工业网络安全管理全文(5篇)
前言:小编为你整理了5篇工业网络安全管理参考范文,供你参考和借鉴。希望能帮助你在写作上获得灵感,让你的文章更加丰富有深度。
第1篇:工业网络安全管理范文
近年来,智能制造生产网和企业网之间数据交互越来越频繁,传统的人工刻录、数据拷贝的交换方式严重制约着智能制造企业生产效率的提升,生产网与企业网互联互通需求迫切。但是,作为生产网重要组成部分的工业控制系统(以下简称“工控系统”),其安全防护严重不足,互联互通进一步增大系统暴露面,从而严重威胁工控系统安全稳定运行。同时,新一代信息技术的出现和大量应用,工控系统日趋数字化、网络化、智能化,工控生产网络边界日益模糊,网络安全问题凸显。
1工控系统网络安全现状
工控系统是智能制造企业关键基础设施的“神经中枢”,工控系统的安全稳定运行是企业生产业务正常开展的前提。近年来,随着工业互联的深入开展,针对工控系统的网络攻击呈逐年增加趋势,潜在攻击源不乏黑客组织、利益集团甚至是国家层面发起的网络战,攻击手段多样,病毒、木马等传统网络威胁持续向工控系统蔓延,勒索攻击等新型攻击模式不断涌现,安全事件频发,严重威胁工控系统安全稳定运行。通过对行业内工控系统现场调研和问卷访谈,工控系统网络安全防护方面普遍存在如下四方面问题:一是工控系统关键设备以国外品牌为主,核心技术受制于人。我国智能制造生产企业出于稳定性、精确度考虑,其生产过程使用的工控系统组态软件、控制器、检测装置等核心软硬件大部分依赖国外产品,核心技术大多掌握在欧美及日本等发达国家厂商手中,存在“卡脖子”、后门利用等安全隐患。二是生产企业对工控系统安全问题重视不够,安全意识薄弱。生产企业普遍存在重应用、轻安全的情况,对工控系统网络安全缺乏足够认识,信息安全管理制度不够完善,缺少工控系统网络安全专职人员,存在工控系统信息安全管理缺位、人员职责不明、网络安全培训教育不到位等安全问题,一旦发生网络安全事件,无法及时采取有效应对措施。三是工控系统缺乏有效安全防护措施,安全防护长效机制难落实。工控系统在设计、研发、集成阶段重点关注系统的可用性,未充分考虑安全问题,系统普遍存在弱口令、通信报文明文传输等安全隐患。现有存量工控系统,出于兼容性考虑,轻易不敢打补丁或安装防病毒软件,大部分工控系统处于“裸奔”状态。同时,工控系统网络缺少监测手段,无法为安全防护、应急响应、系统恢复等环节提供有效输入,很大程度上制约安全防护能力的提升。四是暴露在互联网上的工控设备与日俱增,安全隐患凸显。全球暴露在互联网上的工控系统及设备数量持续上升,工业信息安全风险点不断增加。国家工信安全中心监测发现,2017年以来全球多个国家的IP地址对我国工控设备及系统发起过网络探测与攻击,对我国工业信息安全造成极大威胁[1]。针对频发的工控安全事件,党中央、国务院高度重视,分别在法律法规、政策、工作要求等方面积极部署并出台了一系列安全政策。2016年10月17日工信部《工业控制系统信息安全防护指南》,要求工控系统开展信息安全防护工作[2];2017年网信办了《关键信息基础设施安全保护条例(征求意见稿)》,要求开展关键信息基础设施安全保护工作,工控系统作为生产企业智能制造的重要组成部分,需从技术手段上加强安全防护;2017年6月1日,《网络安全法》正式实施,提出我国实行网络安全等级保护制度,进一步明确网络安全责任制;2019年全国信息安全标准化技术委员会《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)正式实施,提出对工控系统等5个扩展要求实行网络安全等级保护工作[3]。
2工控系统网络安全风险分析
工控系统网络安全风险是指由于工控系统自身存在脆弱性,潜在攻击者通过适当的攻击路径导致工控系统发生安全事件的可能性以及由此产生的后果和影响。伴随两化融合的实施,智能制造行业工控系统发生信息安全事件的可能性增加,一旦生产网络被攻陷,轻则影响工控系统稳定运行,重则会对国家利益、国计民生造成严重影响。下面从工控系统面对的威胁和自身脆弱性两个方面对工控系统网络安全风险进行分析。
2.1工控系统网络安全威胁
工控系统的安全威胁来自多个方面,主要包括外部非法目的的攻击,如恐怖组织、工业间谍、恶意入侵者等;以及来自工业控制系统内部正常运行管理过程中出现的威胁,如系统复杂性、内部人员失误和事故等。内部人员由于对目标系统具有更为深刻的了解和更多的接触机会,往往能够不受限制的访问系统进行有意或无意的恶意操作,使系统及数据遭到破坏或泄露[3]。
2.2工控系统脆弱性
