第一篇:工控系統(tǒng)信息安全報告
工業(yè)控制系統(tǒng)信息安全
一、工業(yè)控制系統(tǒng)安全分析
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS),是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術。
典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算,HMI 執(zhí)行信息交互,遠程診斷與維護工具確保ICS能夠穩(wěn)定持續(xù)運行。
1.1 工業(yè)控制系統(tǒng)潛在的風險
1.操作系統(tǒng)的安全漏洞問題
由于考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題,系統(tǒng)開車后一般不會對Windows平臺打補丁,導致系統(tǒng)帶著風險運行。
2.殺毒軟件安裝及升級更新問題
用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。
3.使用U盤、光盤導致的病毒傳播問題。
由于在工控系統(tǒng)中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理,導致外設的無序使用而引發(fā)的安全事件時有發(fā)生。
4.設備維修時筆記本電腦的隨便接入問題
工業(yè)控制系統(tǒng)的管理維護,沒有到達一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng),會對工業(yè)控制系統(tǒng)的安全造成很大的威脅。
5.存在工業(yè)控制系統(tǒng)被有意或無意控制的風險問題
如果對工業(yè)控制系統(tǒng)的操作行為沒有監(jiān)控和響應措施,工業(yè)控制系統(tǒng)中的異常行為或人為行為會給工業(yè)控制系統(tǒng)帶來很大的風險。
6.工業(yè)控制系統(tǒng)控制終端、服務器、網(wǎng)絡設備故障沒有及時發(fā)現(xiàn)而響應延遲的問題
對工業(yè)控制系統(tǒng)中IT基礎設施的運行狀態(tài)進行監(jiān)控,是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎。
1.2 “兩化融合”給工控系統(tǒng)帶來的風險
工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的,但近年來為了實現(xiàn)實時的數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的方便,通過邏輯隔離的方式,使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet,在這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨著來自Internet的威脅。
同時,企業(yè)為了實現(xiàn)管理與控制的一體化,提高企業(yè)信息化合綜合自動化水平,實現(xiàn)生產(chǎn)和管理的高效率、高效益,引入了生產(chǎn)執(zhí)行系統(tǒng)MES,對工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進行了集成,管理信息網(wǎng)絡與生產(chǎn)控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換。導致生產(chǎn)控制系統(tǒng)不再是一個獨立運行的系統(tǒng),而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。
1.3 工控系統(tǒng)采用通用軟硬件帶來的風險
工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結構發(fā)展,開放性越來越強。基于TCP/IP以太網(wǎng)通訊的OPC技術在該領域得到廣泛應用。在工業(yè)控制系統(tǒng)中,由于工業(yè)系統(tǒng)集成和使用的便利性,大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進行了工業(yè)控制系統(tǒng)的集成;同時,也大量的使用了PC服務器和終端產(chǎn)品,操作系統(tǒng)和數(shù)據(jù)庫也大量的使用了通用的系統(tǒng),很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。?
2、MES層與工業(yè)控制層之間的安全防護
通過在MES層和生產(chǎn)控制層部署工業(yè)防火墻,可以阻止來自企業(yè)信息層的病毒傳播;阻擋來自企業(yè)信息層的非法入侵;管控OPC客戶端與服務器的通訊,實現(xiàn)以下目標:
? 區(qū)域隔離及通信管控:通過工業(yè)防火墻過濾MES層與生產(chǎn)控制層兩個區(qū)域網(wǎng)絡間的通信,那么網(wǎng)絡故障會被控制在最初發(fā)生的區(qū)域內,而不會影響到其它部分。
? 實時報警:任何非法的訪問,通過管理平臺產(chǎn)生實時報警信息,從而使故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
MES層與工業(yè)控制層之間的安全防護如下圖所示:
2.1.3 工控系統(tǒng)安全防護分域
安全域是指同一系統(tǒng)內有相同的安全保護需求,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡,且相同的網(wǎng)絡安全域共享一樣的安全策略。
