监控系统方案范文1
关键词:电力监控系统;网络安全;三同步;纵深防御
1电力监控系统网络安全防护的要求
电力监控系统主要包括生产管理类信息、生产控制类信息和通信网络系统三个方面[1]。根据国家相关法律法规及南方电网公司要求,电力监控系统网络安全防护需要满足国家发改委颁布的《电力监控系统安全防护规定》(国家发改委2014年第14号令)、国家能源局颁布的《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全[2015]36号)以及《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)所提出的要求。同时南方电网公司结合自身实际情况,根据上述规定和总体方案,分别制定了《中国南方电网电力监控系统安全防护管理办法》、《中国南方电网电力监控系统安全防护技术规范》。
2电力监控系统网络安全防护基本方针
电力监控系统网络安全防护整体方案设计上要遵循“安全分区,网络专用,横向隔离,纵向认证”的十六字方针。
2.1安全分区
根据运行业务安全等级要求不同,将电力监控系统划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全I区)和非控制区(安全II区),管理信息大区又分为安全Ⅲ区和安全Ⅳ区。安全等级低的业务系统可以放在高安全区内,安全等级高的业务系统不允许放在低安全区内。除此之外,还设置安全接入区,使用公网通信、无线通信的业务通过安全接入区接入电力监控系统。
2.2网络专用
生产控制大区业务使用调度数据网承载,管理信息大区业务使用综合数据网承载,调度数据网和综合数据网使用独立的设备组网,在物理上实现网络安全隔离。使用MPLS-VPN技术,划分实时VPN和非实时VPN,实现安全I区和安全II区的逻辑隔离。
2.3横向隔离
生产控制大区与管理信息大区使用电力专用的横向隔离装置实现物理隔离,生产控制大区和管理信息大区内部使用防火墙等具有访问控制功能的网络设备进行逻辑隔离,安全接入区使用电力专用横向隔离装置与生产控制大区和管理信息大区实现物理隔离。
2.4纵向认证
各级生产控制大区使用纵向加密认证装置与调度数据网连接,为上下级调度机构或主站与子站的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
3信息系统安全保障模型
以风险和策略为基础,在信息系统的生命周期中在技术、管理、工程和人员等方面实施保障措施,确保信息的保密性、完整性和可用性特征(图1),达到保护组织机构信息和信息系统资产,从而保障组织机构实现其使命的最终目的。信息系统的生命周期层面和保障要素层面不是相互孤立的,在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。在电力监控系统的建设过程中,将安全贯彻到信息系统的全生命周期中,严格落实三同步要求,即“同步规划,同步建设,同步使用”,将网络安全工作融入规划、建设与发展三个阶段。构建电力监控系统网络安全管理体系,在组织架构上,落实人员配置,建立网络安全应急队伍;责任体系上,建立网络安全考核及问责体系,将责任落实到个人;管理制度上,建立网络安全标准制度体系,完善相关的业务流程和表单,细化业务指导书或典型作业指导书;技术标准上,编制各业务系统和支撑平台的网络安全防护技术规范。人员支撑上,加强人才队伍建设,做好网络安全技术及管理培训,深化网络安全资质考核认证,提升网络安全从业人员的技能水平。
4构建纵深防御的技术体系
信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)的思想,是实行多层防御、多点防御的纵深防御策略。电力监控系统网络安全防护体系的建设,也采用纵深防御的策略,根据等级保护的要求,主要从物理安全、计算环境安全、区域边界安全、主动防御四个方面着手,提高电力监控系统的网络安全防护能力。
4.1物理安全
电力监控系统机房应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施,应配置电子门锁加强物理访问控制,有条件还可增设专人值守,防止社工攻击。
4.2计算环境安全
电力监控系统的主机应进行安全加固,采用自主可控操作系统,实行双因子身份认证,配置访问控制策略,启动安全审计功能,安装杀毒软件,定期进行漏洞扫描,及时安装安全补丁,关闭高危端口以及高危服务,加强U盘等移动介质使用管控。
4.3区域边界安全
严格遵循“安全分区,网络专用,横向隔离,纵向认证”的基本原则,严禁跨区互联。应在区域边界部署横向隔离装置、防火墙等防护设备,配置访问控制策略,在网络关键位置,部署IDS、IPS等网络设备,对数据流量进行监控,防范入侵。
4.4主动防御
建立电力监控系统网络安全态势感知系统,对公司各电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。
5总结
监控系统方案范文2
1.基本概念
狭义的安防监控系统仅仅指视频监控系统,是指应用光纤、同轴电缆或微波在其闭合的环路内传输视频等信号,并从摄像到图像显示和记录构成独立完整的系统。它能实时、形象、真实地反映被监控对象,它可以在恶劣的环境下代替人工进行长时间监视,通过录像机记录下来。同时报警系统设备对非法入侵进行报警。这是一种监控当中的最重要也是最有效的手段之一,但是不是安防监控的唯一,也有自己的一些缺点。广义的楼宇安防监控系统是指所以对小区安全进行监控报警的系统的全称,其中不仅包括视频监控,也包括对讲系统、红外线监控、报警系统等等,主要包括的要素有:摄像传输显示监控系统、自动报警系统、对讲系统等。笔者认为:当前楼宇智能化趋势要求各种控制系统高度集成,顺应时代的发展,科学意义上的安防监控系统应该是广义上的,而且是高度集成的安防系统,不仅有视频设备,还有有针对小区周边地区进行监控的红外线、自动报警系统、火灾报警系统等构成的集成系统,所以仅研究视频系统是片面的。
2.发展前景
从市场需求来看,随着社会服务的发展,小区业主对安全的考虑越来越重视,而传统的巡查制度管理困难,成本高昂,所以安全防控系统对于小区管理极其重要,是为了各大型建筑、居民建筑以及别墅式建筑的发展趋势。其次,现代通讯技术、计算机网络信息技术以及自动控制技术的发展,智能化建筑技术的提升与普及,楼房的安防监控系统发展也非常迅速。未来的发展市场前景广阔,将成为建筑必备设施,而且技术手段更加先进,与数字技术的联系更加紧密。从国家政策层面来讲,政府构建和谐社区的目标将推动安防监控系统的发展与普及。,例如:北京市2010年社区主要道路视频监控设施覆盖面达到80%以上;社区平房、未封闭楼房安装使用门磁报警器、楼宇对讲器系统等设施达到80%以上。
二.国内楼宇安防监控发展现状与趋势