(1)设备脆弱性工控系统控制器大部分采用非自主可控的信息技术和产品进行建设和运行,不排除信息技术及产品存在后门可能,存在生产信息泄露风险。另外,大部分控制器未关闭SSH、Telnet等不需要的通信协议,使得潜在攻击者能够利用控制器开放端口达到非法访问的目的。(2)通信脆弱性工控系统网络结构在设计之初仅考虑系统可用性,未进行分区分层设计,存在“一点突破,全网皆失”的风险;另外,工控系统设计之初仅考虑可用性,大部分通信协议采用明文传输,缺少必要的认证、授权、加密等安全机制,存在非法劫持、篡改的风险[4]。(3)终端脆弱性工控系统上位机大多采用windows操作系统且对稳定性要求非常高,自运行以来基本未进行过系统更新及补丁升级操作,存在大量系统漏洞,一旦被违规利用后果不堪设想;加上未对U盘等移动存储介质管控,很容易发生通过U盘摆渡数据造成工控终端感染病毒并肆意传播的安全事件。
3工控系统安全防护措施研究
针对工控系统安全防护,没有通用方案能够确保工控系统免于所有针对性的网络攻击,所以在工控安全防护措施研究上应结合工控系统实际特点有针对性加强安全防护建设,通过采用多层安全控制的纵深防御理念,保证威胁来临时对目标工控系统产生的影响和后果最小。针对智能制造领域工控系统纵深防御规划,建议从安全规划、物理环境、网络、终端、应用、设备六个方面综合考虑。纵深防御分层模型如图1所示。(1)安全规划建立有针对性的安全规划是做好工控安全防护的第一步。在工控安全防护建设过程中应事先定义安全防护策略及规范并严格执行,同时根据系统变更情况及时更新和调整。安全规划包含安全组织机构设立、安全防护策略、安全意识宣贯、制定应急处置计划等内容。(2)物理环境物理防护是工控系统安全稳定运行的第一道防线,生产企业应通过机房钥匙、门禁卡、生物指纹等措施限制内部员工、第三方人员访问控制室、重要控制设备、网络区域的范围。(3)网络同物理安全限制对工控系统的物理区域和资产的授权访问一样,网络安全限制对工控网络逻辑区域的访问。工控系统网络安全防护的思路是应用防火墙规则,设置访问控制列表以及实施入侵检测将网络划分成不同安全区域。通过严格控制和监视穿越安全区域的流量,及时发现异常行为并有效处置。(4)终端终端安全防护主要包括补丁更新、恶意代码防范、移除不再使用的应用程序或服务、通过技术或物理手段限制USB、网口等物理端口的使用,确保终端计算环境安全可靠。(5)应用应用安全防护的目的在于阻止用户未授权的应用程序交互,通过应用程序认证、授权和审计三种安全机制实现。其中认证用于校验应用程序用户身份,授权基于用户身份分配适当的权限,审计日志记录用户操作行为,便于事后追溯。另外,对于工控系统应用程序,需做好上线前检测、脆弱性检查及补丁验证更新工作。(6)设备控制器设备安全涉及与工控系统可用性、完整性和机密性(AIC)三元组[5]有关的安全防护措施,包括补丁更新、设备加固、物理和逻辑访问控制以及建立覆盖设备采购、实施、维护、配置和变更管理、设备安全处置等环节的全生命周期管理程序。智能制造领域工控系统多以离散型控制系统为主,网络架构参考普度模型,主要包括生产管理层、过程监控层、现场控制层和现场设备层。结合现场实际调研,参照纵深防御、“一个中心、三重防护”思想设计安全防护架构并对安全防护措施进行客户现场有效性验证,确保对现有控制系统运行环境影响最小,网络安全防护措施如图2所示。
3.1网络分区
针对工控生产网络,严格遵循网络分层、安全分区原则,将工控网络根据业务功能划分不同安全域,区域边界部署基于流量白名单的工业防火墙,通过对安全域间流量深度解析,实现细颗粒度的访问控制。工业防火墙基于自学习方式生成通信流量白名单基线,有效阻止白名单外的攻击、病毒、木马等入侵行为。同时通过隔离各安全域,抑制域内病毒、木马传播扩散,将安全影响降低到最小范围。结合实际客户现场网络环境,工业防火墙采用冗余配置,通过透明模式串行部署在过程监控层和生产管理层之间,有效杜绝因工业防火墙单点故障、软件宕机等造成数据通信中断、工控系统不可用等安全事件。
3.2安全监测
在各生产线接入交换机侧旁路部署工控安全监测审计探针,用于过程监控层和现场控制层以及生产管理层和过程监控层之间网络通信流量的监测和审计。监测与审计探针开启基线自学习功能,通过对工控网络通信协议深度解析,建立现场通信流量白名单基线,及时发现针对工控网络的异常访问、误操作、第三方设备非法接入等违规行为。探针采用旁路部署模式,被动监听网络流量,不影响工控系统正常运行。在安全管理中心部署工控安全监测审计系统,实时收集监测审计探针异常告警及安全审计日志,洞察工控网络异常通信行为。工控安全监测审计系统通过全流量的实时解析,自动绘制网络通信关系拓扑,可视化展现工控系统网络资产及通信行为,为工控系统安全事件事后审计、追溯分析提供有效数据支撑。
3.3终端防护