在管理層、制造執(zhí)行層、工業(yè)控制層中,進行管理系統(tǒng)安全子域的劃分,制造執(zhí)行安全子域的劃分、工業(yè)控制安全子域的劃分。安全域的合理劃分,使用每一個安全域都要明確的邊界,便于對安全域進行安全防護。對MES、ICS的安全域劃分如下圖所示:
如上圖所示,為了保證各個生產(chǎn)線的安全,對各個生產(chǎn)線進行了安全域劃分,同時在安全域之間進行了安全隔離防護。
2.1.4 工控系統(tǒng)安全防護分等級
根據(jù)安全域在信息系統(tǒng)中的重要程度以及考慮風險威脅、安全需求、安全成本等因素,將其劃為不同的安全保護等級并采取相應的安全保護技術、管理措施,以保障信息的安全。
安全域的等級劃分要做到每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等。安全域所涉及應用和資產(chǎn)的價值越高,面臨的威脅越大,那么它的安全保護等級也就越高。
二、工業(yè)控制系統(tǒng)安全防護設計
通過以上對工業(yè)控制系統(tǒng)安全狀況分析,我們可以看到,工控系統(tǒng)采用通用平臺,加大了工控系統(tǒng)面臨的安全風險,而“兩化融合”和工控系統(tǒng)自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。
? 通過“三層架構,二層防護”的體系架構,對工業(yè)企業(yè)信息系統(tǒng)進行分層、分域、分等級,從而對工控系統(tǒng)的操作行為進行嚴格的、排他性控制,確保對工控系統(tǒng)操作的唯一性。
? 通過工控系統(tǒng)安全管理平臺,確保HMI、管理機、控制服務工控通信設施安全可信。
2.1 構建“三層架構,二層防護”的安全體系
工業(yè)控制系統(tǒng)需要進行橫向分層、縱向分域、區(qū)域分等級進行安全防護,否則管理信息系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、工業(yè)控制系統(tǒng)處于同一網(wǎng)絡平面,層次不清,你中有我、我中有你。來自于管理信息系統(tǒng)的入侵或病毒行為很容易對工控系統(tǒng)造成損害,網(wǎng)絡風暴和拒絕式服務攻擊很容易消耗系統(tǒng)的資源,使得正常的服務功能無法進行。
2.1.1 工控系統(tǒng)的三層架構
一般工業(yè)企業(yè)的信息系統(tǒng),可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間,主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等安全防護;在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間,主要避免管理層直接對工業(yè)控制層的訪問,保證制造執(zhí)行層對工業(yè)控制層的操作唯一性。工控系統(tǒng)三層架構如下圖所示:
通過上圖可以看到,我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個層次,分別是計劃管理層、制造執(zhí)行層、工業(yè)控制層。
管理系統(tǒng)是指以ERP為代表的管理信息系統(tǒng)(MIS),其中包含了許多子系統(tǒng),如:生產(chǎn)管理、物質管理、財務管理、質量管理、車間管理、能源管理、銷售管理、人事管理、設備管理、技術管理、綜合管理等等,管理信息系統(tǒng)融信息服務、決策支持于一體。
制造執(zhí)行系統(tǒng)(MES)處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間,主要負責生產(chǎn)管理和調度執(zhí)行。通過MES,管理者可以及時掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數(shù)的變化,實現(xiàn)對工藝的過程監(jiān)視與控制。
工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構成。主要完成加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。
2.1.2 工控系統(tǒng)的二層防護
1、管理層與MES層之間的安全防護
管理層與MES層之間的安全防護主要是為了避免管理信息系統(tǒng)域和MES(制造執(zhí)行)域之間數(shù)據(jù)交換面臨的各種威脅,具體表現(xiàn)為:避免非授權訪問和濫用(如業(yè)務操作人員越權操作其他業(yè)務系統(tǒng));對操作失誤、篡改數(shù)據(jù),抵賴行為的可控制、可追溯;避免終端違規(guī)操作;及時發(fā)現(xiàn)非法入侵行為;過濾惡意代碼(病毒蠕蟲)。
也就是說,管理層與MES層之間的安全防護,保證只有可信、合規(guī)的終端和服務器才可以在兩個區(qū)域之間進行安全的數(shù)據(jù)交換,同時,數(shù)據(jù)交換整個過程接受監(jiān)控、審計。管理層與MES層之間的安全防護如下圖所示:
2.2 構建工業(yè)控制系統(tǒng)安全管理平臺
工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)具有大多數(shù)相同的安全問題,但同時也存在獨特的安全需求。工業(yè)控制系統(tǒng)最大的安全需求是唯一性和排它性,在某一特定的工業(yè)控制系統(tǒng)中,工業(yè)控制系統(tǒng)只需用唯一的工業(yè)應用程序和工業(yè)通信協(xié)議運行,其他一概不需要。
