配置、組態(tài)和測(cè)試。

(4)現(xiàn)場(chǎng)調(diào)試和驗(yàn)收階段

在系統(tǒng)調(diào)試完成后對(duì)各界面接口的安全對(duì)策實(shí)施檢查確認(rèn),與生產(chǎn)和維護(hù)單位一起共同制訂合理的用戶管理策略、編制用戶等級(jí)和組態(tài)實(shí)施。

3.1 網(wǎng)絡(luò)負(fù)荷限制和設(shè)備穩(wěn)定性要求

為確保項(xiàng)目DCS網(wǎng)絡(luò)在任何時(shí)候都能安全運(yùn)行,有必要在系統(tǒng)選型時(shí)明確選用冗余容錯(cuò)工業(yè)以太網(wǎng),要求正常時(shí)不要超過網(wǎng)絡(luò)負(fù)荷的30%,系統(tǒng)響應(yīng)時(shí)間不超過 1s,控制器負(fù)荷正常時(shí)不超過50%并留有一定的擴(kuò)展空間等;同時(shí),盡可能選用網(wǎng)速較高的工業(yè)以太網(wǎng),現(xiàn)在1G的網(wǎng)絡(luò)已在工業(yè)生產(chǎn)中得到了廣泛的應(yīng)用。對(duì)于網(wǎng)絡(luò)設(shè)備在選型時(shí)必須要求經(jīng)過實(shí)際生產(chǎn)驗(yàn)證的工業(yè)用通用設(shè)備,這樣既保證了設(shè)備的穩(wěn)定性、安全性,也保證了高可用性和可維護(hù)性。

3.2 工業(yè)以太網(wǎng)與信息管理網(wǎng)接口的安全策略

工業(yè)以太網(wǎng)作為上層信息管理網(wǎng)的數(shù)據(jù)平臺(tái),將盡可能多的生產(chǎn)裝置上實(shí)時(shí)數(shù)據(jù)采集到實(shí)時(shí)數(shù)據(jù)庫(kù)中并經(jīng)防火墻傳送數(shù)據(jù)至MES和ERP:具體接口連接為工業(yè)以太網(wǎng)、防火墻、DMZ中間區(qū)域防護(hù)和MES數(shù)據(jù)采集服務(wù)器等,如圖2所示。由于MES和ERP與商用Internet相連,為保證工業(yè)以太網(wǎng)的切實(shí)安全,現(xiàn)在的大型項(xiàng)目一般采用如圖2所示的DMZ(demilitarized zone隔離區(qū),內(nèi)網(wǎng)和外網(wǎng)的緩沖區(qū))中間防護(hù)策略。

將上層信息管理網(wǎng)需要訪問的實(shí)時(shí)數(shù)據(jù)庫(kù)容錯(cuò)服務(wù)器置于DMZ層,使來自上層的信息管理網(wǎng)只能通過外部防火墻訪問到實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器,而不能通過內(nèi)部防火墻至工業(yè)以太網(wǎng)。這樣來自Internet的攻擊將要通過外部防火墻、堡壘主機(jī)和內(nèi)部防火墻等三道相互獨(dú)立的防線才能到達(dá)工業(yè)以太網(wǎng),使攻擊難度大大加強(qiáng),相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。

3.3 全面加強(qiáng)工業(yè)以太網(wǎng)的安全管理

在安全管理上主要是防病毒網(wǎng)絡(luò)的設(shè)置和用戶管理策略的制訂及實(shí)施。由于現(xiàn)在以DCS為基礎(chǔ)控制系統(tǒng),其工業(yè)以太網(wǎng)上集成了幾乎所有的控制系統(tǒng),所以要保證工業(yè)以太網(wǎng)不受病毒攻擊,就必須使所有連接在工業(yè)以太網(wǎng)上的終端均受到防病毒軟件的保護(hù),并實(shí)時(shí)更新病毒庫(kù)。具體措施:在DCS信息集成的工業(yè)以太網(wǎng)上配置一臺(tái)防病毒軟件服務(wù)器并安裝防病毒中心軟件,而相應(yīng)需保護(hù)的工業(yè)以太網(wǎng)終端設(shè)備上則安裝客戶端軟件(常用的防病毒軟件為西門鐵克),并根據(jù)需要由服務(wù)器直接從Internet實(shí)時(shí)升級(jí)病毒庫(kù)或由相關(guān)維護(hù)工程師手動(dòng)及時(shí)更新病毒庫(kù)。用戶管理策略一般可以采取以下措施:

(1)加強(qiáng)工藝操作人員和系統(tǒng)維護(hù)工程師的培訓(xùn)工作,嚴(yán)格計(jì)算機(jī)操作及維護(hù)紀(jì)律,力爭(zhēng)將誤操作降到零水準(zhǔn)。

(2)將安裝有開放的光驅(qū)和USB接口的操作站主機(jī)與顯示器及操作鍵盤異地放置,對(duì)不利于異地放置的地方則需對(duì)操作員賬戶屏蔽其對(duì)光驅(qū)和USB接口的操作功能;對(duì)服務(wù)器、工程師站則應(yīng)對(duì)維護(hù)工程師的工作制訂嚴(yán)格的紀(jì)律以確保病毒不從光驅(qū)和USB接口進(jìn)入工業(yè)以太網(wǎng)。

(3)根據(jù)使用者工作職責(zé)的不同建立不同級(jí)別的賬戶,使之操作行為受到相應(yīng)的限制以保護(hù)DCS及其網(wǎng)絡(luò)的安全運(yùn)行。

四、結(jié)束語(yǔ)

由于行業(yè)不同,對(duì)工業(yè)以太網(wǎng)應(yīng)用安全的要求也不盡相同,各用戶可以根據(jù)自己的經(jīng)驗(yàn)和項(xiàng)目實(shí)際要求在應(yīng)用以太網(wǎng)控制系統(tǒng)時(shí)配置自己的安全對(duì)策。上述對(duì)策是根據(jù)近年來幾個(gè)大型合資石化項(xiàng)目的成功經(jīng)驗(yàn),結(jié)合儀表自動(dòng)化領(lǐng)域控制技術(shù)發(fā)展總結(jié)而來的,經(jīng)過實(shí)際生產(chǎn)的檢驗(yàn),對(duì)相關(guān)控制對(duì)象具有很好的安全保護(hù)作用。隨著以太網(wǎng)技術(shù)的進(jìn)一步發(fā)展,有線、無(wú)線網(wǎng)絡(luò)的混合應(yīng)用,對(duì)工業(yè)以太網(wǎng)的安全考驗(yàn)會(huì)越來越多,從而也要求相應(yīng)的更為嚴(yán)密的安全措施相匹配。
上一頁(yè) 1 2 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