在工控网络安全管理中心部署一套工控主机防护系统和防病毒服务器,在各工控操作终端部署客户端,实现工控网络终端安全加固。工控终端运行软件环境相对稳定,通过部署基于进程白名单理念的终端安全防护系统阻止恶意代码执行,杜绝类似“震网”病毒、“永恒之蓝”等安全事件发生。通过安全策略的统一配置,有效消除工控系统终端带着漏洞运行、补丁更新不及时、USB外设端口随意使用等安全隐患。针对生产现场重要控制器设备,在控制器前侧串联部署安全防护终端装置,基于业务通信需要,配置最小访问控制授权,阻断针对PLC控制器的非法程序上传、下载、未授权访问等行为。
3.4集中管理
在安全管理中心部署一套工控运维堡垒机系统,针对工控系统安全运维提供全过程的安全审计,基于事前运维资源和运维用户授权规划、事中运维过程实时在线监控、事后运维记录安全审计确保工控系统自运维或委托第三方运维过程的安全、可控。在安全管理中心部署一套工控安全管理平台,用于安全设备的统一管理。通过部署工控安全管理平台,实现工控网络安全设备统一策略管理及分发;同时针对工控网络资产日志、异常告警等信息,传统的逐点关注、人工排查的方式一方面不利于安全问题的及时发现,另一方面分散的日志或告警信息的关联、分析对工控系统运维人员提出了更高的要求,需要从技术层面解决网络安全事件的识别、分析及追溯,本方案工控安全管理平台基于大数据处理技术及关联分析、行为分析引擎,实现告警信息的关联分析,实时感知厂级工控系统网络安全态势。
4结语
随着新一代信息技术(IT)与运营技术(OT)的加速融合,工控系统愈加开放互联,信息安全问题凸显,网络安全防护建设刻不容缓。为有效应对工控系统面临的各种安全威胁,智能制造领域生产企业须提高网络安全认识,从资产识别、监测感知、威胁防护、处置恢复等视角构建安全防护措施,持续提升工控系统安全防护能力。
参考文献:
[1]刘冬,程曦,杨帅锋,孙军.加强我国工业信息安全的思考[J].信息安全与通信保密,2019(8).
[2]王惠莅,姚相振,任泽君.关键信息基础设施安全防护体系研究[J].保密科学技术,2019(7).
[3]孙凯,李琳.《信息安全技术工业控制系统安全管理基本要求》标准解读[J].保密科学技术,2019,000(003).
[4]屈婉莹,魏为民,朱苏榕.工业控制系统通信协议安全研究[C].2015年全国智能电网用户端能源管理学术年会论文集,2015.
[5]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报,2012,052(010).
第2篇:工业网络安全管理范文
关键词:工业互联网;局域网;网络安全;防范
作为工业互联网的支撑,互联网极大地拓展了网络空间的应用范围和领域,但是工业化和信息化的领域越来越变得重合,工业控制系统不再是一个密封的状态,增加了设备、控制、网络等方面受到损害的风险。尽管工业互联网在上述新兴行业有着巨大的应用前景,但由于工业互联网固有的网络广泛开放和移动终端资源的局限性以及对网络拓扑动态变化的限制,使得新兴工业互联网网络不仅面临着更大的网络安全威胁和用户隐私泄露风险,也给工业互联网网络安全和用户隐私保护方案的设计增加了很多障碍。
一、工业互联网中局域网网络安全的相关概念
(1)局域网(alareanetwork,LAN),主要是指由各种计算机、外部设备和数据库组成的计算机通信网络,这些计算机和数据库在当地的地理范围内相互连接,覆盖范围一般是几千米之内,如学校、工厂和企业机构。(2)工业互联网一般以一个工厂或者企业为基础建构为工业局域网或者企业局域网,这相当于是一个“内网”,网内可以实现用户的数据共享和分布处理。为工业局域网内部用户提供数据共享是建设工业局域网的初衷,也是局域网最鲜明的特色。近年来网络硬件设备的更新换代为互联网行业飞速发展提供了硬件保障,但是飞速发展也给工业带来许多安全挑战。(3)工业互联网网络安全通俗来讲就是保护用户的软件、硬件和系统的数据不因受到非法攻击而受到更改、破坏和泄露,同时为用户网络连接和日常办公操作连续稳定地进行。目前国内对工业互联网的研究方向大多集中在网络通信协议和路由算法的设计上,忽视了新兴场景下的工业安全和数据隐私保护的研究,这导致了工业互联网在当前新兴工业领域的发展进入瓶颈期。
二、工业互联网在局域网中的连接方式