中国安防监控技术大致起源于上世纪60年代初故宫博物院的安防报警系统。之后的若干年,中国安防监控一直是以防盗报警系统为主。目前从市场来讲,楼宇安防监控系统已经成为城市建筑的必选项目,也是小区建设的重点项目,这几年技术发展也非常迅速,智能化建筑的发展推动了此项目的发展。但是,目前国内的安防监控体系制造商竞争激烈,一些规模较大的通信、IT、家电企业纷纷推出视频监控产品,传统视频监控市场竞争格局逐渐发生变化。更多领域的厂商进入视频监控领域,说明视频监控市场本身蕴藏着巨大的机会。但相对于网络市场的高度竞争,视频监控市场的竞争还处在相对较低的层面,参与竞争的厂商实力,包括企业规模、研发能力、营销能力等普遍不强,主要依靠价格竞争。随着数字视频压缩编码技术的不断成熟,从上世纪90年代中后期开始,基于数字视频压缩编码技术的硬盘录像机开始出现在安防视频监控领域,基于多媒体计算机的多媒体监控系统以及基于网络传输的网络视频监控系统亦成为现代电视监控系统的主流。如今,国内很多从事电视监控设备生产或系统集成的厂家已经在上述综合型电视监控系统的研发上投入了很大的精力,并已取得初步成果。未来,数字化、IP化、智能化是视频监控发展的趋势,视频监控的IT化趋势也将更加明显。
三.楼宇监控安防系统的设计
1.系统设计思想
智能化安防监控系统的设计,必须充分应用现代电子信息技术、计算机技术与高科技通信技术,使得监控的效果更佳。
(1)模块化
必须坚持完整地一次性完成总方案设计。整个系统的综合布线和诸多自动化通信网络工程系统线缆布局,应同步地与土建工程同步进行实施预埋。防止边施工边修改,施工后在修改的情况出现。对于智能化大楼的建设,楼宇监控系统的设计还需要与其他的设备如通信、办公、自动控制等多方面地有机自动结合,实现智能化集成管理,这是安防系统发展的趋势。
(2)超前化
如果条件不成熟,也应该预留管道与接口,为未来施工留下余地。尤其要注意系统和自控设备的功能超前、创新实用、高效优化的组合。在建立完善网络结构化全面综合布线的前提下,整个智能化管理系统的主设备、关键部件及终端控制设施,可根据住户的实际经济能力,按分期分批逐步实施原则进入安装、调试运行。
(3)实用性
所开发的实用功能应能为用户实实在在地感受和使用,以人为本,充分体现幽雅舒适便利快捷的工作环境,并因此而提高工作效率,同时应与国情相符,与城市的基础设施和周边环境适应。在保证整个系统先进性、可靠性的前提下,力争做到性能价格比的最优化。
2.整个系统设计的要素
楼宇监控安防系统主要有几个方面的设备单元通过电路整合而成,主要包括:楼宇视频监控系统、楼宇对讲系统、楼宇报警系统等,以及各个部分均有相关的部件和设备组成。
(1)楼宇视频监控系统
摄像机设备是楼宇安防监控体系的主要设备,也是数量最多的设备,它就如整个楼宇监控的眼睛,24小时紧盯着楼宇的关键区域的动静。同时,它把视频信号转变成为数字信号,传输给显示器,显示器设备中的软件系统对信息进行处理,形成同步的集成视频。这样,只需要一两个监控人员就可以环视整个楼宇关键区域发生的异常情况。视频监控系统对所传输的图像信息具有切换、记录、重放、加工和复制等功能。
(2)楼宇门户对讲系统
对讲系统是一种成本低廉的安防系统。是在各单元口安装防盗门,小区总控中心的管理员总机、楼宇出入口的对讲主机、电控锁、闭门器及用户家中的可视对讲分机通过专用网络组成,以实现访客与住户对讲。住户可遥控开启防盗门,各单元梯口访客再通过对讲主机呼叫住户,对方同意后方可进入楼内,从而限制了非法人员进入。同时,若住户在家发生抢劫或突发疾病,可通过该系统通知保安人员以得到及时的支援和处理。
(3)周围红外线探测系统
一些建筑周边地区难以用视频设备实现完全监控,所以对于建筑或者小区周边安装红外探测器,利用主动红外移动探测器对越界行为进行监控,并连接到监控中心的报警中心,当有人非法进入时,探头即自动感应,触发报警,主机显示报警部位,同时联动相应的探照灯和摄像机,并在主机上自动切换成报警摄像画面,报警中心监控用计算机弹出电子地图并作报警记录。
(4)信号传输系统
传输部分是安防监控系统图像、声音、红外线等多种信号的传输路径。主要由同轴电缆、互联网线路等组成。视频传输部分要求在前端摄像机摄录的图像进行实时传输,同时要求传输具有损耗小,可靠的传输质量,图像在录像控制中心能够清晰还原显示。传输线路的设计应避开恶劣或磁场强的环境或易使管线损伤的地段,与其他管线不要交叉。在线路敷设方式上,对于扩建、改建工程可采用明敷设,可采用钢管或PVC管或线槽保护电缆。
(5)安防监控中心
控制部分就是安防监控系统的指挥中心,就是系统的大脑。它将视频摄像机获得的信号通过网络统一集成到这个指挥中心,负责视频信号的处理、记录、遥控等。同时,中心负责门户对讲系统的集中管理,负责集成报警系统的监控以及供电系统的维护等。指挥中心对内与业主联网,对外还可与公安"110"处警中心实现联网。当视频监控、对讲系统、红外探测等系统提出报警信息的时候,监控中心将立即自动进行报警,包括进行语音警告、警报器蜂鸣,同时在监控中心现实发生警报的位置,视频自动录像,链接110指挥中心等。
(6)辅助供电系统
电源的供给对于保证整个闭路监控报警系统的正常运转起到至关重要的作用,一旦电源受破坏即会导致整个系统处于瘫痪状态。系统的供电可以采用集中供电和分散供电两部分,用户可以根据实际的需要进行选择。
3.系统关键部分设计要求
(1)视频监控系统设计
摄像机的布控是设计关键。布控设计的时候主要考虑这样几个因素:监控范围的关键性与完整性、设备安装的美观性、设备安装的隐蔽性。关键性只要是指设备要安装在楼宇的关键区域,这个区域要能够对人员必经的出入之处以及容易发生安全问题的死角进行监控;完整性是指摄像机的分布要形成互相衔接,较少监控的盲区与死角;美观性是指摄像机的位置、形状、角度要得体、大方美观、与环境协调,一些内部元器件要安装在防护罩内;隐蔽性是指摄像机的安装尽力放在不易关注的地方,要照顾一般人员的感受,不要咄咄逼人地随时注视着业主,同时对于一些不法分子进行隐蔽的监视,可以让其防不胜防地暴露在显示器上。例如:摄像机的布防设计类型主要有:
a.大厅布控。
在大厅中央安装吸顶式集成式摄像机,将摄像机、云台、解码器等部件均安装在半球型防护罩内,能作水平360º、垂直90º运行旋转。如果使用可变焦的摄像机镜头,基本上能够对大厅的情况一目了然。
b.电梯布控。
电梯是容易激发违法分子犯法动机的易发点。处于美观与隐蔽的考虑,电梯内可以安装针孔型摄像机,它能与楼层显示器实施方便的连接,可正确清楚地观察与记录在电梯运行时进出人员的实际情况。
c.走廊布控。
走廊也适合安装集成摄像机,安装在走廊的顶端或者一段的角落。走廊不一定需要很大的旋转视角,但是需要变焦镜头(具体看走廊通道的长度),因为走廊的亮度相对较差,所以需要安装亮度较高的摄像机,以便在比较暗的灯光情况下也能看清楼内通道内人员的面容和相关活动情况,由于它具备隐蔽的特点,不影响大楼美观大方得体的布局。
d.楼宇周边地区布控。
楼宇的周边地区比较复杂,需要根据具体地形进行布控,做好防风防雨防晒措施,可以在楼宇的墙面,周围的路灯上,绿化地带内等地段进行安装,特别是要关注停车场这样的地段,进出大楼的相关人员都可观察与记录下来。
(2)门户对讲系统设计
