|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 物联网>

安全隔离网闸在油气生产物联网信息网络安全中的应用探索

2013-02-04 15:59 作者:桑圣洁 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试
  据《硅谷》杂志2012年第22期刊文称,针对油气生产物联网系统面临的网络信息安全风险,分析工业生产网与普通信息网络的差异,研究传统安全防护手段防火墙的缺陷,探讨安全隔离网闸技术在解决边界安全方面的应用,最终针对油气生产物联网不同数据传输需求设计两种安全隔离网闸解决方案。
  关键词:油气生产物联网;边界安全;安全隔离网闸
  0引言
  物联网,云计算,移动应用技术为当今信息领域重点发展的三大信息技术。作为国家的核心支柱产业,中国石油也积极利用物联网技术实现油田工业化,信息化融化,构建具有物联网特点的数字油田,智能油田。完善的油气生产物联网系统网络面临包括数据,物理,网络在内的多方面信息安全问题,要维持整体系统的稳定运行,保证油气生产过程不受到影响,就需要充分分析系统面临的安全风险,制定行使有效的安全解决方案。本文将在说明油气生产物联网的概念及其网络架构基础上,分析存在的网络安全隐患,探索安全隔离网闸在解决边界安全问题方面的应用。
  1油气生产物联网系统概念
  作为实现油田数字化,智能化的有效手段,在物联网的概念之上结合实际的油气生产情况引申出油气生产物联网的概念。油气生产物联网就是指通过传感、射频、通讯等技术,对油气水井、计量间、通讯等技术,对油气水井、计量间、油气站库等生产对象进行全面的感知,实现生产数据、设备状态信息在生产智慧中心及生产中心集中管理和控制。
  2油气生产物联网面临的网络边界安全问题及传统解决方案的不足
  2.1信息办公网和工业控制生产网融合造成的安全冲击
  油气生产物联网是工业化,信息化融合的典型应用。随着两网融合的加速和生产控制系统带来的安全问题,尤其是来自Internet和生产管理信息办公网络的黑客攻击,信息阻塞、病毒,从而导致工业控制网络或生产网的工作异常或者瘫痪,使控制系统运行速度下降或者控制器,传感器处于失控状态,严重威胁生产安全[2]。
  分析国内外,水电讯,石油化工各个行业出现的工业控制系统的安全危机可发现有如下共同点。
  1)作为控制系统操作站、上位机的电脑,很少或没有机会安装全天候病毒防护或更新版本。
  2)目前常见的各种DCS、PLC等控制器的设计都以优化过程控制功能为主,基本没有提供网络安全防护功能。
  3)不同的控制系统之间的网络都没有有效的分隔开,尤其是基于OPC、MODBUS等通讯的工业控制网络。问题因此通过网络迅速蔓延[2]。
  4)事件中所涉及的信息网络中,除了一小部分没有采取网络安全防护措施,大部分都已经采用了商用防火墙、VPN、防病毒、IPS等,但因为工业控制生产网络有一定特殊性和普通的商用网络有一定的差别,是普通的防火墙无法从根本上解决生产控制网络的安全问题。
  2.2工业控制生产网与商用网络对安全性的差别
  工业控制生产网因为应用领域及应用的设备所存储传输的数据与普通商用网络有很大不同,要采取适用的安全防护技术就要了解其差异性,见下表:
  特点 商用网络/办公网络 控制网络
  应用领域 极其广泛 工业领域,SCADA
  开放性 完全开放,互联网 相对封闭
  设备更新 频繁 不频繁
  系统更新 频繁 不频繁
  数据机密性要求 高 一般
  持续可靠性要求 一般 非常高
  对待病毒 允许 不允许
  应用数据 极其复杂 特定
  应用协议 HTTP、SMTP、FTP、SOAP…… OPC、MODBUS、DNP3……
  2.3传统网络安全防护手段防火墙存在的局限性
  对于有如上特殊要求和应用环境的工业控制生产网络,传统的网络安全防护手段,防火墙存在如下不足,无法从根本上解决工业控制生产网络的安全问题:
  防火墙用于工业控制生产网络防护的不足[3]:
  1)基于包过滤原理,不能阻止病毒、蠕虫以及各种新型攻击;
  2)对用户不完全透明,非专业用户难于管理和配置,易造成安全漏洞,甚至形同虚设;