局域网在工业领域一般分为有线连接和无线连接。(1)有线连接。因为局域网的覆盖范围在几千米之内,距离相对来说比较短,所以使用铜线很适合作为传输介质,但是也有一部分局域网采用光纤作为传输介质。有线局域网的基础采用点对点链路的拓扑结构,局域网交换机是有线局域网的核心。采用有线连接的工业局域网,在数据传输、分布处理、共享打印等诸多方面均由于无线局域网,这是有线连接的本质特色。(2)无线连接。由于许多工业场地不适合用传输介质连接工业局域网,例如化工工厂、石油平台等,往往可以采用简单的Wi-Fi,只需要一个路由器,就可以搭建一个无线工业局域网。中等规模的工厂可以通过利用多个路由器和交换机搭配来完成工业局域网建构,大规模的工厂则需要中心化的无线控制器来控制大量的工厂终端。无线局域网由于可以实现在无法铺设传输介质的领域实现传输,省时省力,在工业方面的应用更加广泛,例如在化工工厂通过无线定位可以知道化工原料的具体位置。
三、工业互联网网络安全漏洞
(1)技术层面。①工业局域网服务器防护能力低。工业数据可以在工业局域网中快速、高效的传递,这是用户高效工作的保障,但是当工业局域网受到病毒攻击时,给用户带来的威胁也是非常大的。局域网的数据传递速度是非常快的,同样传递病毒的速度也很快,一旦工业局域网中一台计算机终端受到病毒感染,如果没有强力的服务器防护能力,其他电脑也会很快感染,造成数据丢失、修改和破坏。防火墙往往被安装在工业内部网和外部网之间,对外网的病毒有很大程度的阻断作用,但是对内网也就是工业局域网内部网络却不会起到作用。因此当问题出现在内部网络的时候,将会造成工业损失。②工业数据安全性不强。近些年来计算机病毒类型层出不穷,主要目的大都是为了获取用户数据来牟利,工业数据的价值更在个人数据之上,所以在工业局域网中需要防范外部病毒攻击。安装一些杀毒软件是保障工业互联网正常运行的有力手段,可以有效减少病毒入侵现象。病毒具有不可预见性,杀毒软件永远落后于病毒产生速度。杀毒软件不可能对所有病毒都有抵抗性,国内比较好的杀毒软件库,比如360杀毒软件,都是发现新病毒之后加入病毒库,下次再遇到具有相同属性的病毒就有了病毒预警和解决办法,所以管理人员需要及时更新杀毒软件,防范是最重要的工作。③内部操作不当。局域网用户在使用外部移动存储设备进行数据传输时,病毒可以在恰当的时机进入工业局域网并自发复制传染,给工业互联网中的工业数据带来隐患。提高工业网络用户的安全意识,避免擅自将已经接入外网的设备直接接入内网,或者在内外网切换时都进行安全检测,可以有效避免木马病毒进入工业局域网。(2)人为层面。①企业领导对工业互联网安全重视程度不够。工业局域网安全问题出现的一个重要原因是企业领导者缺乏前瞻意识,没有意识到当今社会已经经历了四次信息革命,是一个包容的信息社会。信息是21世纪讨论的永恒主题,对于工业领域来说更是这样,保障工业数据安全不仅可以保证企业的收入稳定,更是大国之间博弈的重要筹码。②缺乏专业技术人才,工业数据安全得不到保障。相对于工业互联网日新月异的发展速度,网络安全人才的培养相对滞后,对网络安全人才的要求也越来越多,不仅需要对网络安全有精深的专业认识,还需要对工业互联网可能遇到的威胁有敏感的嗅觉。
四、安全漏洞解决措施
(1)技术层面。①网络拓扑结构安全防范技术。在设置工业局域网时第一步就是选择合适网络拓扑结构,合适的网络拓扑结构不仅可以节省系统资源降低数据链路冗余,更重要的时有利于工业互联网网络安全控制。但是网络环境(如噪声,温湿度等)、局域网通信量、局域网设备配置情况、网络管理与维护等因素都会影响到网络拓扑结构的选择,在后期企业需要对网络结构进行分析,及时对网络结构进行科学优化,以便对现有框架内的资源进行最大化合理利用。优化过程中由于拓扑结构可能发生改变,所以需要充分考虑优化后防火墙的设置位置以及入侵检测监控的合理使用。②防火墙技术。防火墙技术是在网络安全与隐私保护方面扮演的角色越来越重要。防火墙大量应用于工业局域网与外部网之间,每当外部访问者进入,防火墙通过对信息流量数据的检测,可以及时反馈给用户。防火墙相当于一个警报,如果有在用户设定的安全策略之外的数据进入,防火墙可以对数据进行过滤,符合安全策略的数据进入,不符合安全策略的数据不能通过防火墙而排除在外,充分保障工业局域网网络安全。在工业领域,内部工业终端可以通过交换机连接在一起,形成一个相对安全的局域网(内部网),在与外网的连接上设置防火墙,就可以对局域网中诸多工业机器进行防护,比对每一台计算机分别进行安全管理效率高而操作管理方便。另外,在工业局域网内部,可以将更为重要的网段用防火墙进行隔离,防止局部安全问题蔓延到整个网络,减少一些损失,实现对工业局域网分级管理。③入侵检测技术。作为对防火墙技术的重要补充,当病毒没有被防火墙拦截,攻击工业内部网络,入侵检测将作为第二道防线对病毒进行阻断,所以入侵检测技术跟防火墙技术同样重要,都是保护工业网络外部隐形的护盾。入侵检测技术是入侵检测系统的核心,如果把内部工业局域网看作一间房子的话,与防火墙的外围防护相比,它更像是一个摄像头,时时刻刻对可疑传输进行监控,一旦发现可疑行为,入侵检测系统会将会报告给用户或者主动采取反制措施。