视频监控属于小区集中监控系统,而楼宇对讲系统属于业主主动防御系统,具有积极的意义。通过楼寓对讲系统,实现控制开门,来访者在单元的可视门口机上选通住户,由住户确任后,按开门键开启单元门。选购楼宇对讲系统应该针对不同的住宅结构、小区分布和功能要求来选择,有些适宜于非封闭式管理的住宅,能够实现呼叫、对讲和开锁功能,并具有夜光指示的功能。封闭式管理的小区则可选用带有安全报警功能的室内机,用户可根据各自需要安装门磁、红外探头、烟雾报警、煤气泄漏报警装置等。一般在户数容较小的的多层房中采用直按式多线式产品,则既可达到对讲的基本功能,也可以合理配置节约系统投资成本。未来如要扩展为联网系统,只需在每个单元楼里,配置1台通讯转换器,即可将室内机传出的求助信号转换成数字信号,并发送到小区管理中心,在系统主机上显示和存储房号。为方便工程布线,根据不同的小区分布,大系统总线可采用星型布线和环型布线。为解决大系统信号衰减,在同一根电缆上视频双相传输双项放大可采用智能化信号增强器。封闭式的小区还可设置管理中心。管理中心机可储存报警记录,可随时查阅报警类型、时间和报警住户的楼栋号和房号,中心机可监控和呼叫整个小区与楼栋门口。
(3)红外线探头
小区园区及周界不可能都安装摄像机监控设备,所以摄像监控区总会有盲区。所以,选择防止越界的地点安装红外线探头,采用远距离主动红外对射探头,利用接口与总线相连,实现小区的周边防范。一旦小区周边有非法侵入,报警主机发出报警,指出报警的区域、时间、探头编号等。该系统主要由红外对射探头、系统主机及警号等组成。当周界有报警时,保安中心的报警控制主机,发出报警声并显示报警区域编号。系统采用总线结构,便于以后的扩展。系统具有防剪线功能,一旦出现剪线或损坏,能及时向管理中心报警。系统由红外、微波双探测器及闪光报警器构成,信号送至防控中心,并与电视系统合用矩阵控制系统/画面分割器、电视墙等控制设备。
(4)自动报警系统设计
自动报警系统是建立在视频监控、对讲系统、红外线探头监控系统的基础上,建立的信号警告系统。自动报警系统与电视监控系统相连接,将从用户对讲系统、户外红外线探头系统、消防火灾监控系统方面接受到的报警信号通过系统将信号送至电视监控系统,当有报警发生时,电视监控系统会自动将报警现场的图像切换到主监视器上。同时报警系统可按分区单独撤防布防。通过在大楼出入口、各层楼梯间出入口、走道、房门口等部位设置探头、摄影机,在室内安装火灾探头,通过这些设备完成报警监测。当报警发生时驱动声光报警装置,同时配语言报警单元,实现模拟人工报警,将警报通知公安部门。
4.互联网技术在安防监控中的运用
从楼宇安防设计的发展趋势来看,互联网技术的嵌入是未来发展的主要趋势。目前,大楼内安装的监控系统根据用户监控要求的不同大致可分为两种网络环境:主要提供大楼内部的安全保卫和物业管理需要,可利用大楼内的局域网络;对于个人用户,还比较关注的是可在办公室等异地,通过互联网络的支持随时可以监控到家里的安全和小孩生活的情况。利用楼宇内部现有的局域网资源,可将前端的摄像机和报警设备(如烟感、红外、门磁等)接入视频服务器,通过视频服务器的数字压缩处理,可将视频信号直接连入局域网内。在监控中心,安装网络视频监控系统,该系统在后台运行视频监控服务器程序,主要完成现场图像接收,用户登录管理,优先权的分配,控制信号的协调,图像的实时监控,录象的存储、检索、回放、备份、恢复等。保安和物业管理人员可利用自己的办公微机,在网络中随时监控现场的环境。通过网络视频监控系统,可以将一些公共区域的情况开放给业主,业主经过系统授权,可观看到指定的监控画面。
四.设计案例——***花园小区网络视频监控系统设计
作为广州十大明星楼盘之一的***花园小区,其开发商从系统应用的实际需求出发,在综合比较分析国内监控市场上各种监控模式及解决方案的基础上,在小区楼盘中采用基于网络视频服务器的第三代全数字网络视频监控管理系统。按照实际需求规划配置108台摄像机,分别对小区内部楼道、楼内大堂与电梯口、地下室停车场、小区周边出入口等重要地点进行视频图像监控。系统共配备27台网络视频服务器,分别安放在各楼栋的弱电房内。楼栋内以及附近地下车库的监控摄像机每4台摄像机就近接入弱电房内的网络视频服务器。网络视频服务器连入小区内部局域网将数字图像信号发送到监控中心。
根据上述开发商要求,系统设计单位和设备厂家协商做出以下解决方式:
1、由于网络视频服务器后台的"网络视频集中监控系统"管理软件具备最多16画面分割显示功能,而本系统总共有108路视频图像,全部要求实时录像和显示,因此,监控中心配置8台电脑并安装配套的"网络视频集中监控系统"管理软件,其中1台作为监控主机,执行系统管理以及对前端网络视频服务器设置的功能,实时调用显示任意一路视频图像或回放任意一路的历史录像资料,执行对任意监控点摄像机云台镜头的控制,但不执行录像功能;另外7台电脑作为监控副机(其中6台每台负责系统内指定的16路视频图像的显示、录像功能,另外1台负责系统内余下的12路视频图像的显示、录像功能。)执行指定视频图像的显示、录像功能。
2、监控副机均配备17英寸显示器,显示器固定安放在电视墙柜里,全屏显示直接组合成监视墙(即电视墙);监控主机的显示器直接摆放在操作台上以便于日常操作管理;监控电脑机箱全部放置在机柜里。
3、考虑到操作台空间的有限性,再加上日常控制操作以监控主机为主,因此所有电脑通过切换器共用一套鼠标键盘实现控制管理操作。
4、监控电脑配置为:CPUP42.4G,内存512MDDR,显卡GFORCE4128M,工控主板及机箱电源,每台电脑内置3个120G硬盘,用于存储录像资料(要求保存所有视频录像资料1周每天24小时,之后录像资料自动覆盖更新。通过以上的监控中心电脑管理解决方式,不仅完全实现了系统的功能要求,在图像显示效果上更胜于传统方式,而且监控中心无须配备复杂、昂贵的大路数矩阵切换系统、画面分割器等就可以实现画面分割、切换、调用放大等功能。
监控系统方案范文3
关键词:电力监控系统;网络安全;防护;研讨
计算机监控系统作为电力监控系统的重要组成部分,对电力系统的安全运行起着至关重要的作用。就目前状况来看,我国的电力监控系统存在着很多的缺陷,软件安装、操作性差、操作系统升级失败等都是普遍存在的问题,这也限制了电力企业的进步。在实际应用的过程中如果移动硬盘存在病毒,就特别容易造成网络安全系统的瘫痪,影响电力监控系统网络的正常运行和使用。所以,一定要重视电力监控系统网络安全防护工作。
1什么是电力监控系统网络安全防护
根据我国电力监控系统安全防护的有关规定,电力监测系统安全防护主要包含四个方面的内容,一是安全分区,二是网络化,三是横向隔离,四是垂直认证。安全分区主要就是为了区分生产控制区和管理区,生产控制区主控生产,并且与电力生产计划信息系统有着十分紧密地联系,信息管理就是对电源以及系统等有关行政事务的管理。要是想要进一步的划分的话,大范围的生产控制也有两种区分。网络化是指电力企业范围内的所有数据网络都要用到单独的网络设备来建设网络,就物理方面来讲,需要从其他的公用网络中调度电力数据网络。横向隔离是表示控制区以及较大范围的信息管理,其一定要由相关国家部门建立。应用隔离装置所获得的结果与普通物理隔离结果比较相近[1]。一些黑客都无法入侵到电力系统的里面。纵向认证是对有关数据进行传输以及对垂直边界进行安全防护的一种办法,经过一系列的操作,实现对电力系统的生产控制区进行防护和有效控制。
