陈珏
中韩(武汉)石油化工有限公司 湖北武汉 430000
摘要: DCS系统一旦受到网络攻击遭到破坏,就会导致工业生产受阻,直接影响产业的经济发展,也会对国家的安全和经济发展造成严重影响。所以,在运用DCS系统的时候,必须对可能发生的网络系统安全问题进行有效的排查,并且进行科学的管理,进而提高DCS系统网络的运行可靠性和安全,确保工业可持续发展。
关键词:DCS系统;网络;安全防护
引言
因为社会的不断发展,这些年我国不同的企业都在引进自动化控制系统的新技术,DCS 控制系统得到了广泛的应用,它是综合了计算机、显示、控制等一系列技术对化工生产进行严密的控制和保护,DCS 系统的应用优势是系统的可靠性和安装简便性等。但是,受到网络环境和计算机技术的影响,DCS系统的网络安全也面临着更多的安全隐患,只有采取更多安全可靠的技术和行之有效的管理手段,才能确保DCS系统的安全、稳定、可靠运行。
1 DCS控制系统的特点及功能
1.1DCS控制系统的特点
DCS 是控制系统的一种英文缩写,在我国的自控行业里也被称作集散控制系统,是相对于集中式控制系统而言的一种新型计算机的控制系统,它是集中式控制系统的基础上演变的,是由过程控制级和过程监控级以通信网络为纽带的多级计算机系统,综合计算机、通信、显示和控制等4C 技术,基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便。DCS 的实质仍然还是分布式操作系统。
1.2DCS控制系统的功能
DCS 控制系统的一些功能大体分为4 个部分,实时监控、自动控制、警报功能、过往记录。实时监控就是DCS 的管理系统对当时生产的一个过程进行即时地记录,类似于现场直播一样,当时什么样的数据采集出来就是什么样的数据,还要根据当时采集的每个数据进行讨论和处理,根据计算机显示出来的准确生产情况,对生产进行合理有效的控制,从而来保障生产的安全性质。自动控制就是要对化工生产过程里的自动控制PID 参数进行一定的调整,只有这样DCS 控制系统才可以保障在化工生产时带来的精确程度,同时也增加了产品的整个质量和整个企业的生产效率,还对周围的环境进行了保护,让化工生产带来更加可观的经济效益。对于整个生产过程的警报功能具体是指DCS 控制系统对于化工生产过程运行情况进行一个即时的报警,相关的技术人员可以对警报值进行设定,经过设定后,DCS 就会对出现的故障进行报警,从而能及时地发现问题的存在并进行解决。还可以根据警报所发现的问题对它的PID 参数进行一定的调整,对过程中的记录进行统计,为后期的维修提供了可靠的数据。
2 DCS系统的网络安全隐患
2.1系统被入侵
DCS系统网络在没有授权的情况下被入侵是最为常见的安全隐患问题,入侵者在没有得到授权的情况下可以非法使用DCS系统网络中的计算机,并且可以随意查看和下载各种网络资源和数据,对DCS系统网络的安全运行造成巨大影响。入侵者如果对DCS系统网络的运行参数进行修改,同时网络管理者又没有及时发现入侵问题的话,DCS系统网络的运行很可能进入瘫痪状态,进而造成工业生产的间断。城市的供电系统、供水系统以及供气系统均可能发生运行故障,会对城市经济和人们的生命安全造成严重威胁。
2.2 拒绝服务攻击
随着计算机技术的普遍应用,DCS系统网络的功能越来越多,受到的服务请求种类也逐渐增多。在此情况下,如果DCS系统网络受到拒绝服务攻击,系统的各项功能则会在短时间内受到影响而无法实现,从而使得网络带宽、计算机处理能力或者连接数等基础的服务请求得不到回应,导致工作网络控制系统瘫痪。拒绝服务攻击是一种十分难以防范的网络安全问题,因为它的攻击目标十分多,而且攻击途径多种多样,例如服务器、交换机、防火墙以及其它网络设备都可能受到拒绝服务攻击。
2.3病毒攻击