大多数的网络安全设备都是重在防控,入侵检测系统还是一种主动的安全防护设备。在工业领域中,入侵检测系统的切断网络和有效预警等措施可以提高工业数据在局域网中的安全性。(2)人为层面。①提高企业领导的重视程度,加快对工业网络安全的建设。企业领导者要高瞻远瞩,看到保障工业互联网局域网网络安全的重要性和必要性,意识到网络安全工作重心在防患于未然,管理层要制定网络安全策略,加大对网络安全管理的资金投入,着手培养网络相关工作人员的安全防范意识和网络风险意识,为实现工业互联网安全化提供软硬件配套设施,提高网络管理人员的素质和技能。②吸引网络安全专业技术人才,引进先进网络安全管理模式。工业的发展离不开互联网,互联网离不开数据安全,吸引网络安全技术人才势在必行。引进先进的网络安全管理模式,对杀毒和防毒软件及时更新补丁和完善操作系统;使用正规安全的网络交换机用来划分内部网络;重要资料需要有特殊标记,并酌情采用多级管理;对工业网络数据及时进行备份;使用网关等等。③还需要对计算机进行物理保护。避免因为外部物理条件而使计算机遭受损害,从而保证工业网络系统平稳安全运行,同时加强计算机终端防盗、防潮、防尘、防电磁辐射等方面的工作。
五、结语
工业互联网的飞速发展刺激了工业潜力的开发,更对工业互联网提出了新的挑战。只有在技术层面和人为层面同时把控,工业互联网在局域网中的安全问题才会得到解决,最终作用到工业制造和传输上,提供强有力的保障。
参考文献:
[1]伍丰池.局域网网络安全防范与管理技术[J].通讯世界,2013(13):70-71.
[2]傅杰华.局域网网络安全管理技术分析[J].科学之友,2011(08):153-154.
[3]吴磊.企业级局域网内的网络管理监控及信息安全防范,2015(10):36-37.
第3篇:工业网络安全管理范文
关键词:智慧水务;网络空间;工业控制;信息安全
0引言
根据马太效应,随着人类社会的飞速发展,未来城市发展将日趋巨大,人口日趋密集。目前,我国城市涉及民生公共服务等相关问题日趋严重。自IBM2008年提出智慧地球的概念后,利用智慧手段管理城市成为热门话题之一。为解决城市发展难题,实现城市可持续发展,智慧城市的理念应运而生。所谓智慧城市就是充分运用工业自动控制、城域网、大数据分析技术、云计算、移动支付等信息化和通信技术手段,以数字化、智能分析、整合城市运营的各项关键信息,从而实现智能化管理和运营各类城市公共服务、民生生活和各类工商业活动,满足人民日益增长的美好生活需求。在智慧城市的大框架下,智慧水务应运而生。智慧水务是利用现代化技术将传统水务的水源管理、供水、排水、水质监测、污水处理及回收利用等所有涉水业务流程数字化管理[1],以达到优化资源配置、增强水资源利用效率、满足不同用户的用水需求、保障城市用水安全的目的。然而随着现代化技术的广泛应用,也带来了新一轮的安全问题,即网络空间安全问题。“没有网络安全,就没有国家安全”,网络空间已成为继陆海空天之后的第五空间,网络空间安全已经上升到国家安全的高度[2]。我国在中央和各省市大力推进智慧城市建设的过程中,城市的网络空间安全问题研究显得尤为重要。正如前文所说,智慧水务就是利用现代化技术将传统水务的水源管理、供水、排水、水质监测、污水处理及回收利用等所有涉水业务流程的数字化管理,这里的现代化技术包括工业自动控制、大数据分析、网络支付等。本文主要从工业控制系统网络安全的角度来探讨智慧水务建设过程的网络空间安全问题。
1工业控制系统网络安全
工业控制实际上是利用计算机设备控制工业过程,达到降低人力成本,提高工作效率或是用以替代人类在恶劣环境工作。传统的工业控制系统是封闭系统,即使出现安全问题影响范围也十分有限,例如一台传统的数控加工机床,即使数控模块出现了病毒,影响范围也仅局限于这台机床加工出来的产品,后续的质量检测可以很快发现问题。然而随着网络技术的飞速发展,工业控制系统已成为物联网的主要组成部分,大多和国计民生相关的关键基础设施依靠工业控制系统来实现自动化作业,包括基础设施、民生智慧城市、先进制造业和军队军工等。当前以工业控制系统为基础的工业网络安全面临着巨大威胁,直接威胁到国家安全。从早期澳大利亚昆士兰的马卢奇污水处理厂事件(2000年3月)、美国俄亥俄州Davis-Besse核电站SQLSlammer蠕虫病毒攻击事件(2003年1月的)到最近的“超级电厂”病毒事件(2014年)、乌克兰的年“BlackEnergy”病毒事件(2015)、乌克兰机场受攻击事件(2016年)[3-4]都表明:工业控制系统不再安全,工业控制系统安全事件造成的社会影响也越来越大,大量证据表明工业安全事件背后有着巨大的经济利益和国家政治利益。