2电力监控系统网络安全防护的基本要求
生产控制、管理信息系统和通信网络系统共同构成了电力监控系统。对于电力监控系统的安全防护,国家已经出台了一系列的有关规定,并对电力监控系统网络安全防护的基本要求作出了详细地规定。要想加快网络异常检测技术的应用,构建电力系统安全防护体系,需要对电力系统的安全防护方案进行监控,要格外关注外部网络隔离的封闭边界,安装安全防护装置,设置安全预警系统。这样就构成了网络监控系统,防止各种问题的发生。以提高电力监控系统自保护能力为基础,从各个层面提出了对电力监控系统的分层保护方案。还需要根据不同的防护要求来提高系统对外部恶意入侵和攻击的防范及解决能力[2]。电力监控系统的安全保护主要涵盖三个方面的内容,这三方面的内容是属于不同层面的,能够在不同的层面上保护电力监控系统的网络安全。
3电力监控系统网络安全防护系统的体系结构
对电力监控系统进行安全管理系统的设计之前,有必要细致掌握电力监控网络安全管理系统的结构,这对于电力监控网络系统来说是十分必要的,在分布式电力监控网络工作的时候,安全管理系统的体系结构主要有权限管理和安全服务等方面的内容,并且各个方面的内容都可以作为一个相对单独的组件通过满足要求的设计,实现其功能。在权限管理操作的过程中,涵盖了角色管理和用户管理,对于安全服务来讲,主要就是确保系统安全方面的内容,要想保证所有功能的实现就需要有相关的数据做基础。在权限管理中需要数据服务为其提供有关的资料数据,在权限管理中,数据服务是其中最基础的部分,运行角色管理和用户管理的时候,就是对组态管理和监控工程等内容的负责。组态管理运行后,配置结果一定要存储在权限数据库中,管理员还要对相关的权限管理进行操作,其他子系统也需要进行身份认证监控,对其内容进行核查,还要进行安全审查工作,审查结果也要录入数据库中,以便这些数据能够为后续管理提供完整、真实支撑。在安全管理系统工作的过程中,运用的是以角色为基础的存取控制原则,并依照现实的情况对一些数据资料进行删减[3]。
4电力监控系统网络安全防护中存在的缺陷
(1)在运营管理上的缺陷
从大多数电力企业的运行管理情况来看的话,他们在电力监控系统网络的安全防护中还是存在很多缺陷的。第一,对数据的管理中,如果出现密码泄漏的情况,电源保护系统将失去整体保护的情况。第二,电力系统会计管理运行的时候,存在着较多不符合现实的情况发生,如果系统发生故障或存在异常情况的时候,短时间内又找不到故障原因,很难对设备的风险进行控制。还有就是,电力系统在实际运行管理的时候还有可能出现机房接入系统不完善、实物保护系统不完善、系统备份系统不完善等问题。
(2)在技术管理上的缺陷
进行安全防护技术管理的时候,电力系统还有跨区并联和分区错误等缺陷。所谓跨区并联,就是在生产控制位置和管理信息较大的区域建立单向安全隔离装置,对于某些非生产控制区和公共管理区而言,通过防火墙的基本功能就能够实现最基本的访问控制功能,逻辑隔离对其就有良好的作用。总的来说,当传送资料的过程中,比如,较低保安级别的系统传送资料至较高保安级别系统的时候,就有必要反向隔离传送资料及加密相关的传送资料。目前来看,在电力系统网络安全防护实施过的过程中,员工的安全防护意识普遍不高,致使电力监控系统出现跨区并联的情况。因为电力系统本身具有一定的特殊性,在划分电力系统时就特别易出错,而且系统的安全等级难以确定,所以,在安全方面投入的成本很高。从系统安全的角度出发,当系统的特点和重要性不同时,应根据实际情况进行安全分区,保证电力监控系统网络安全防护具有很高的实际操作性能,可以达到不同安全水平的需求[4]。然而,在电力监控系统的实际安全防护中,尤其是在刚开始建设的时候,有关技术人员一般没有对网络安全防护有一定的认知,致使设备和系统划分出现混淆混乱的情况。
5怎样实现电力监控系统网络的安全防护
(1)定期组织人员培训,提高工作人员的专业素养
在维护电力监控系统的网络安全的时候,有关从业人员的专业素养是十分重要的。在实施电力监控系统网络安全维护的时候,我们需要重点对从业人员的工作条件进行关注,还要格外注重从业人员责任心以及安全责任意识的培养,在实际工作的过程中,要安排专门的技术人员进行指导,保证有关技术管理办法能够在实际实施的过程中得到贯彻和落实。进行电力监控系统的网络安全维护的时候,也需要不断提高从业人员的专业素养。选择从业人员的时候不仅要选高素质人员,同时,也要对从业人员的定期培训和绩效考核,只有这样才能够促进电力监控系统的网络安全从业人员在实际工作中,可以独当一面,有能力处理好有关技术问题。
(2)加强有关业务传输以及纵向认证
电力监控系统网络安全防护离不开业务的传输,在传输的过程中,要进行纵向加密设置的认证。总的来说,要在广域网和局域网之间的接口上安装加密装置,也可以说是在广域网和局域网的交换机之间。一般加密装置是两个一起安装的,具有加密和解密功能。将纵向加密和防火墙结合在一起,能够对身份认证和相关数据内容进行加密处理,确保数据传输稳定安全性。同时,加密装置能够安全地过滤数据。在电力系统安全建立时,通信设备的身份可以通过调度设备证书进行认证,这样就保证了通信设备符合法律的规定。我们国家还专门设立了有关部门,以实现对通信加密和解密的工作,保证电力信息传输的安全性。纵向加密就是在纵向上进行加密操作,能够有效地确保信息的安全传输。一般在城域网与局域网之间会设置纵向防御线,而在县级调度的主站与远程终端的连接处设置纵向加密认证装置,这样就能够对身份进行双向的认证,保证数据传输的安全性[5]。
(3)生产控制大区提高对拨号访问控制力度
进行电力监控系统的网络安全维护的时候,一定要格外关注数据的重要性。要想保证网络数据传输的安全性,要阻止外部拨号的接入,与此同时,注意网络用户的身份,使用网络时需要具体的身份认证和有效的身份验证,注意其中一个操作服务器同时安排不同网段的地址,这样在具体操作过程中就会有一个安全机密的网络环境,保证区域拨号接入操作控制的规范性,这样在操作的时候,就可以取得较好的安全效果。
6如何保证电力监控系统安全防护工作
第一,不断加强有关工作人员的安全意识和责任心,设立专门管理技术的人员,促进有关管理办法和技术方法的充分落实。还应对有关技术人员进行培训和考核,进一步提升技术人员的素质能力。第二,要想确保生产控制区以外拨号接入网络的安全完整性,需要进一步加强对不同网络地址的检查,与此同时,设置专门服务器对此进行清查工作,以实现良好的网络安全系统防护。
7结束语
现今,社会科学技术不断发展进步,计算机被广泛应用于各行各业中,电力监控系统的网络安全防护中主要就是利用计算机系统,并且包含丰富内容。按照电力系统网络安全防护的基本原则,要求电力企业的领导者以及技术人员必须详细掌握电力监控系统的安全要素,只有这样才能做好电力系统网络安全防护的工作。
参考文献:
[1]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03):106-107.
