生产网络安全即使一个复杂的技术问题,又是一个棘手的管理问题,需要多技术多层次的保护,但要实现真正的理想的安全效果,必须在需求设计、应用配置、系统管理、运行维护等各个方面进行配合。目前国内采油厂采用的工业以太网保护技术主要有以下4种。
网络隔离技术
网络隔离技术经过了长时间的发展,目前已经发展到了第五代技术。第五代隔离技术采用安全通道隔离技术。基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离技术主要目标是解决目前信息安全中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等。
网络接入认证技术
在802.1X协议中,必须同时具备客户端、接入认证交换机和认证服务器才能够完成基于端口的访问控制的用户认证和授权。
由于802.1X认证实施起来较为复杂,有更简单的基于MAC地址的认证技术,同时IP地址+MAC地址绑定也是一种较为简单、使用方便的网络接入技术。
工业控制计算机防护技术
工业控制计算机安装杀毒软件,对工业控制服务器进行安全策略配置,包括计算机操作系统用户及口令,以及应用程序密码防护,防火墙进出规则设置。
工业控制计算机系统设置补丁升级,采用在线下载,由工控机管理人员决定何时安装。工控机设置安全策略,对系统用户权限、口令强度、文件共享、设备共享、系统防火墙、移动介质接入等进行安全设置。
工业以太网交换机设置远程和本地用户的权限等级,设置本地用户密码,保证远程和本地用户密码为强口令,用户密码使以加密形式显示。
网络设备设施防护技术
网络物理层安全保护技术,主要有网络环形或者网状结构,网络设备和网络传输介质的冗余,较少因网络设备造成工业数据的传输。
访问控制列表、服务质量保证等技术,能有效的保护网络传输的速度和质量,保证重要的生产数据能够快速、准确的传输到指定地址。
工业网络不断向与计算机网络的技术和规范统一,使工业以太网的应用逐渐增多。GB/T19582-2008中基于Modbus协议的工业自动化网络规范中的Modbus协议,传输层使用TCP协议,并使用TCP502端口号,网络层采用IP协议。
以太网设备与控制网络中的专用总线设备相比使用成本更低,现场总线不同于网络通信,它必须满足控制作用对实时性的要求,实时控制往往要求对某些变量的数据准确定时刷新。
现阶段采用单点防护、分散控制策略是一个相对安全、经济适用的阶段性解决方法。随着采油厂两化融合进程的不断发展,生产网络将面临更加严峻的挑战,生产网络安全要求越来越高,需要增加网络防护纵深,从现有的以联合站内交换机和工业控制计算机两个层次增加更多层次和保护措施,以确保生产网的安全。