病毒攻击是利用DCS系统中的漏洞,通过编写的病毒代码对系统中的某些驱动程序进行数字签名的伪造,从而入侵到工业网络控制系统中并进行全面的传播。病毒攻击是一种影响最大的安全隐患问题,病毒可以突破DCS系统的局域网物理限制,对系统的功能和运行造成严重破坏,恶意损坏工业基础设施。所以,针对病毒攻击的安全与管理是最为重要的一环,是确保DCS系统网络安全运行的关键,应该得到相关部门的重视,并且采取积极、有效的应对措施进行防护,降低病毒攻击的概率。
3网络安全防护措施
在对DCS系统网络进行全面管理的过程中,除了要清晰界定互联网、局域网以及工业控制网络的边界以外,还应该对DCS系统网络实施分区分层级管理,将其按照功能的不同分为若干的分区,从而可以使用不同的网络安全与管理技术对分区进行安全防护。另外,工业网络控制系统中不同分区的电脑主机之间也需要进行访问的限制,以免其中一台主机受到外来攻击后扩大攻击范围,有效的将网络安全问题控制在小范围内,有助于安全问题的筛查和处理,减少了工业网络控制系统安全与管理的成本,提高了管理效率。
在DCS 与上层MES 数据通讯链路中增设Guard工业防火墙,防火墙内置多种工业协议和常规控制网络模型,可对OPC等通讯提供深度检查和管控;采用无IP工业隔离技术,令攻击者无法发现目标。防火墙具有安全审计功能,可记录用户操作行为,现场安装不用更改原网络,上电后将防火墙设置为出厂透明模式,通过中央管理平台进行规则配置组态,完成后将防火墙切换至运行模式方可生效。安全管理平台接收来自中央管理平台的所有事件和日志信息,通过SMP安全管理平台可查询日志分析、可信日志分析、报警管理等。DCS生产商分发补丁程序相对缓慢,很少提示重大风险,很难及时应对风险及威胁,采用无补丁的主机病毒防护方案尤其重要。将可信计算芯片安装在DCS操作站、服务器主板的PCI槽上,并安装可信客户端软件,增设可信服务器,允许可信进程运行,阻断其余进程,生成可信白名单。对于插入主机的USB设备采取授权准入模式,提升各主机防御病毒和黑客非法入侵能力。严格执行机房管理制度,仅授权人员可进入。定期巡检机房设备并记录运行情况。对操作站、服务器主机不必要的外设接口进行封堵或拆除,用USB锁封堵USB端口,拆除光驱。设置DCS登录密码,在DCS上按使用权限设置账户,各自设置独立的密码,防止误操作。修改组态审批完成后需及时备份。定期对DCS硬盘备份,并登记造册妥善保管。
运用入侵预防系统,入侵预防系统是一种比较先进的计算机网络安全防护系统,同时也是对防火墙和杀毒软件的有效补充。它可以对网络或者网络设备中的资料传输行为进行实时监视,可以对一些异常的或者具有攻击性的网络资料传输行为进行及时的中断和隔离,以此减少网络安全问题的发生。与防火墙和杀毒软件相比,入侵预防系统侧重于网络安全的前期预警,无需网络管理者对其进行定期的维护和更新,是一种比较有效的应对措施。除此之外,私有云、远程访问限制以及应急响应机制等也是应用效果较好的入侵预防机制,均可以起到防护网络安全的作用。
结束语
总之,DCS系统的网络安全与管理措施有很多种,在具体应用的过程中要结合企业规模、系统运行现状和网络环境而定,同时也要采用多种管理措施联合应用的模式,提高安全防护的等级,进而全面加强工业网络控制系统的运行安全与管理,保证其运行稳定。
参考文献:
[1]刘建兵.工控系统网络安全理论要点[J].信息安全研究,2019,5(12):1129-1132.
[2]潘琛.计算机系统网络应用中安全风险与防控方法研究[J].数字通信世界,2019(10):191.
[3]张宇亮,金忠新,李杨.铝工业控制系统网络安全分析及策略[J].轻金属,2019(09):54-61.
[4]李文轩.工控系统网络协议安全测试方法研究综述[J].单片机与嵌入式系统应用,2019,19(09):18-21.