[2]高小芊,罗超.电力监控系统网络安全监测装置功能及实施[J].通讯世界,2019(2604):176-177.
[3]吴京明,苏晓琴.电力监控系统二次安防的防护策略探究[J].通讯世界,2019(2606):208-209.
[4]姜松.电力系统二次安全防护策略研究[J].通信电源技术,2019(3606):263-264.
监控系统方案范文4
【关键词】电力系统;监控;网络安全;加固
电力监控系统主要是通过计算机来进行操作,电力监控系统现阶段存在的问题主要在于计算机软件安装、监控软件运行受阻、监控系统升级问题等,这些问题影响了电力监控系统安全防护技术的应用,并且阻碍了电力企业的发展,从计算机系统安全分区方面来看,计算机其他应用系统与电力监控系统的衔接少,如果计算机在使用的过程中被移动硬盘上面才有的恶意程序攻击,则会连带着电力监控系统出现安全问题,这样会导致系统信息出现泄露或者被篡改等隐患问题,大概率下这些隐患问题是未知的,较难预防,因此在这种情况下电力监控系统维护人员的专业技能高低显得尤为重要。
一、电力监控系统安全防护与网络安全加固的要求
在电力行业,电力监控系统主要监控的是三个部分,第一个部分是电力企业的生产管理信息;第二个部分是其生产控制类信息;第三个部分是其通信网络系统运行情况。国家有明确的规定,需要电力企业的电力监控系统安全防护与网络安全加固工作满足三份法规的基本要求,这三份文件分别是:2014年的《电力行业信息安全等级保护管理办法》以及《电力监控系统安全防护规定》、2015年的《电力监控系统安全防护总体方案等安全防护方案和评估规范》。电力企业要按照这三份文件来制定电力监控系统安全防护与网络安全加固工作的行为规范。我国政府已经正式将电力监控系统的安全防护纳入法律保障的范围内,电力企业在日常生产工作时应当将电力监控系统网络与其他网络分离,有电力监控系统专用网络,同时要配备先进的电力监控系统安全防护与网络安全加固设备,并且建设电力系统网络安全预防报警系统,电力监控系统要具备一定的敏感性,建设栅格状纵深电力监控系统可以有效的提高电力监控系统对于恶意程序攻击的敏感性,从而起到预防作用。从电力监控系统安全防护与网络安全加固的安全角度来看,主要有四个部分,第一个安全部分是电力监控系统计算机的主机安全;第二个是系统物理安全;第三个部分是系统数据信息安全;第四个部分是系统使用网络的安全,不同的安全层次需要不同的方案来预防,这样才能有效加强电力系统内部对系统攻击的感知能力,根据实际要求,需要电力监控系统分别从:系统边界防护、系统主机防护以及系统网络传输边界防护入手,加强这三道系统防线,这样才有助于实现电力监控系统安全防护与网络安全加固目标。
二、电力监控系统安全防护与网络安全加固现存问题
首先电力监控系统安全防护与网络安全加固较为突出的问题是其运营管理方面的问题,电力系统有专属密码口令,如果管理不善会导致密码的泄露,这一问题主要由监控机房的准入制度不够严格,计算机系统密码防范措施实施不到位,电力系统信息备份工作不完备。其次是电力系统技术管理的问题,当系统出现分区错误或者跨区并联情况时,不利于系统部分区域的信息双向传输,在传输的过程中容易出现信息被窃取的现象。电力系统的不同区域要进行划分,由此来确定安全等级,分区错误正是安全等级的划分出现问题,安全等级直接决定了系统安全防护的成本,安全防护工作有一定的针对性,需要根据系统部分差异性来合理制定。
三、电力监控系统安全防护与网络安全加固策略
电力监控系统要注意在进行业务交流时加强系统纵向加密,系统的加密装置主要作用是管理区域网与广域网的交界信息安全,因此需要将其认证写在其交界处,并且使用防火墙和纵向加密相结合的方法,这样不仅仅可以对系统数据进行加密,还可以进行系统身份的认证,由此来保证与系统连接的通讯设备合法。电力监控系统安全防护与网络安全加固主要保护的对象是系统的数据信息,因此要加大对网络用户身份以及外部拨号的注意,增加身份验证功能,实时关注一台计算机不同段的网络地址的概况。电气监控网络的安全性与工作人员的综合素质息息相关,因此电力企业要注重培养工作人员的责任意识以及技术能力,确保电力企业制定的安全防护措施实施到位,这样才有利于电力监控系统安全防护与网络安全加固策略的实施。
四、结语
电力监控系统安全防护与网络安全加固工作的情况对电力企业的日常生产有着很大的影响,这一工作需要分别从强化加密认证、安全分区、控制生产拨号访问、完善管理制度、提高工作人员专业技能入手,这样才能有效的保证电力监控系统正常运行,为电气生产提供安全保障。
参考文献
[1]邓?夫.新能源电厂电力监控系统网络安全防护浅析[J].科学与信息化,2019,(7):48.