啟明星辰工業(yè)系統(tǒng)安全管理平臺為工業(yè)控制系統(tǒng)建立了一個相對可信的計算環(huán)境,對工控系統(tǒng)管理終端和網(wǎng)絡通信具有非常強的安全控制功能。工業(yè)控制系統(tǒng)安全管理平臺有兩部分組成,一部分是工業(yè)控制系統(tǒng)安全管理平臺,具有終端管理、網(wǎng)絡管理、行為監(jiān)控功能,另一部分是終端安全管理客戶端。
2.2.1 管理平臺部分
工業(yè)控制系統(tǒng)的安全運行,主要需要保障工業(yè)控制系統(tǒng)相關信息系統(tǒng)基礎設施的安全,包括工業(yè)以太網(wǎng)網(wǎng)絡、操作終端、關系數(shù)據(jù)庫服務器、實時數(shù)據(jù)庫服務器、操作和應用系統(tǒng)等各類IT資源的安全,從工業(yè)控制系統(tǒng)安全的角度對工控系統(tǒng)的各類IT資源進行監(jiān)控(包括設備監(jiān)控、運行監(jiān)控與安全監(jiān)控),實現(xiàn)對安全事件的預警與響應,保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。
具體而言,工業(yè)控制系統(tǒng)安全管理平臺功能如下:
1.能夠對應用服務器、關系數(shù)據(jù)庫服務器、實時數(shù)據(jù)庫服務器、工業(yè)以太網(wǎng)設備運行狀態(tài)進行監(jiān)控,例如CPU、內存、端口流量等等。
2.能夠對操作終端外設、進程、桌面進行合規(guī)性在線和離線管理。
3.能夠對各層邊界數(shù)據(jù)交換情況進行監(jiān)控。
4.能夠對工業(yè)控制系統(tǒng)中的網(wǎng)絡操作行為進行審計。
5.能夠對工業(yè)控制系統(tǒng)日志進行關聯(lián)分析和審計。
6.能夠對工業(yè)控制系統(tǒng)中的異常事件進行預警響應。
7.能夠對工業(yè)企業(yè)信息系統(tǒng)進行虛擬安全域的劃分。
2.2.2 工業(yè)控制系統(tǒng)終端安全管理部分
由于工業(yè)控制系統(tǒng)管理終端的安全防護技術措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點,在終端上發(fā)生、發(fā)起,并通過網(wǎng)絡感染或破壞其他系統(tǒng)。
工業(yè)控制系統(tǒng)終端最大特點是應用相對固定,終端主要安裝工業(yè)控制系統(tǒng)程序,所以,要防范傳統(tǒng)方式的病毒或木馬等惡意軟件,最直接的方式就是利用工業(yè)控制系統(tǒng)對終端應用程序的進程進行管理。
具體而言,工業(yè)控制系統(tǒng)安全管理平臺終端安全管理部分功能如下:
1.工業(yè)控制系統(tǒng)安全管理平臺客戶端軟件輕巧精煉,占用資源極少,能夠最大程度保證工業(yè)控制系統(tǒng)管理終端的穩(wěn)定性。
2.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端準入控制功能,可以防止沒有達到安全基線的筆記本對終端進行管理。
3.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有終端安全優(yōu)化與加固功能,能夠對工業(yè)控制系統(tǒng)終端進行安全優(yōu)化和加固,使終端安全水平達到一定的安全基線。
4.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有外設管理功能,對工業(yè)控制系統(tǒng)的外設進行管理,比如USB接口、光驅、網(wǎng)卡、串口等。
5.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)控制系統(tǒng)應用程序監(jiān)控功能,對終端中的工業(yè)控制系統(tǒng)軟件進行監(jiān)控和管理。
6.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有工業(yè)通信協(xié)議監(jiān)控功能。工業(yè)控制系統(tǒng)終端通信協(xié)議相對固定,客戶端能夠對終端通信協(xié)議具有唯一性管理功能。
7.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有離線管理功能,工業(yè)控制系統(tǒng)終端有一部分無法進行在線管理,客戶端具有比較強大的離線自管理功能,可以完成對離線終端的管理。
8.工業(yè)控制系統(tǒng)安全管理平臺客戶端具有強身份認證功能,客戶端具有使用工業(yè)控制系統(tǒng)在線終端和離線終端都具有強身份認證功能,從而防止工業(yè)控制系統(tǒng)被有意或無意被控制的風險。
三、總結
國內外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產(chǎn)安全事故。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網(wǎng)”(Stuxnet)病毒,為整改工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。
為此,工信部在2011年10月下發(fā)了“關于加強工業(yè)控制系統(tǒng)信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理。工信部趙澤良司長也強調,工業(yè)控制系統(tǒng)安全工作也到了非加強不可的時候,否則將影響到我國重要的生產(chǎn)設施的安全。
