网络隔离技术在D CS中的应用.pdfVIP

　 第 １０ 期　　　　　　　　　　　　　赵宏世．网络隔离技术在 ＤＣＳ 中的应用 １１４５ 网络隔离技术在 ＤＣＳ 中的应用 赵宏世 （中国神华煤制油化工有限公司鄂尔多斯煤制油分公司，内蒙古 鄂尔多斯 ０１７２０９） 摘　要　通过实施网络横向分段和纵向分层隔离、安装防病毒服务器及域控服务器等综合防护措施，有 效防止了ＤＣＳ 系统内部的病毒带入和传播。通过数据隔离区和单向隔离网闸技术对 ＤＣＳ 系统网络进 行边界防护，隔绝了来自外部网络的威胁。并结合安全管理措施，实现了ＤＣＳ 系统安全稳定运行的目 标。 关键词　网络隔离技术　ＤＣＳ 系统　防火墙 ＋ 中图分类号　ＴＨ８６２ ．７　　　文献标识码　 Ａ　　　文章编号　 １０００３９３２（２０１４）１０１１４５０６ 　　数据采集与监控系统（ＳＣＡＤＡ）、可编程逻辑 但是存在多项网络端口和服务漏洞，默认开放的 控制器（ＰＬＣ）及分散控制系统（ＤＣＳ）等工业控制 网络端口为攻击者提供了通道。 系统（ＩＣＳ）被广泛应用于化工生产、油气输送、发 ２０１２ 年４ 月罗杰康（ＲｖｕｇｇｅｄＣｏｍ）公司公开 电以及冶金等工业生产领域。传统的工业控制系 承认其产品存在后门账户。该公司生产的工业交 统主要依赖于技术隐秘、网络独立等措施，来保证 换机、路由器等网络设备，都有预置名为“ｆａｃｔｏｒｙ” 系统的安全性。随着计算机和网络技术的快速发 的后门账户。该账户不能被修改，也不能被禁用， 展，信息化与工业化深度融合，对工业控制系统的 通过该账户可以修改网络配置，造成网络通信中 兼容性要求也越来越高。通过采用通用硬件和通 断或系统瘫痪。 用软件实现工业控制系统对外开放，使众多品牌 ２　网络隔离技术 的工业控制系统之间能够相互通信，并与企业信 没有网络互连就不用采用隔离技术，不需要 息网互连。目前，大多数工业控制系统的通信技 进行数据交换的网络隔离技术也很容易实现，只 术是在商用操作系统基础上开发的，通信应用中 要将网络完全断开，互不联机即可。但是，需要数 存在许多漏洞。当工业控制系统与公共网络互连 据交换的网络隔离却不容易实现，网络隔离技术 时，黑客就会利用这些漏洞对工业控制系统进行 是在需要数据交换和资源共享的情况下出现的。 ［１］ 攻击 。 面对新型网络攻击手段的不断出现和工业控制网 １　安全漏洞的典型案例 络的高安全性要求，网络隔离技术应运而生。网 ２０１０ 年６ 月出现的“Ｓｔｕｘｎｅｔ”病毒，是一个针 络隔离技术从逻辑隔离和物理隔离两方面开展， 对工业控制系统的破坏性病毒。该病毒通过 Ｕ 目的是将威胁工业控制系统安全的木马、病毒和 盘和局域网进行传播，利用微软 Ｗｉｎｄｏｗｓ 操作系 攻击隔离在工业控制系统之外，并完成网络间的 统和西门子 ＳＩＭＡＴＩＣ ＷｉｎＣＣ 系统的漏洞，对西门 数据交换。 子公司生产的工业控制系统进行破坏性攻击。因 ２．１　防火墙隔离 受到“Ｓｔｕｘｎｅｔ”病毒的攻击，伊朗布什尔核电站不 防火墙（Ｆｉｒｅｗａｌｌ）主要由服务访问规则、验证 ［２］ 工具、包过滤和应用网关 ４ 个部分组成。防火墙 得不延期运行 。 ２０１１ 年 １１ 月美国计算机应急响应小组公布 隔离是在内部网络和外部网络之间通过控制进出 了施