监控系统方案范文5
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。工业控制系统产品越来越多的采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。本文从轨道交通行业应用的实际要求出发,基于国家规范、地方标准和地铁环境与设备监控系统架构出发,对如何有效进行信息安全防护进行研究。
关键词:
工业控制系统;环境与设备监控系统;信息安全
1概述
随着科技的日新月异,社会正处在由工业化、自动化向信息化、网络化转变的过程,互联网+、工业4.0等技术逐步发展壮大,与此相对应的传统工业体系正在以各种方式接入互联网。在轨道交通运输领域,车站与机车之间、车站与车站设备之间、机车与机车之间、车站与总控中心、机车与总控中心等交互信息越来越频繁。随着互联网+的发展,其给传统工业的带来巨大发展的同时,信息安全问题日益突出。威胁信息安全的主要包括黑客攻击、病毒、数据操纵、蠕虫和特洛伊木马等技术。数据显示,黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统,主要目标集中在能源、水利、化工、政府机构以及核设施等领域。信息安全事件呈逐年上升的趋势,其背后不乏犯罪、商业间谍、恐怖主义、甚至某些国家赞助的间谍活动。面对内外部工控信息安全威胁的严峻形势,如何提高自身对工控信息安全的认识与方法论,能否为业务生产提供有力的信息安全支撑和保障,已成为工控安全领域的重中之重。
2安全防护需求
环境与设备监控系统承载着对地铁全部车站通风空调系统、给排水系统、电扶梯系统、照明系统、人防门系统、安全门、AFC自动售检票等车站设备系统进行全面、有效地自动化监控及管理,确保设备处于安全、可靠、高效、节能的最佳运行状态,从而为乘客提供一个舒适的乘车环境。在火灾、水灾、地震等灾害或阻塞事故状态下,能够及时迅速地转入灾害运行模式,保护地铁工作人员及乘客的安全,将事故损失减到最小。环境与设备监控系统具有信息系统的基本要素。其分为硬件部分和软件部分:硬件部分设在地铁指挥中心的主机/服务器、设在各地铁站的远程工作站构成分布式控制系统,软件部分主要分为通信与网络软件、操作系统、组态软件、应用软件和实时数据库五个方面,其中所有软件均在操作系统上运行,通信与网络软件是所有硬件设备联系的中心,实时数据库是系统信息交换的平台,组态软件是各设备状态监控操作的平台,应用软件则是环境与设备监控系统功能的体现。当环境与设备监控系统受到人为破坏时,可能导致设备系统崩溃、机电设备误动作,从而导致地铁车站内的秩序混乱及相关人员受到伤害。同时也对社会造成不良影响,损害公司利益。依据公安部《信息系统安全等级保护定级指南》及环境与设备监控信息系统受到破坏时所侵害的客体以及侵害程度,环境与设备监控信息系统应按照不低于二级进行设计。
3主要问题及防护手段
环境与设备监控系统是与国计民生紧密相关领域的工业控制系统,目前国内地铁既有线路设计时认为自身系统不与外网相连接,信息孤岛形式不会收到外界入侵,按照《信息系统安全等级保护基本要求》多数达不到二级防护要求,一旦信息安全出现漏洞将对工业生产运行和国家经济安全造成重大隐患。与此同时,我国工业控制系统信息安全管理中仍存在不少问题,主要是对工业信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
3.1主要问题
3.1.1存在的风险
(1)操作系统的安全漏洞问题。工控软件运行的Windows操作系统上,由于其不能实时进行系统补丁升级更新,导致其极容易受到病毒入侵。(2)杀毒软件安装及升级更新问题。很多工控软件为了能够避免与杀毒软件冲突,其操作系统不安装杀毒软件或者不进行病毒库的更新,导致系统失去了实施的安全防护功能。(3)使用移动存储设备导致的病毒传播问题。当有移动存储设备接入工控系统中时,由于管理终端通常不采取措施对其进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。(4)系统空口令问题。工控系统服务器搭建时往往由非专业IT人员设置,多数操作系统或路由器管理账户为空口令或者采用默认口令,存在一定风险。
3.1.2网络互通的风险
早期,工业控制系统和企业管理系统之间是没有数据交互的,但是为了达到更全面的信息管理,数据采集,达到少人话,甚至无人化的远程操作监控,工业控制系统和企业管理系统之间直接采用国际互联网进行数据交互,从而使工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自国际互联网各种的威胁。同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
3.1.3地铁设备与环境监控系统采用以太网等通用技术带来的风险
地铁设备与环境监控系统采用工业以太网结构与控制中心进行数据交互,其开放性决定了其极容易受到来自国际互联网的病毒、木马、黑客的攻击。针对地铁设备与环境监控系统的特点,信息安全防护应从以下几个方面入手:
3.2防护手段
3.2.1定期开展检测预防工作
检测预防可从安全检查、安全加固、安全防护三个方面入手(1)安全检查可对工控系统进行渗透测试、源代码检测、漏洞扫描、应用系统漏洞扫描、基线核查等工作。(2)安全加固可针对服务器、终端、网络设备、无线设备进行安全防护或对应用缺陷进行修补。(3)安全防护可从网络架构、访问控制、身份鉴别、入侵防护、数据保护、终端防护几个方面进行改造。
3.2.2做好监控审计工作
(1)监控手段可对系统进行以下功能改造:入侵检测、网络监控、综合安全监控、设备健康险监控、系统可用性监控、文件完整性校验、数据库监控、中间件监控、应用监控、木马检测分析、数据包分析等。(2)审计时候手段可对系统进行以下功能改造:网络审计、安全事件审计、数据库审计、终端审计、运维审计、日志审计等。
3.2.3提前做好预防工作
(1)及时做好应急响应,制定相关应急预案和响应流程,能第一时间对漏洞进行修补、对策略进行修正、对应用进行调整。(2)做好分析与取证工作,包括审计分析和对数据及时、准确取证。
4结语
综上所述,随着国家信息化发展,传统工业与互联网技术的结合以及国家信息安全政策出台,地铁环境与设备监控系统信息安全防护功能应逐年加强,从而保障系统设备安全、稳定运行,为广大乘客提供良好的出现环境。
作者:任川 陈宏涛 单位:沈阳地铁集团有限公司运营分公司 辽宁省交通高等专科学校
参考文献:
[1]工信部协[2011]451号,关于加强工业控制系统信息安全管理的通知[S].
[2]沈经信发[2012]31号,关于对沈阳市重点领域工业控制系统信息安全管理情况调查的通知[S].
[3]余勇,林为民.工业控制SCADA系统的信息安全防护体系的研究[J].信息网络安全,2012(05):74-77.
[4]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(08):41-43.
[5]宋岩,王天然等.控制系统Safe-Sec安全安全通信方法研究[J].自动化仪表,2013,34(11):30-33.
[6]王孝良,催保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012(08):36-37.
[7]沈亮,张艳,顾健.物联网网络层中基于IPv6的信息安全产品发展趋势研究[J].信息网络安全,2012(08):38-40.
[8]曲洁,朱建平.等级保护与关键基础设施防护的融合研究[J].2011(12):84-88.
[9]彭勇,谢丰,郭晓静等.物联网安全问题对策研究[J].信息网络安全,2011(10):4-6.
[10]任伟.密码学与现代密码学研究[J].信息网络安全,2011(08):1-3.
[11]李发根,钟笛.数字签名综述[J].信息网络安全,2011(12):1-8.
[12]施晓秋.计算机网络技术[M].北京:高等教育出版社,2006:10-18.
[13]韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002:18-26.