本文根據(jù)工業(yè)控制系統(tǒng)安全防護的特點,提出了對工業(yè)控制系統(tǒng)進行分層、分域、分等級,構建“三層架構,二層防護”的工業(yè)控制系統(tǒng)安全體系架構思想;通過分析工業(yè)控制系統(tǒng)面臨的風險,對作為工業(yè)控制系統(tǒng)安全防護的核心產(chǎn)品——工業(yè)控制系統(tǒng)安全管理平臺功能進行了說明。工控系統(tǒng)安全管理平臺,不僅是實現(xiàn)工業(yè)控制系統(tǒng)終端安全的產(chǎn)品,也是監(jiān)控工業(yè)控制系統(tǒng)IT基礎實施和操作行為的平臺。(啟明星辰 張曄)
第二篇:工控行業(yè)市場分析報告
工控機是計算機技術與自動控制技術結合的產(chǎn)物,不僅是計算機的重要門類,而且是實現(xiàn)工業(yè)生產(chǎn)自動化,實現(xiàn)優(yōu)質、高產(chǎn)、低耗,提高工業(yè)企業(yè)經(jīng)濟效益的重要技術手段。發(fā)展工控機對實現(xiàn)工業(yè)現(xiàn)代化、促進產(chǎn)業(yè)信息化和振興經(jīng)濟有重要意義。本文從工控機市場、金融危機影響等方面深入剖析其行業(yè)現(xiàn)狀,做出這份市場分析報告。
工控機即工業(yè)控制計算機,英文簡稱IPC(IndustrialPersonalComputer),是一種采用總線結構,對生產(chǎn)過程及機電設備、工藝裝備進行檢測與控制的工具總稱。工控機具有重要的計算機屬性和特征,如具有計算機CPU、硬盤、內存、外設及接口,并有操作系統(tǒng)、控制網(wǎng)絡和協(xié)議、計算能力、友好的人機界面。
工控機市場分布
目前國內的工控機供應渠道主要來源于中國臺灣及內地的廠商,國外的產(chǎn)品經(jīng)過幾年的市場拼殺后,由于成本高、價格高、服務難,現(xiàn)已完全退出國內市場。目前,國內的IT業(yè)研發(fā)、加工技術力量不斷提升;各類芯片和各類器件、生產(chǎn)設備在國際市場基本可平等選購;軟件資源的可移植性可節(jié)省大量的人力、物力。在這些有利條件下,國內一些廠商抓住機會快速崛起,利用本土綜合競爭優(yōu)勢逐步將國外品牌擠出國內工控市場。某些企業(yè)以每年超過100%的資產(chǎn)增長速度,鼎立于國內的工控市場,而且已成功打入國際工控市場。現(xiàn)國內市場主要工控機廠商有臺灣的研華、磐儀、大眾和大陸的研祥、華北、祈飛等。
研祥等單位IPC產(chǎn)品的發(fā)展勢頭強勁;盛博的嵌入式產(chǎn)品已經(jīng)進入國際市場,成為西門子、阿爾斯通等歐洲公司的配套產(chǎn)品;航天測控公司的VXI、PXI產(chǎn)品已成為國防工業(yè)中地面測控產(chǎn)品;康拓公司的新一代CompactPCI、PXI系列產(chǎn)品也開發(fā)成功,并成功地推出了基于APCI、PXI總線產(chǎn)品的KT8000自動測試平臺,引領了航天器地面測控的新潮流。在我國臺灣的同行中,除了研華、磐儀等之外,凌華科技集團的CompactPCI、PXI系列產(chǎn)品也頻頻出現(xiàn)在市場中。
工控行業(yè)的產(chǎn)品和技術非常特殊,屬于中間產(chǎn)品,是為其他各行業(yè)提供可靠、嵌入式、智能化的工業(yè)計算機。隨著社會信息化的不斷深入,關鍵性行業(yè)的關鍵任務將越來越多地依靠工控機,而以IPC為基礎的低成本工業(yè)控制自動化正在成為主流,本土工控機廠商所受到的重視程度也越來越高。隨著電力、冶金、石化、環(huán)保、交通、建筑等行業(yè)的迅速發(fā)展,從工控行業(yè)市場分析報告
數(shù)字家庭用的機頂盒、數(shù)字電視,到銀行柜員機、高速公路收費系統(tǒng)、加油站管理、制造業(yè)生產(chǎn)線控制,金融、政府、國防等行業(yè)信息化需求不斷增加,對工控機的需求很大,工控機市場發(fā)展前景十分廣闊。
在2010年的一份工控行業(yè)影響力國產(chǎn)品牌調查報告中顯示,研華工控機在國內工控機相關產(chǎn)業(yè)知名度相當高。這是因為研華工控機不僅質量好,性能穩(wěn)定,數(shù)據(jù)處理能力強,基本上可以滿足國內各種應用條件、苛刻環(huán)境的要求,相對進口工控機的價格有很大的優(yōu)勢,良好的售前售后服務使其在國內有很高的市場占有率。經(jīng)過20多年的發(fā)展,研華已經(jīng)在工控機市場中積累了豐富的經(jīng)驗,并為全球用戶提供全面的系統(tǒng)整合硬件、軟件客戶服務、全球后勤支持和電子商務基礎設施等解決方案,在國內口碑良好。
世界金融危機對工控機行業(yè)的影響
過去的幾年,世界金融危機的爆發(fā),對我國工控行業(yè)產(chǎn)生了很大的負面影響,卻也打破了早前的市場占有格局!
中國出口產(chǎn)品中的大部分都是利潤率不高的制造加工品,這使得很多出口企業(yè)面臨更大的生存壓力。同時,美元的不斷貶值,也推動了各類大宗商品價格的上漲,構成了企業(yè)的現(xiàn)實成本壓力。而勞動力成本和原材料成本的不斷上升,更導致大批制造企業(yè)的生產(chǎn)經(jīng)營面臨著困境,而這些消極因素也勢必會對工控行業(yè)產(chǎn)生影響。
就工控行業(yè)而言,首先,由于生產(chǎn)要素和資源價格的大幅上漲使得位居上游的原廠商成本大增,從而也就不可能支持其采取通過適度的讓利優(yōu)惠以增加或維持市場占有率的策略,甚至,原廠商將會通過不斷提高供貨價以減少其自身銷售利潤的損失或至少維持原有之利潤不會下降,而同時位居下游的最終客戶也因為同樣的原因被迫降價銷售,這上下一夾,就把中間的利潤空間及生存空間擠的所剩無幾。