2智慧水务
智慧水务是智慧城市的重要组成之一,智慧水务的建设过程中,业务流程和工业控制息息相关,例如利用传感器获取水源水质信息或管网网水压流量信息,通过自动控制管网水量调节均衡不同区域用水,利用自动控制排水开关提高排水效率,通过自动控制污水处理流程来降低污水处理能耗和废水再利用等。智慧水务建设中的工业控制网络安全主要包括物理感知和数据采集安全、设备自动控制安全和安全管理安全等。
2.1物理感知和数据采集安全
物理感知和数据采集安全主要面向智慧水务基础设施,包括水源水质监测、管网水压监测、排水流量监测等,利用各类传感设备将所需各类监测信息采集并做基础分析后传回水务中心的过程。智慧水务中的感知监测设备大多由成本低、体积小、能耗低和计算机资源有限的传感器节点组成,监测环境大多也比较恶劣,主要安全问题包括感知节点易被破坏、通信易受干扰、传输通道不稳定不可靠、数据信息容易污染等[5]。物理感知和数据采集带来的安全问题大多是基础数据源问题,会直接影响智慧水务的大数据分析结果及管理层的水务管理决策,严重的还可对民生产生重大影响,可实现例如水源监测点传来水源污染错误信息,很可能导致水务中心水源报警,甚至关闭供水,由此造成的损失将不可估量。物理感知和数据采集的安全问题可从以下两方面入手:(1)传感感知节点采用信号防干扰技术,根据不同需要和环境可采用防水防雷防腐蚀等措施,条件允许的情况下采用冗余部署。(2)信号传输采用多种可靠传输方式,同时要采用信息加密防纂改和双因子认证,保证传输信息的来源合法和信息本身的完整性和安全性。
2.2设备自动控制安全
智慧水务中的工业控制系统通过信号指令以弱电控制强电的方式来管控机械设备的运作,从网络空间安全的角度来看,设备自动控制的安全主要有以下几方面:(1)控制信号安全,控制信号的来源分为两种:一种直接从设备本身产生或设备上配套的感知原件产生,无需经智慧水务管控中心处理;另一种是从智慧水务管控中心传递过来的控制信号。第一种控制信号的安全性和设备直接相关,需要保障信号可靠性,防止人为物理破坏。第二类控制信号需要从传统网络安全方面保障传输过程的可靠性和安全性,同时需要在控制终端验证信号是否被纂改等。(2)弱电控制强电过程的安全性。和水务业务相关的大型机械设备的启停运作,一般都是通过弱电信号来控制设备运作动力,改变设备运行方式等。弱电控制强电过程中,存在的安全问题主要有两方面:一是控制装置本身的安全性,是否具有电磁隔离能力,是否具备防雷措施,控制装置本身的可靠性主要采用冗余来保障;二是强电能源动力的安全性,是否具有良好的接地、触电防护措施等,强电本身的安全性需符合国家相关安全标准。(3)机械设备运作的安全性。设备自动控制的最终表现在于设备是否可以正常运行,设备的正常运行主要通过设备定期或不定期维检来保障,智慧水务建设也体现在设备运行状态的自动采集和预警上,主要可通过设备的状态传感器实时传递设备状态信息及时发现设备故障。
2.3安全管理
智慧水务建设过程中的工业控制系统网络建设相较传统网络体系而言,更多倾向于设备部署,易使人们忽视安全管理。实际上工业控制系统的网络安全问题更大程度是人为因素:一是基层工作人员相对素质较低,在水务设备的安装和巡检过程中,麻痹大意,忽视安全问题;二是工业控制系统网络缺少日志自动化管理,需要人工建立台账。智慧水务建设过程需要提高安全管理意识,建立独立的安全管理制度:一是加强日志管理和审计管理,尽可能利用信息化手段管理日志,可设立专岗专管。二是加大安全培训力度,提高基层工作人员的安全意识,发现问题及时报告。
3结语
"智慧水务"是现代化城市建设的必然趋势,智慧水务和国家网络空间安全息息相关。在建设初期,提高安全意识,建立安全管理制度,加强每个环节的安全建设,尤其是工业自动控制系统网络安全建设,至关重要。本文主要分析了智慧水务建设过程的工业自动控制系统网络安全问题,并给出了相应的解决办法,对生产实践具有一定的参考借鉴意义。
参考文献
[1]卜云飞,闫健卓.基于大数据的智慧水务架构研究[C]//中国自动化大会(CAC2017),济南:2017.
[2]张焕国,韩文报,来学嘉,等.网络空间安全综述[J].中国科学:信息科学,2016(2):125-164.
[3]谷神星网络科技有限公司.工业控制网络安全系列之四典型的工业控制系统网络安全事件[J].微型机与应用,2015,34(5):1,5.
[4]魏钦志.工业网络控制系统的安全与管理[J].测控技术,2013(2):87-92.
[5]旭日.无线传感器网络安全技术及运用实践微探[J].数码世界,2017(1):126-127.