监控系统方案范文6
关键词:工业控制系统;网络安全;防护建设
0引言
伴随时代的发展,工业技术正在突飞猛进地进步,而工业控制系统的安全性却始终让相关的技术人员感到头大,而有些贪图利益的人已经开始有组织性地侵入工业控制系统,导致工业的正常生产不能够如期进行,为了防止这一情况发生,应当加速升级现在的安全防护体系,提高工业控制系统的安全性,保护在生产中其核心技术不被泄露。本文会从当今出现的一些问题、系统受到攻击的方式、优化系统的方案几个角度作出简单的讨论。
1工业控制系统概述
自动化的设备,信息采集存储器,计算设备以及生产线上的管理与监督等手段组成了工业控制系统。而这一工业系统主要由远程计算机控制系统,工业管理的整体控制系统,工业基础设备的控制管理系统,分布式工业管理系统、生产线上数据的采集与监督管理系统等组成。在互联网技术的发展成型后,以往的多系统体系会逐渐转化为一种新型的控制系统,即生产管理监督一体化的控制系统,这种控制系统优化了在工业生产中流水线上的问题处理效率,并对工艺制造流程中作为监管使用,这样不仅极大节省人员方面的消耗而且使臃肿的工业控制系统得到提升。
2工业控制系统安全现状与风险分析
(1)病毒防控。一般来说,部分工业控制系统不会去安装杀毒软件,因为其会与杀毒软件造成冲突,导致其功能无法正常使用于工控软件,而且安装了杀毒软件也无法起到很大作用,因为杀毒软件的病毒库需要时常更新,而工业控制系统并不会连接互联网,这就导致了杀毒软件的版本无法跟上时代,其防范的力度也大幅减少,而且杀毒软件运行起来也大量占用系统资源,会影响工业控制系统的运行速度,但是维持反应速度对于工业系统来说是必不可少的。病毒以及木马都是恶意代码,目的就是搜集到需要的信息,对系统进行破坏,这些恶意代码可以利用网络窃听语音通话,视频通话和聊天文字,捕捉键盘的敲击内容进而盗取密码,还可以删除硬盘数据,甚至还可以利用蓝牙功能窃取与主机相连的笔记本,手机等智能移动设备的数据。(2)主机的安全风险。病毒,蠕虫,木马等恶意代码,以及从移动外设引入的攻击使主机安全受到威胁的因素。大多数的主机用户都会选择杀毒软件进行对主机的保护。但是杀毒软件也有其局限性,它主要是防护病毒库中存在的病毒,对于专门设计的病毒无法有效抵御。而有一些使用者为了快速传输资料,开启工业控制网站的连接接口,如USB接口,蓝牙连接等,这就导致了主机会受到其他网络传递的攻击,发生信息安全危险。(3)系统漏洞。现今,大部分的工业控制系统是windows,但是基于工业控制系统对于联网的控制以及考虑到系统功能的稳定,工业控制系统通常不会对系统安装补丁,而且还有很多设备使用更老的系统,所以微软停止了补丁维护,但是漏洞还存在着。
3工业控制系统防护的措施
(1)恶意代码防护技术。工控信息安全防护的基础与重点是恶意代码防护技术。传统的“黑名单查杀病毒模式”防病毒查杀模式在工业控制系统中容易出现误删,误杀等严重问题,并且对于主机的硬件要求较高,系统负担较重,而且工业控制主机安装的程序都具有一定的固定性,所以采用“白名单查杀病毒模式”的防护软件比较适用于工业控制的大环境。(2)主机外设管理技术。在工业控制系统的使用过程中,存在着一些违规现象,导致了严重的后果。虽然很多工控系统自身不连接互联网,但有些工作人员存在将主机连接移动存储设备的恶劣现象。比如将U盘,手机,甚至移动电脑等移动存储设备,这样为木马病毒,计算机病毒,等恶意代码入侵系统提供了途径。因此,我们除了应该改革制度,加大监督处罚力度,还需要应用安全防护技术对工业控制系统的主机进行实时监控,保障主机的安全。(3)漏洞发掘和安全监测。需要主动找到漏洞来避免产生严重后果,可以聘请具有专业性的专家进行安全监测,还可以部署漏洞扫描系统对设备扫描,进行风险评估,以及时修复漏洞。还可以部署流量监测系统对超量的异常的流量进行监测,同时部署专业人员对数据进行实时分析。在发生严重后果前发现攻击行为,并找到攻击源头,及时运用技术切断,防止更大更严重的后果产生,并针对系统防御的弱点进行进一步的更新加强。(4)加强政府在网络信息中的监管 。随着我国网络技术,互联网技术的不断发展,网络警察也是应运而生,网络警察俗称“网警”。网警主要负责监督并控制一些在互联网中传播的不良暴力信息以及具有传播感染性的病毒代码,这些恶劣信息与代码会严重危害现实社会安全以及互联网秩序。当我们遇到问题时可以及时寻求网络警察的帮助,申请网警对工业控制系统进行监督检查与保护,把可能会出现的攻击扼杀在襁褓之中,维护工业生产的正常运行。但网警需要处理的信息很多,不能把时刻关注我们,打铁还需自身硬,我们需要自身建立一套安全性,稳定性高的防护体系。保障工业的信息安全。
4结语
总而言之,本篇文章主要描述了工业控制系统存在的漏洞与问题,以及工业控制系统的功能作用特点等,分析了工业控制系统在使用过程中存在的各种隐患,可能会受到的攻击途径等。依据我国工信部的指令,改进了目前的安全防护技术,随着网络技术的进步,网络连接的进一步加深,工业控制系统也是面临着更大更难的挑战,所以需要根据各个系统的面临的问题与自身需求,运用一些技术来加强防护能力。同时,我们会增长自身的信心,积极的接收挑战,面对挑战,改革安全防护技术,维护我们工业控制系统的信息安全。
参考文献:
[1]夏春明,刘涛等.工业控制系统信息安全现状及发展趋势[J].信息安全与技术,2013(02):13-18.
[2]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.
[3]工业控制系统信息安全防护指南[Z].北京:工业和信息化部,2016.
