当前位置: 东星资源网 > 文档大全 > 句子大全 > 正文

网络隔离技术 网络隔离技术在SCADA系统中的应用

时间:2019-02-10 来源:东星资源网 本文已影响 手机版

  摘要:SCADA系统是一个高安全度网络系统,随着SCADA系统数据信息联入MIS系统以及利用网络漏洞的新型网络攻击手段的出现,引发一些安全事故的发生,使得人们对SCADA系统网络的安全性的要求更高,网络隔离技术的引入,有效得保障了SCADA系统网络的安全。
  关键词:SCADA 系统 安全性 网络隔离 MIS系统
  
  SCADA(Supervisor Control And Data Acquisition)系统是一个相对孤立的物理隔离的系统,有着强有力的访问控制,是相对安全的。然而,随着网络技术、通信技术和计算机技术的发展,SCADA系统逐渐发展成开放式透明运作的标准系统,由此造成该系统的安全性降低。随着SCADA系统联人MIS系统和因特网以及一些安全事故的发生, 如何保障SCADA系统网络的安全性越发引起人们的重视。
  一、SCADA系统结构简介
  SCADA 系统一般由三大部分组成:安装在各基层生产单位的远程终端单元RTU (Remote TerminalUnit)、远程数据通信网络及控制中心站。RTU的主要作用是进行数据采集及本地控制。进行本地控制时作为系统的一个独立的工作站,进行数据采集时作为一个远程数据通信单元。系统的通信网络主要用于RTU与控制中心站通信及其他RTU通信。控制中心站是一个局域网,包括操作站、数据存储与处理站、自动化工程工作站等多个工作站和支持网络功能的设备,以完成不同的工作。
  二、 SCADA系统网络安全性分析
  SCADA 系统控制中心站通过中心站软件管理系统数据库,每个工作站通过组态画面监测现场站点,下发控制命令进行控制,并完成工况图、统计曲线、报表等功能。SCADA系统大都是基于Windows,U nix,Li nux等操作系统的组态软件,这些操作系统并非是完美无暇的,一些怀有恶意的用户可以利用已知的操作系统漏洞人侵web服务器,然后从网络中获取没有防护措施的SCADA系统的访问权,甚至篡改数据。现有的SCADA系统与MIS系统和因特网之间的联网大都采用路由器或防火墙进行安全隔离,在很大程度上起到防范作用,但是防火墙要保证服务,就必须开放相应的端口,这就给无授权的非法访问留下空子。网络黑客会利用开放服务的数据隐蔽隧道进行攻击以及攻击开放服务的软件缺陷,都会使防火墙无所作为。
  三、网络隔离技术的原理及特点
  网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。
   应用网络隔离技术产生的网络隔离器自身具有高度的安全性,在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
  见结构图:
  网络隔离技术实现的是网间隔离,即监控SCADA网络和MIS网络(因特网)的网络包不可路由到对方网络。网络隔离在隔离网络包的同时要完成网间应用数据的交换,对网络包进行协议分析,完成应用层数据的提取, 然后进行数据交换,彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中这样就把诸TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了监控SCADA网络之外,从而明显地增强了监控SCADA网络的安全性。
  网络隔离技术采用基于会话的认证技术和内容分析与控制引擎对网间的访问进行严格的控制和检查,确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,确保信息数据的安全和访问的可审计性。
  4.应用实例
  犍为电网监控SCADA系统最初是采用硬件防火墙与MIS系统联网,共享SCADA系统的信息数据,在联网后通过网络监测工具监测到有大量MIS系统的网络包渗透到SCADA系统网络中,严重影响了SCADA系统中正常的网络通讯,并且时常有来自MIS系统的网络病毒感染SCADA系统中的计算机系统,造成SCADA系统不能稳定运行,严重危及到整个电网的安全生产运行。为保障SCADA系统的稳定安全运行,采用了网络隔离装置取代硬件防火墙,实现了SCADA系统与MIS系统的网络隔离,彻底地阻挡了MIS系统中的非法网络包渗透和网络病毒的攻击.
  
  * 结束语
   网络隔离技术通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,实现不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。SCADA系统是工业自动化控制的核心,采用网络隔离技术来保障SCADA系统网络的稳定安全,可以实现信息共享的同时提高SCADA系统的效能,促进工业自动化生产提高经济效益。
  参考文献:
  [1] William FRush,et al.Here"s What You Need To Know To Protect SCADA Systems From Cyber-Attack Pipeline&Gas Journal,200 3( 2): 29-30.
  [2l张峻,等.武汉电力SCADA系统安全互连策略[Jl.湖北电力,2004(2) :44 -4 6.
  [3」胡铁斌,等.电网调度自动化系统中的计算机安全问题[Jl.电世界 ,2002 (9):22-23.
  作者简介:王富兰,南京机电职业技术学校

标签:隔离 系统中的应用 技术 网络