  3)大多数产品不支持OPC、MODBUS等工业通信;
  4)被黑客攻破的几率已达50%;
  5)安全性不足以用于防护控制网络。
  鉴于防火墙技术对于防护油气生产物联网生产网络防护的局限性,考虑引入安全隔离网闸技术。
  3安全隔离网闸的技术特性及在油气生产物联网中的应用
  3.1安全隔离网闸的原理及特性
  安全隔离网闸的基本通信指导就是以非网方式实现数据交换并且只能交换特定的应用数据。其基本指导思想即在保证安全的前提下尽可能支持数据交换,相对在保障互联互通的前提进行可能安全防护的防火墙来说,有更高的安全防护等级。其主要特性如下:
  1)从硬件架构来说,网闸是双主机+隔离硬件,系统自身具有较高的安全性。
  2)隔离网闸工作在应用层,具备数据库、文件同步、定制开发接口等多种功能,实现网络隔离时,从数据层断开,阻断所有基于TCP/IP的网络通信,有效阻断基于TCP/IP的木马攻击机病毒入侵。
  3)隔离网闸工作在主机模式,所有数据需要落地转换,完全屏蔽内部网络信息。
  4)隔离网闸上不存在内外网之间的会话,连接终止于内外网主机。
  5)隔离网闸广泛应用于工业生产控制网络、办公信息网络、公用通信网络等不同等级网络域之间应用内容层面的安全防护。
  6)安全隔离网闸采用主流的SCSI技术,总线技术,光纤单向传输技术等,能够实现单向或双向的网络隔离[4]。
  综上可见,对于解决油气生产物联网工业控制生产网络安全问题,安全隔离网闸具有很好的适用性。
  3.2油气生产物联网安全隔离网闸边界安全防护方案
  依照对数据的存储和处理的不同,油气生产物联网分为生产网和办公网。油气生产物联网生产网范围涵盖作业区一级井间终端数据采集,厂矿核心交换机实现网络汇聚,数据交换到实时数据库存储,生产网中包含核心数据库,实时数据库等数据交换和存储设备。办公网主要实现集团公司,油田公司网络链路的连接,实现生产数据的调用和管理及监控,其中部署有关系数据库,视频服务器等网络设备。
  油气生产物联网的生产网和办公网之间存在数据传输和交换,当有生产数据或者视频信号向办公网传送时,特别是接收和应答来自办公网的指令信号时,可能会受到来自外网的病毒入侵,受到网络攻击,因此考虑在办公网和生产网之间使用安全隔离网闸技术。
  根据安全隔离网闸的单向及双向传输隔离的不同类型,制定如下两类满足不同数据传输需求的边界安全防护方案。
  3.2.1单向安全隔离
  当视频服务器位于油气生产物联网的办公网网络内,则从生产网向办公网传输的数据仅是来自于工业控制网络中的前端采集的生产数据,这些数据定时由生产网推送到办公网,无须接收来自办公网的信号指令,彼此之间的通信是单向的,则在此位置可以部署单向安全隔离网闸,网络结构图如图1。
  
  图1油气生产物联网单向隔离网闸部署方案
  如拓扑图所示,针对单向传输的生产数据,在办公网和生产网之间部署单向隔离网闸。实现对底层井间采集的生产数据从办公网到生产网单向安全稳定的传送,严格控制了办公网到生产网的数据交互,阻断任何来自于办公网的数据,真正实现生产网和办公网的单向通信,保护油气生产工业控制生产网络的安全。
  3.2.2单向+双向安全隔离网闸
  当视频服务器位于生产网内时,生产网就需要根据办公网对油气水井生产监控的视频需求进行响应,并根据视频信号控制指令,向办公网传送视频信号,则此时办公网和生产网之间的通信就不仅仅是生产数据的单向推送,还包括对视频信号的发送及对指令信号的接收及响应,则此时可以分别对应生产数据和视频信号分别部署单向安全隔离和双向安全隔离网闸,具体网络结构如下:
  
  图2油气生产物联网单向+双向安全隔离网闸部署方案
  如拓扑图所示,在办公网和生产网之间对生产数据和是视频数据分别部署网闸,对生产数据部署单向隔离网闸,实现其单向的安全稳定的数据推送;对视频信号部署双向网闸,对视频指令进行双向传送同时对视频信号进行单向摆渡。
  这样的部署和应用方案一方面可以满足油气生产物联网对生产数据传送的高稳定和安全性的要求,不会因为要处理视频指令而影响到优先级更高的生产数据的传送,另一方面由专门的网闸来处理视频信号可以进行相应的软件或硬件模块功能的开发,对前端不同厂家的视频采集模块有更好的兼容性。
  4总结语