监控系统方案范文7
关键词:工业控制系统;网络安全;防护建设
0引言
伴随时代的发展,工业技术正在突飞猛进地进步,而工业控制系统的安全性却始终让相关的技术人员感到头大,而有些贪图利益的人已经开始有组织性地侵入工业控制系统,导致工业的正常生产不能够如期进行,为了防止这一情况发生,应当加速升级现在的安全防护体系,提高工业控制系统的安全性,保护在生产中其核心技术不被泄露。本文会从当今出现的一些问题、系统受到攻击的方式、优化系统的方案几个角度作出简单的讨论。
1工业控制系统概述
自动化的设备,信息采集存储器,计算设备以及生产线上的管理与监督等手段组成了工业控制系统。而这一工业系统主要由远程计算机控制系统,工业管理的整体控制系统,工业基础设备的控制管理系统,分布式工业管理系统、生产线上数据的采集与监督管理系统等组成。在互联网技术的发展成型后,以往的多系统体系会逐渐转化为一种新型的控制系统,即生产管理监督一体化的控制系统,这种控制系统优化了在工业生产中流水线上的问题处理效率,并对工艺制造流程中作为监管使用,这样不仅极大节省人员方面的消耗而且使臃肿的工业控制系统得到提升。
2工业控制系统安全现状与风险分析
(1)病毒防控。一般来说,部分工业控制系统不会去安装杀毒软件,因为其会与杀毒软件造成冲突,导致其功能无法正常使用于工控软件,而且安装了杀毒软件也无法起到很大作用,因为杀毒软件的病毒库需要时常更新,而工业控制系统并不会连接互联网,这就导致了杀毒软件的版本无法跟上时代,其防范的力度也大幅减少,而且杀毒软件运行起来也大量占用系统资源,会影响工业控制系统的运行速度,但是维持反应速度对于工业系统来说是必不可少的。病毒以及木马都是恶意代码,目的就是搜集到需要的信息,对系统进行破坏,这些恶意代码可以利用网络窃听语音通话,视频通话和聊天文字,捕捉键盘的敲击内容进而盗取密码,还可以删除硬盘数据,甚至还可以利用蓝牙功能窃取与主机相连的笔记本,手机等智能移动设备的数据。(2)主机的安全风险。病毒,蠕虫,木马等恶意代码,以及从移动外设引入的攻击使主机安全受到威胁的因素。大多数的主机用户都会选择杀毒软件进行对主机的保护。但是杀毒软件也有其局限性,它主要是防护病毒库中存在的病毒,对于专门设计的病毒无法有效抵御。而有一些使用者为了快速传输资料,开启工业控制网站的连接接口,如USB接口,蓝牙连接等,这就导致了主机会受到其他网络传递的攻击,发生信息安全危险。(3)系统漏洞。现今,大部分的工业控制系统是windows,但是基于工业控制系统对于联网的控制以及考虑到系统功能的稳定,工业控制系统通常不会对系统安装补丁,而且还有很多设备使用更老的系统,所以微软停止了补丁维护,但是漏洞还存在着。
3工业控制系统防护的措施
(1)恶意代码防护技术。工控信息安全防护的基础与重点是恶意代码防护技术。传统的“黑名单查杀病毒模式”防病毒查杀模式在工业控制系统中容易出现误删,误杀等严重问题,并且对于主机的硬件要求较高,系统负担较重,而且工业控制主机安装的程序都具有一定的固定性,所以采用“白名单查杀病毒模式”的防护软件比较适用于工业控制的大环境。(2)主机外设管理技术。在工业控制系统的使用过程中,存在着一些违规现象,导致了严重的后果。虽然很多工控系统自身不连接互联网,但有些工作人员存在将主机连接移动存储设备的恶劣现象。比如将U盘,手机,甚至移动电脑等移动存储设备,这样为木马病毒,计算机病毒,等恶意代码入侵系统提供了途径。因此,我们除了应该改革制度,加大监督处罚力度,还需要应用安全防护技术对工业控制系统的主机进行实时监控,保障主机的安全。(3)漏洞发掘和安全监测。需要主动找到漏洞来避免产生严重后果,可以聘请具有专业性的专家进行安全监测,还可以部署漏洞扫描系统对设备扫描,进行风险评估,以及时修复漏洞。还可以部署流量监测系统对超量的异常的流量进行监测,同时部署专业人员对数据进行实时分析。在发生严重后果前发现攻击行为,并找到攻击源头,及时运用技术切断,防止更大更严重的后果产生,并针对系统防御的弱点进行进一步的更新加强。(4)加强政府在网络信息中的监管 。随着我国网络技术,互联网技术的不断发展,网络警察也是应运而生,网络警察俗称“网警”。网警主要负责监督并控制一些在互联网中传播的不良暴力信息以及具有传播感染性的病毒代码,这些恶劣信息与代码会严重危害现实社会安全以及互联网秩序。当我们遇到问题时可以及时寻求网络警察的帮助,申请网警对工业控制系统进行监督检查与保护,把可能会出现的攻击扼杀在襁褓之中,维护工业生产的正常运行。但网警需要处理的信息很多,不能把时刻关注我们,打铁还需自身硬,我们需要自身建立一套安全性,稳定性高的防护体系。保障工业的信息安全。
4结语
总而言之,本篇文章主要描述了工业控制系统存在的漏洞与问题,以及工业控制系统的功能作用特点等,分析了工业控制系统在使用过程中存在的各种隐患,可能会受到的攻击途径等。依据我国工信部的指令,改进了目前的安全防护技术,随着网络技术的进步,网络连接的进一步加深,工业控制系统也是面临着更大更难的挑战,所以需要根据各个系统的面临的问题与自身需求,运用一些技术来加强防护能力。同时,我们会增长自身的信心,积极的接收挑战,面对挑战,改革安全防护技术,维护我们工业控制系统的信息安全。
参考文献:
[1]夏春明,刘涛等.工业控制系统信息安全现状及发展趋势[J].信息安全与技术,2013(02):13-18.
[2]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.
[3]工业控制系统信息安全防护指南[Z].北京:工业和信息化部,2016.
监控系统方案范文8
了解了安防监控系统的主要构成和连接方式之后,我们就可以针对其构成设计进行必要的改善以提高其运行质量,结合自身的工作实际,我们可以通过以下几个方面进行安防监控系统的质量管理。
1.1服务资源提取策略
我们都知道在监控系统中存在着诸多的资源,这些资源不仅仅数量繁多其种类也各不相同,因此,在这些服务资源的提取过程中就会出现很多的麻烦影响着安防监控系统的工作,因此,我们需要采取必要的提取方式和策略进行合理高效的服务资源提取,当前根据各个独立的服务资源特点和性质的不同我们可以分为以下几种:业务资源、流媒体资源和数据资源,然后我们在提取中就可以根据不同的种类进行不同的提取。
1.2监控终端状态管理和权限控制
监控终端状态管理和权限控制也必须进行严格的管理否则必然出现各种问题,这部分的管理和控制主要是由平台管理子系统进行的,主要的工作内容就是设置好各种不同资源的访问权限用户和各个终端的安全性等级,进而避免出现一些没有被授权使用的客户端用户违规使用了一些禁止的资源进而造成了安防监控系统的失效,甚至导致更多更为严重的安全问题。因此,在用户使用监控平台时首先要经过客户端接入管理子系统的身份信息验证,只有验证通过的用户才能够进行相关信息的浏览和一些监控操作的布置,否则不予受理。除此之外,即使在授权用户登陆后如果更改任何的安防监控系统设置时也需要进行必要的安全授权验证,以防止一些不法分子有机可乘。在这整个的用户权限管理当中,用户容器是主要的管理设备,它能够保存和管理所有用户的信息和权限状态,并且进行实时的更新,彻底杜绝违规使用现象。
1.3报警订阅分发策略
安防监控系统还有一个最为主要的功能就行报警功能,而报警功能最为主要的要求就是报警的及时性,不能存在过长的延迟,针对这一点,我们可以采取报警订阅分发策略进行必要的完善和改进。该策略首先需要对用户接受报警的订阅情况进行详细的划分,然后在前端设备发出一定的警报之后,传输到前端接入平台子系统,进而再传输到报警子系统,由报警子系统进行统一的分配管理,最终报警子系统把这份警报传输到订阅了的客户端上供用户查阅,针对那些暂时不在线的用户也可以进行暂时的缓存,直到在线后重新发送。在这整个的过程中也存在用户容器的参与,用户容器在其中也可以起到用户管理和分类的作用,以提高警报送达的效率。
1.4接入容量扩展功能
上文中我提到制约安防监控系统应用范围的一个主要的因素是系统的接入容量,只有针对接入容量进行必要的扩展才能够扩大安防监控系统的应用规模,当前在这方面我们可以采取的主要策略有两种:集群和级联。集群策略主要的针对对象时服务器,通过这种形式就可以增加客户端的接入数量,而具体到不同的平台上我们就需要采取级联的方式进行连接以扩大安防监控的范围,并且在运行过程中,各个平台之间还必须保持时时的联系以确保互通有无保证安防监控系统的有效运行。这种连接的方式在某种程度上给信息的提取造成了一定的麻烦,因此,需要我们采取必要的信息采取策略以规避这种影响,提高整体运行的效率。
2结束语