其次,隨著宏觀調控帶來的緊縮貨幣政策,導致了市場資金供給量的大幅下降和資金成本的大幅飆升,這已經(jīng)不單單是擠壓企業(yè)利潤空間的問題,更加上升到了危及企業(yè)生存安全的高度。相當數(shù)量的希望在此環(huán)境中生存下來的制造企業(yè)都不得不想辦法壓縮應收賬款,適量擴大應付賬款,最重要的是,隨著緊接著全球通脹而來的全球經(jīng)濟衰退初現(xiàn)端倪,相應的全球消費也都出現(xiàn)了較為明顯的抑制,而這些都大大加劇了生產(chǎn)制造企業(yè)的生存困境,呈現(xiàn)的現(xiàn)象就是由于銷售路徑的變窄變細勢必帶來了道路堵賽的狀況,于是競爭進一步加劇。工控機行業(yè)服務于紡織、建筑、汽車、造船、印刷、石化等多個行業(yè),隨著這些行業(yè)在金融危機中受到波及,工控機行業(yè)也或多或少受到了影響。
另外本身的金融危機,導致國內貨幣緊縮,對工控企業(yè)的融資及貸款的進展都有了一定的阻礙,使得有些企業(yè)的資金鏈出現(xiàn)問題,直接使得工控產(chǎn)品的需求量大幅下滑。
國內各工控品牌的發(fā)展動向
結合我國國情出發(fā),國家的十二五規(guī)劃提出,全力為節(jié)能、低碳、環(huán)保企業(yè)推出“獨一無二”一流展示、推廣、溝通、交流平臺。給國產(chǎn)品牌企業(yè)帶來了機遇和挑戰(zhàn)!下面就目前國內幾個大型品牌的最新產(chǎn)品和動向做簡單的介紹和分析。
市場份額和口碑略遜于研華的研祥,在去年12月份,與兩岸三地IT廠商在滬敘談嵌入式,以云計算、物聯(lián)網(wǎng)為代表的IT科技敘談嵌入式技術和產(chǎn)品在云物時代的系統(tǒng)融合。目前,嵌入式技術成為落實云端運算與物聯(lián)網(wǎng)愿景的關鍵之一,也是爭奪未來智能產(chǎn)業(yè)市場的基礎能力。研祥智能在國內最早提出嵌入式智能平臺(EIP)戰(zhàn)略。年底,研祥智能又聯(lián)合北工大共建實驗室,做深產(chǎn)學研一體化工作,創(chuàng)造一個優(yōu)勢資源互補的共贏模式。全球計算機產(chǎn)業(yè)能做到摩爾速度,高校和科研機構扮演了重要角色。無論是人才輸出,還是實驗合作,高校一直是高科技企業(yè)工程技術人員的孵化器。因此,研祥致力于用認真精神辦好合作,一同收獲良好的社會和經(jīng)濟效益。其對人才、產(chǎn)品研發(fā)的重視程度可見一斑。今年,在國家政策利好的刺激下,研祥又大舉進軍光伏產(chǎn)業(yè),立志于政府一損皆損,一榮皆榮。
和研祥一樣,華北工控最近也推出一款具有智能光BYPASS功能的網(wǎng)絡模塊P1M02,這款最新的網(wǎng)絡模塊,其獨特的智能光BYPASS功能設計順應了目前網(wǎng)絡市場的最新需求。
與研祥不同,凌華科技致力于量測、自動化及計算機通訊科技之改進及創(chuàng)新,提供解決方案給全球網(wǎng)絡電信、智能交通及電子制造客戶。近日發(fā)布了一款業(yè)界最高效能的小型機器視覺系統(tǒng)EOS-1200,EOS-1200搭載第二代Intel? Core? i7四核處理器,提供四通道PoE(Power over Ethernet)端口,數(shù)據(jù)傳輸率高達4 Gb/s。此外,凌華科技EOS-1200更領先業(yè)界支持IEEE 1588精密時間同步協(xié)議,讓多組工業(yè)相機可以達到同步取像,通過單一纜線整合電力、圖像數(shù)據(jù)傳輸、以及同步觸發(fā)信號線,和傳統(tǒng)解決方案相比,僅需三分之一的配線數(shù)量,大幅降低客戶的配線成本以及后續(xù)維護成本。結合支持多通道GigE Vision,小巧尺寸,極高運算性能,低單位成本,彈性配置以及方便的程序開發(fā)等業(yè)界多項創(chuàng)新規(guī)格,凌華EOS-1200小型機器視覺系統(tǒng)是需要多通道工業(yè)相機的產(chǎn)線自動化,為機器人設備與食品包裝等應用提供了最佳解決方案。
威強工業(yè)電腦于2005年創(chuàng)立了一個業(yè)務部門——IEIMobile,專注于移動計算和自動化行業(yè),以滿足不斷增長的行業(yè)需求和順應移動市場的發(fā)展,如云計算,3G網(wǎng)絡訪問和不斷
增加的3G用戶數(shù)量。IEI Mobile是專業(yè)移動解決方案提供商。他們開發(fā)了多樣化的產(chǎn)品,包括平板電腦,工業(yè)PDA,車載電腦等。通過不斷結合最高端的通信和簡易操作的移動應用程序,IEI Mobile旨在為客戶提供可靠,實惠,便攜式的移動設備。
近期推出的一款ICEFIRE 10.4是專為醫(yī)療保健行業(yè)設計的平板電腦。備受贊譽的ICEFRE因其具備雙模輸入,雙熱插拔電池,1D/2D條形碼閱讀器,RFID讀寫器,智能卡讀卡器,指紋識別器,藍牙,Wi-Fi和3.75G無線連接等功能充分展示了“精品”。ICEFIRE和世界知名品牌所生產(chǎn)的產(chǎn)品有著一樣的功能但是極具價格優(yōu)勢,高性能低功耗平臺、靈活性計算、精準高效的數(shù)據(jù)采集、在交換電池時無需關掉設備、安防及訪問控制是其顯著的創(chuàng)新功能。