  对于安全防护来说,“不治已病治未病”是其最高境界,对于油气生产物联网的工业控制生产网络来说,要抵御来自Internet和生产管理信息办公网络的黑客攻击,信息阻塞、病毒等安全威胁,网闸作为一种有效的带有多种控制功能专用硬件,部署于办公网和生产网之间针对油气生产物联网实际的数据和视频传输需求,采取单向或者双向隔离网闸,保证油气生产网内部控制系统运行正常,维护油气生产物联网系统及油气生产的稳定运行。
  作者简介:
  桑圣洁(1983-),女,1983年生,2009年毕业大庆石油学院电气信息工程学院,通信与信息系统工学硕士,工程师,研究方向:现从事油气生产物联网系统建设及技术研究,信息网络安全研究等方面的工作。
【对“安全隔离网闸在油气生产物联网信息网络安全中的应用探索”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·构建安全可信物联标准平台暨2019年闪联全员大会
·DigiCert&天威诚信首届企业安全技术峰会圆满
·Aruba: 云安全技术趋势和针对物联网的身份认证授
·物联网是5G时代最大宠儿 安全提升关乎生命
·IDC携手迪普科技发布原生安全网络技术白皮书
·迪普解读|等保2.0下的公共安全视频监控网络建设
·阿里安全专家国际顶会揭秘物联网设备防入侵新举
·四维创智亮相2018世界物博会 车联网安全双管齐下
头条
物流百年风云:物流进化 是谁在定义世界的速度? 物流百年风云:物流进化 是谁在定义世界的速
1629年,大明王朝摇摇欲坠、国祚将尽。辽东战事吃紧,财政捉襟见肘,19岁的崇祯皇帝为……
·物流百年风云:物流进化 是谁在定义世界的速
·推车载版微信 最晚入局的腾讯“搅局”车联网
·《福布斯》评2020十大科技趋势:5G、车联网
·5G商用渐近 家电企业瞄准IoT、智能家居的赛道
·亚马逊加速扩张,一天内8家公司市值蒸发175亿
图文
特斯联携手微众银行 成立“AIoT联合实验室”
特斯联携手微众银行 成立“AIoT联合实验室
AIoT时代需要怎样的解决方案?紫光展锐推出V5663
AIoT时代需要怎样的解决方案?紫光展锐推出
开启物联锁商用新时代,nokelock无源锁X2无需电池
开启物联锁商用新时代,nokelock无源锁X2无
Foxcube智能物联网平台在各个行业大显身手
Foxcube智能物联网平台在各个行业大显身手
最新
·特斯联携手微众银行 成立“AIoT联合实验室”
·AIoT时代需要怎样的解决方案?紫光展锐推出V5663
·华正信息荣获“2019中国物联网行业最佳应用案例奖
·特斯联CEO艾渝:探索新动能 以数字化释放经济发展
·构建安全可信物联标准平台暨2019年闪联全员大会北
热点
·SmartMesh.io 物联网通讯协议的终极缔造者
·开启物联锁商用新时代,nokelock无源锁X2无需
·G7普洛斯共建资产管理公司,加速智能装备市场
·智慧环保+智慧体育 软通动力引领物联网创新实
·腾渊达集团与西海集团、振辉装饰签署战略合作
旧闻
·迎接物联网:塔克云MWC2018展示设备管理解决
·襄创能源:打造“千城万桩”走进华中区·湖北
·智能手机风向标:硬件故事不多 欲成物联网中
·福布斯:2016年物联网预测和市场估算总结
·最大城市级车联网 华为LTE-V2X车载终端成功应
广告
硅谷影像
特斯联携手微众银行 成立“AIoT联合实验室”
特斯联携手微众银行 成立“AIoT联合实验室”
AIoT时代需要怎样的解决方案?紫光展锐推出V5663
AIoT时代需要怎样的解决方案?紫光展锐推出V5663
华正信息荣获“2019中国物联网行业最佳应用案例奖”
华正信息荣获“2019中国物联网行业最佳应用案例奖
特斯联CEO艾渝:探索新动能 以数字化释放经济发展新活力
特斯联CEO艾渝:探索新动能 以数字化释放经济发展
构建安全可信物联标准平台暨2019年闪联全员大会北京举行
构建安全可信物联标准平台暨2019年闪联全员大会北
光大控股董事会调研特斯联 参观特斯联AIoT未来实验室
光大控股董事会调研特斯联 参观特斯联AIoT未来实
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>