[6]彭勇,江常表.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012,52(10):1396-1408.
[7]王小山,杨安.工业控制系统信息安全新趋势[J].信息网络安全,2015(1):6-11.
第4篇:工业网络安全管理范文
关键词:网络安全法;石油网络安全管理;人员培训;应急措施
0引言
随着石油企业的快速发展,先进的信息技术不断应用到石油企业内部系统建设中,网络安全问题也愈发复杂。早就从2008年起,石油企业加大了对网络安全和信息安全的重视程度,通过规范化的网络安全管理,促进石油企业的稳健发展。在这样的环境背景下,探究网络安全法在石油网络安全管理中的深化应用具有非常重要的现实意义。
1《网络安全法》的主要原则
《网络安全法》作为一项规范网络空间安全管理的基础性法律规定,对我国网络空间法制建设具有重大作用,可以化解网络风险,进而推动互联网的法制建设和运行。针对石油网络安全管理工作,可以为各项安全管理制度的制定和完善,提供切实的法律保障,具体原则如下:(1)空间主权原则《网络安全法》中明确指出,必须维护我国网络空间主权,这是国家主权在网络空间的综合表现,主席在《联合国宪章》中强调了主权平等原则属于当代国家关系基本原则,其影响范围涉及到国与国间的交往领域,其精神与原则同样可以应用在网络空间中,其网络发展道路、管理模式以及公共政策,要享受到平等的网络空间治理权力。同时《网络安全法》也适用在我国境内网络和网络安全管理中。(2)信息化原则网络安全是一切发展的基本条件基本保障,这就使得安全与发展必须同步进行。换句话说,网络安全与信息化发展必须同步进行,统一规划、部署、推进和实施。在《网络安全法》第三条中提出,我国必须坚持网络安全和信息共同发展的原则,依照积极利用、依法管理、科学发展的理念,加强网络基础建设,促进网络技术的创新与应用,并构建完善的网络安全保障体系,实现网络安全水平的提升。(3)共同治理原则网络空间安全如果单纯依赖于政府机关是无法达到最佳的安全管理效果,所以需要政府机关、社会组织、相关企业以及社会群体的共同努力,将所有网络利益相关者整合起来,共同参与到网络安全管理中,根据自身角色承担网络安全治理责任,形成共同治理的局面。
2网络安全法在石油网络安全管理中的深化应用
(1)完善管理制度,规划安全方向在石油网络安全管理工作中,要根据《网络安全法》中的相关规定,提炼出精华部分,应用到石油网络安全管理体系中,制定一套完整的石油网络安全管理制度,规范网络安全管理行为,并紧紧抓住网络安全管理的大方向,明确石油网络安全管理重点,进而有利于石油网络安全管理水平的提升。从石油网络安全管理本质上看,其属于一种信息安全管理模式,主要是为了加强石油企业安全管理能力,促进石油企业的持续性良好运作,为石油企业的信息资源提供基本保障。在制定网络安全管理制度中,围绕《网络安全法》,借助各种安全标准和参考标准,规范网络安全管理行为,避免违规操作造成的网络风险,进而促进石油网络安全管理工作的规范化和科学化。(2)加强日常检查,建设安全域在石油网络安全管理中,根据《网络安全法》的核心原则,开展网络安全和合规性检查工作,利用日常检查的方式,对企业网络安全管理工作进行梳理和优化,对高危安全漏洞进行彻底的排查,有效识别工控系统中的各种安全风险,核对信息系统中的定级备案现状。同时,根据石油企业实际需求,开展信息系统常规安全检查、工业控制系统安全检查以及各个网络系统等级保护合规性检查,进而将网络风险扼杀在摇篮中。除此之外,石油企业要加强网络安全域建设,合理划分石油企业的网络安全域,把石油企业网络根据使用功能划分成内网、外网、专网和专线等部分,各个类型的网络必须配以对应的访问规则,实现石油网络的分区防护,建设统一的互联网出口,合理布设安全防护设备,提高网络访问的安全性。(3)创新安全技术,深化应用价值基于《网络安全法》的核心原则,在石油网络安全管理中,要对网络安全技术进行创新和优化,特别是在网络安全设施逐渐开放化背景下,在传统网络安全管理中,物理隔离技术、加密隔离技术和内外网隔离技术只能对传统网络框架进行安全防护。随着科学技术的不断发展,以隔离为核心的安全体系得到了新的升级,涌现出一些以硬件销售为主营业务的网络安全公司,主要涉及到防火墙、入侵防御系统、入侵检测系统、威胁管理系统、SSL网管等技术,无需提供商的参与,通过总集成应用和信息安全建立连接,形成相对独立的安全防护体系。传统网络安全技术具备分散割据化、对应用的封闭化、硬件盒子化等特征,封闭化的安全设备从某种意义上维护了传统安全厂商的利益,但是却损害了用户的利益。而从用户的角度来看,未来安全设备的开放化、可编程化是需要用户去推动的趋势。
3网络安全法在石油网络安全管理中的应用实践成效