專業(yè)網(wǎng)路通訊硬體平臺領導廠商——艾訊科技股份有限公司,也在近期推出一款1U機架型極致效能網(wǎng)路應用安全平臺NA-550,最多可提供高達26組的千兆乙太網(wǎng)路埠,支持市場上最新的Intel? Xeon?中央處理器E3系列,內建Intel? C206高速晶片組,配備4組最高達16GB的DDR3 1333MHz的non-buffer non-ECC/ECC DIMM插槽高頻寬記憶體,專為中大型企業(yè)量身設計;為提供更大的應用彈性與輕易維護,前面板配置有3組網(wǎng)路模組之擴充介面,藉此以滿足不同網(wǎng)口數(shù)目的彈性化需求,最適合應用于入侵檢測系統(tǒng)(IDS)/入侵防護系統(tǒng)(IPS)、虛擬私人網(wǎng)路、內容過濾、整合威脅管理、云端運算解決方案以及其它網(wǎng)路安全應用等領域。
不久,艾訊又隆重發(fā)表全新Din-rail鋁軌式無風扇寬溫嵌入式電腦系統(tǒng)rBOX103,配備CAN Bus通訊介面,搭載超低功耗 Intel? Atom? 中央處理器 Z510PT 1.1 GHz或 Z520PT 1.33 GHz,內建 Intel? US15WPT晶片組,以及最高達2GB的DDR2系統(tǒng)記憶體;此平臺配備2組CAN 2.0 A/B介面,成為滿足高速傳輸與高效率偵錯機制的理想解決方案。輕巧的系統(tǒng)內建序列埠、區(qū)域網(wǎng)路以及USB 2.0,能夠有效率地進行資料的運算、通訊與擷取。此工業(yè)用強固型鋁軌式嵌入式電腦平臺采用IP30機殼的迷你機身設計,支持零下40°C至高溫70°C寬溫操作范圍,可在極端嚴峻的環(huán)境中操作;另為簡化執(zhí)行管理程序,艾訊自行研發(fā)智慧型“AXView”監(jiān)控軟體,可快速為顧客量身訂做屬于自己的管理系統(tǒng)。
隨著“十二五”產(chǎn)業(yè)規(guī)劃進入密集發(fā)布期,節(jié)能環(huán)保、新能源、新一代信息技術、生物、高端裝備制造、新材料和新能源汽車等七大戰(zhàn)略性新興產(chǎn)業(yè)將迎來快速發(fā)展機遇。戰(zhàn)略性新興產(chǎn)業(yè)將為投資者提供未來10年中國最大的投資機會。工控及自動化產(chǎn)業(yè)涉及電力、電子、計算機、人工智能、通訊、機電等諸多領域,屬綜合學科產(chǎn)業(yè)。具備如下特點:
1、產(chǎn)品技術含量高,專業(yè)性強。
2、廠商眾多:全球廠商達20萬家。僅變頻器的生產(chǎn)商就達2000余家。
3、競爭激烈,國內工業(yè)控制系統(tǒng)產(chǎn)品供應商直接面臨美、日、歐各國公司的競爭,無論IPC、DCS還是PLC,外國公司占統(tǒng)治地位的狀況將長期存在。
4、產(chǎn)品繁多:至今無法形成統(tǒng)一確切的分類標準。
5、應用廣泛:遍及冶金、石油、化工、紡織、造紙、機械、機床、汽車、航空航天、樓宇、環(huán)境工程等所有工業(yè)及民用領域。
6、市場巨大:2000年我國工控機市場規(guī)模為170~207億元人民幣。從目前中國的工控及自動化市場發(fā)展來看,中國擁有世界最大的市場,而中國的工控業(yè)發(fā)展又相對滯后。傳統(tǒng)工業(yè)技術改造、工廠自動化、企業(yè)信息化需要大量的工業(yè)自動化系統(tǒng),潛在市場巨大。
7、自動化企業(yè)規(guī)模太小,有信譽的品牌產(chǎn)品還未形成。
8、自動化企業(yè)多數(shù)急功近利,沒有投入,人員不穩(wěn),不能形成積累。
9、多數(shù)自動化企業(yè)沒有明顯的核心技術能力,缺乏后勁,國產(chǎn)系統(tǒng)就總體水平與國際著名品牌系統(tǒng)相比還有差距,特別是在應用平臺和開放性方面等。
10、國內自動化系統(tǒng)企業(yè)綜合業(yè)務能力差,系統(tǒng)產(chǎn)品系列不全等。
所以,目前工控行業(yè)要想有強勁的發(fā)展,必須具備長遠的戰(zhàn)略發(fā)展眼光,立足于智能、環(huán)保、創(chuàng)新的科學理念,結合IT科技的發(fā)展,儲備人才,接軌云端計算,抓住國家政府的利好政策,尋找適合自己發(fā)展的道路!
2012.2
第三篇:2014年政府系統(tǒng)信息安全檢查情況報告
2014年政府系統(tǒng)信息安全檢查情況報告
市政府網(wǎng)管中心:
根據(jù)《通知》要求,我局對本部門信息系統(tǒng)安全情況進行了自查,現(xiàn)將具體情況匯報如下:
一、基本情況
按照《通知》要求,我局立即組織開展全局范圍的信息系統(tǒng)安全檢查工作,對我局的業(yè)務信息系統(tǒng)、網(wǎng)絡安全情況等作了全面檢查。
二、2014年信息安全主要工作情況
(一)信息安全制度落實情況;我局嚴格按照上級部門要求,全面落實安全防范措施,全力保障信息系統(tǒng)安全工作,積極開展信息安全應急演練,有效降低、防范信息安全風險,應急處置能力得到切實提高,保證了信息系統(tǒng)持續(xù)安全穩(wěn)定運行,建立建全信息安全制度。我局針對信息化工作,制訂了有關規(guī)章制度,對內部網(wǎng)絡安全管理、計算機及網(wǎng)絡設備管理、數(shù)據(jù)、資料和信息的安全、政府信息公開保密審查等各方面都作了詳細規(guī)定,進一步規(guī)范了我局信息安全管理工作。
(二)信息安全管理與技術防護情況:
1.加強日常監(jiān)督,遵照“涉密計算機不上網(wǎng),上網(wǎng)計算機不涉密”的工作原則,嚴格按照保密要求處理光盤、硬盤、U
盤等存儲介質的管理、維修和銷毀工作。涉密計算機經(jīng)過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。
2.定期進行系統(tǒng)數(shù)據(jù)備份,及時對系統(tǒng)軟件進行更新、升級,對系統(tǒng)數(shù)據(jù)、信息資源做到及時備份。
(三)安全防范措施落實情況
1.為確保我局網(wǎng)絡信息安全工作有效順利開展,積極與網(wǎng)絡安全經(jīng)驗豐富的技術人員取得聯(lián)系,不定期對網(wǎng)絡安全保障工作進行檢查。
2.登錄系統(tǒng)都設有專門的賬戶名及密碼,由操作人員負責保管。
(四)應急管理
1.與系統(tǒng)外包單位緊密聯(lián)系,實時監(jiān)控系統(tǒng)運用,并商定其給予局應急技術以最大程度的支持。
2.定時對系統(tǒng)和軟件進行更新,對重要文件、信息資源做到及時備份,數(shù)據(jù)恢復。
三、檢查發(fā)現(xiàn)的主要問題和面臨的威脅
在自查過程中我們發(fā)現(xiàn)了一些不足:一是專業(yè)技術人員較少,信息系統(tǒng)安全方面可投入的力量有限;二是規(guī)章制度體系初步建立,但還不完善,未能覆蓋相關信息系統(tǒng)安全的所有方面;三是遇到計算機病毒侵襲等突發(fā)事件處理不夠及
時。
四、改進措施與整改效果
(一)繼續(xù)加強對局機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
(二)切實增強信息安全制度的落實工作,不定期的對安全制度執(zhí)行情況進行檢查,對于導致不良后果的責任人,要嚴肅追究責任,從而提高人員安全防護意識。
(三)以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監(jiān)測,隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故。
(四)提高安全工作的現(xiàn)代化水平,加大人員培訓力度,提高系統(tǒng)管理人員的專業(yè)技術水平,以便進一步加強對計算機信息系統(tǒng)安全的防范和保密工作。
五、關于加強信息安全工作的意見和建議
希望市政府能夠經(jīng)常性地組織有關信息系統(tǒng)安全、網(wǎng)絡安全等方面的專業(yè)培訓,進一步提高信息系統(tǒng)管理工作人員的專業(yè)技術水平,強化信息系統(tǒng)的安全防范工作。
二〇一四年十一月十三日
第四篇:傳統(tǒng)信息安全產(chǎn)品VS工控安全問題
傳統(tǒng)信息安全產(chǎn)品VS工控安全問題
? ? ? 關鍵詞:威努特 工控網(wǎng)絡安全 信息安全 作者:wnt 摘要:為什么傳統(tǒng)信息安全產(chǎn)品不能解決工控安全問題
從2010年針對伊朗核工廠的Stuxnet病毒,到2014年席卷歐洲的Havex病毒,針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊越演越烈,工業(yè)控制系統(tǒng)迫切需要得到安全防護。那么,把傳統(tǒng)信息安全產(chǎn)品如防火墻、反病毒軟件、IDS/IPS,部署到工業(yè)控制系統(tǒng)中是不是就能解決其信息安全問題呢?答案是——不能!
實踐證明傳統(tǒng)信息安全產(chǎn)品不能解決工業(yè)控制系統(tǒng)的安全問題
我們在現(xiàn)場調研時發(fā)現(xiàn),一些工業(yè)控制系統(tǒng)的網(wǎng)絡中,已經(jīng)有部署傳統(tǒng)的防火墻產(chǎn)品,在工作站上也有安裝殺毒軟件產(chǎn)品。但是,傳統(tǒng)的防火墻在保護O P C服務器時,由于不支持OPC協(xié)議的動態(tài)端口開放,不得不允許O P C客戶端和O P C服務器之間大范圍內的任意端口號的T C P連接,因此防火墻提供的安全保障被降至最低,從而很容易受到惡意軟件和其他安全威脅的攻擊。而反病毒軟件,通常因得不到及時更新,導致失去了對主流病毒、惡意代碼的防護能力。現(xiàn)場調研的另一個發(fā)現(xiàn),是工業(yè)控制系統(tǒng)的系統(tǒng)漏洞,不能像IT系統(tǒng)一樣,得到及時的漏洞修復,大量漏洞長期存在。
綜上所述,傳統(tǒng)信息安全產(chǎn)品(如防火墻、反病毒軟件)及傳統(tǒng)信息安全的管理方法(如漏洞及時修復)并不適用于工業(yè)控制系統(tǒng),不能解決其信息安全問題。為什么傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng)
傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng),是由于工業(yè)控制系統(tǒng)相對于IT信息系統(tǒng)的有其獨特差異性,而傳統(tǒng)信息安全產(chǎn)品是針對IT信息系統(tǒng)的需求開發(fā)的。工業(yè)控制系統(tǒng)相對于IT信息系統(tǒng)的差異,在信息安全需求方面主要有以下體現(xiàn):
1)
工業(yè)控制系統(tǒng)以“可用性”為第一安全需求,而IT信息系統(tǒng)以“機密性”為第一安全需求。在信息安全的三個屬性(機密性、完整性、可用性)中,IT信息系統(tǒng)的優(yōu)先順序是機密性、完整性、可用性,而工業(yè)控制系統(tǒng)則是可用性、完整性、機密性。這一差異,導致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品,必須從軟硬件設計上達到更高的可靠性,例如硬件要求無風扇設計(風扇平均無故障時間不到3年)。另外,導致傳統(tǒng)信息安全產(chǎn)品的“故障關閉”原則如防火墻故障則斷開內外網(wǎng)的網(wǎng)絡連接,不適用于工業(yè)控制系統(tǒng),工業(yè)控制系統(tǒng)的需求是防火墻故障時保證網(wǎng)絡暢通。
2)
工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作,而IT信息系統(tǒng)通常能夠接受頻繁的升級更新操作。這對依賴一個黑名單庫來提供防護能力的信息安全產(chǎn)品(例如:反病毒軟件,IDS/IPS)是一個嚴峻的挑戰(zhàn)。