某石油企业为了贯彻《网络安全法》和“两会”、“”网络安全保障要求,构建信息安全责任机制,加强全员安全意识,狠抓风险识别和整改,逐步提高网络安全管控能力,切实保障信息系统安全稳定运行。(1)落实网络安全责任机制在网络安全管理中,遵循“谁主管谁负责、谁使用谁负责”的原则,落实网络安全责任制,各个部门紧密合作,形成联动协作系统,由各部门负责人签署网络安全保障责任承诺书,信息系统建设商、运维商签署网络安全责任书,落实相关责任,带动网络安全管理工作的开展。(2)强化安全整治迎检工作结合石油信息安全现状,实行87个检查项目,对420多个控制点进行安全规划部署,特别是针对安全管理和各个网络系统开展全面自查活动,建设风险点台账,进而实现石油网络安全整治,解决油库工控网与办公网中的安全防护问题,并针对移动应用、账户权限、密码管控以及互联网应用等问题进行专项治理,加强终端管理系统的推广和部署,联合防护机制,以符合网络安全控制要求。(3)做好监测预警与应急工作石油企业在“两会”和“”会议期间,针对勒索病毒的入侵,实行24小时轮岗值守机制,组织技术人员针对石油企业网络边界设备与服务器等网络设备进行安全防护,而对企业内部WIN桌面终端实行拉网式紧急防护措施,预防各种网络安全事件的发生,从根源处消除安全隐患,并在数据中心机房开展火灾、停电、漏水、网络、服务器故障等信息基础设施损坏应急预案演练和ERP等,重要信息系统故障后业务应急演练,有效保障信息安全。(4)开展《网络安全法》培训宣传活动石油企业以“增强网络安全意识,共筑安全发展基石”目标,在全体员工中组织开展网络安全宣传活动,在石油企业官方网站组织网络安全知识有奖答题活动,并对信息部门、基层信息综合运维岗、信息关键用户等进行安全技能培训,使IT人员熟练掌握安全攻防技能、运维、日志审计系统的日常使用。在培训中,介绍我国互联网的发展状况、网络安全面临的形势以及《网络安全法》中与工作、生活相关的重要法律法规等内容,还要结合公司实际讲解公司网络基本架构、安全防范措施等等,表明网络安全的重要地位,让企业内部员了解《网络安全法》,认识到网络安全,形成自觉意识,积极参与到石油企业网络安全管理中,提高石油企业网络安全管理的综合水平。
4结束语
网络安全法是一项面向网络空间安全管理的法律体系,在石油网络安全管理中,要遵循网络安全法的相关规定和原则,为石油网络安全管理工作提供依据,保证各项网络安全管理工作的顺利开展,提高综合管理水平。
参考文献:
[1]孟庆军.如何提升石油化工企业网络安全管理现状[J].中国信息化,2017.
[2]刘剑.石油企业IT风险管理体系研究[D].西南石油大学,2016.
第5篇:工业网络安全管理范文
随着时代经济的飞速发展,计算机信息管理技术在我国各个领域均有着较为广泛的应用,尤其是网络安全管理中的应用,同时网络信息安全不仅仅对人们的财产权有着一定的影响作用,同时对于人们的生命权也有着一定的影响作用,因此加强网络信息的安全管理,更要对网络信息安全管理体系进行合理化的建立,具体体现如下:
1对网络信息安全管理模型加以建立
计算机信息管理技术在网络安全管理中的应用中,更要对网络信息安全管理模型加以建立,并对全面的计划进行制定,进而做出相对详细的安排,并对高效和高质量的管理模型加以建立,并做好信息的执行和维护工作,加强混合型模型的建立,并对大量的相关资料进行查阅,加强对信息网络安全控制的研究力度。
2做好技术的控制
计算机网络在实际的安全管理过程中,就要做好技术的控制工作,并将网络安全管理的关键技术进行管理,对健全信息的安全系统加以建立,并在对各个方面的因素进行综合性的考虑,加强技术管理人员的培训,做好相关人员专业知识的培训,进而提高技术管理人员对突发情况的处理能力,在实际的工作中,将责任加以落实,并对系统运行的安全性和合理性加以保证,从根本上使得系统处于一种良性发展的过程。
3将安全防范管理加强
做好计算机信息管理技术在网络安全管理中的应用,就要加强其安全防范管理,将网络安全的管理逐渐扩大,并将其在安全防范体系和机制上进行延伸,进入保证计算机硬件和软件系统有着一定的衔接性,并做好计算机信息安全技术的处理控制工作。
4做好操作中安全系统的防护工作
计算机信息管理技术在网络安全管理中的应用过程中,更要对计算机漏洞进行严格的检查,及时的发现问题和总结问题,对科学的安全运行方案加以建立,并及时的采取相关的补救措施,将其对身份的验证管理加强,从根本上将用户身份验证法规进行完善,最大程度上保证网络中的一些上网口令运行过程有着一定的安全性和可靠性,并将病毒和黑客对系统造成的危害加以避免。总而言之,计算机信息管理技术在网络安全管理中的应用,就要合理的应用计算机信息管理技术,将网络安全管理的关键技术进行管理,并加强系统的安全防范管理,对其技术进行科学化的控制,进而实现信息网络的安全性管理。
二、结语