3)
工業(yè)控制系統(tǒng)對報文時延很敏感,而IT信息系統(tǒng)通常強調高吞吐量。在網(wǎng)絡報文處理的性能指標(吞吐量、并發(fā)連接數(shù)、連接速率、時延)中,IT信息系統(tǒng)強調吞吐量、并發(fā)連接數(shù)、連接速率,對時延要求不太高(通常幾百微秒);而工業(yè)控制系統(tǒng)對時延要求高,某些應用場景要求時延在幾十微秒內,對吞吐量、并發(fā)連接數(shù)、連接速率往往要求不高。這一差異,導致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品,必須從CPU選型、軟硬件架構上做到低時延,這對當前一些基于x86 CPU及開源軟件架構的信息安全產(chǎn)品是一個嚴峻挑戰(zhàn)。
4)
工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議(例如,OPC、Modbus、DNP3、S7),而IT信息系統(tǒng)基于IT通信協(xié)議(例如,HTTP、FTP、SMTP、TELNET)。雖然,現(xiàn)在主流工業(yè)控制系統(tǒng)已經(jīng)廣泛采用工業(yè)以太技術,基于IP/TCP/UDP通信,但是應用層協(xié)議是不同的,這就要求信息安全產(chǎn)品必須支持工業(yè)控制協(xié)議(例如,OPC、Modbus、DNP3、S7),否則就會出現(xiàn)上面提到的為了支持OPC Classic服務而放開大量TCP端口的問題。
5)
工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣(如,野外零下幾十度的低溫、潮濕、高原、鹽霧),而IT信息系統(tǒng)通常在恒溫、恒濕的機房中。這就要求工業(yè)控制系統(tǒng)中的信息安全硬件產(chǎn)品,必須按照工業(yè)現(xiàn)場環(huán)境的要求專門設計硬件,做到全密閉、無風扇,支持﹣40℃~70℃等。
所以,要想解決工業(yè)控制系統(tǒng)的信息安全問題,傳統(tǒng)信息安全產(chǎn)品和解決方案并不是一劑對癥良藥,工業(yè)控制系統(tǒng)需要有一套為自己量身打造的信息安全產(chǎn)品,才能有效抵御工業(yè)系統(tǒng)面臨的各種安全威脅,為客戶帶來工控安全防護的真正價值。
第五篇:單位信息安全系統(tǒng)自查報告
自查報告
我單位目前只有一個污染源在線自動監(jiān)控系統(tǒng),并已向公安部門定級備案為二級系統(tǒng)。為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設,先嚴格按照《信息系統(tǒng)安全等級保護實施指南》對系統(tǒng)進行運營和管理。
污染源在線自動監(jiān)控系統(tǒng)由我單位環(huán)境監(jiān)察大隊負責管理,并派監(jiān)察大隊室主任夏烈同志專門負責具體運營實施,已有等級保護工作文件并制定相關方案。我單位嚴格依據(jù)國家等級保護政策、標準規(guī)范和行業(yè)主管部門要求,組織開展各項工作,單位領導對等級保護工作十分重視,并根據(jù)上級要求對系統(tǒng)專業(yè)人員進行業(yè)務培訓。
單位重要崗位人員都已簽訂信息安全和保密協(xié)議,有完整的外部人員訪問機房等重要區(qū)域的現(xiàn)場陪同記錄。建立了安全責任制,系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、安全審計員與本單位都已簽訂信息安全責任書。有專人負責機房安全管理,并建立了機房進出人員管理和日常監(jiān)控等相關制度。已建立系統(tǒng)建設相關管理制度,并有專人負責信息安全產(chǎn)品采購、使用管理、工程實施、服務外包等系統(tǒng)建設項目,單位建立了日常信息安全監(jiān)測和預警機制,并周期性備份重要數(shù)據(jù)及重要信息系統(tǒng)。
污染源在線自動監(jiān)控系統(tǒng)已向公安部門定級備案,并定性為第二級信息系統(tǒng),每月請外包公司對信息系統(tǒng)進行升級以提升系統(tǒng)的安全保護等級,信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等未發(fā)生重大變化。我單位對本信息系統(tǒng)的重要新有清楚的認識,定期開展重要信息系統(tǒng)相關的威脅分析和相互依賴分析。
單位準備將重要信息系統(tǒng)等級測評和安全建設整改工作納入經(jīng)費預算,要求測評機構和測評人員提供相關證明和資質材料,并與相關測評機構簽訂保密協(xié)議并對測評過程進行監(jiān)督,做到重要信息系統(tǒng)嚴格保密,嚴格按照國家標準和行業(yè)標準建設安全設施落實安全措施,并根據(jù)等級測評結果對不符合安全標準要求的地方,進一步進行整改。
嚴格按照《管理辦法》要求的條件選擇本單位使用的信息安全產(chǎn)品,本單位無國外信息安全產(chǎn)品,信息安全產(chǎn)品國產(chǎn)化率達到90%,包括2臺聯(lián)想服務器,4臺華為路由器、交換機。服務器上均安裝國內防火墻,均通過國家統(tǒng)一強制認證,定期由專業(yè)人員對病毒庫進行升級,保證所有數(shù)據(jù)的安全傳輸。我們現(xiàn)嚴格依照《信息安全等級保護管理辦法》規(guī)定,配合上級工作,做好推進信息安全等級保護工作,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設。
點擊咨詢 