计算机应用能力已成为信息社会人才必须具备的基本素质,但目前高校对非计算机专业大学生计算机应用能力的培养还很不完善。下面是小编为大家推荐的电大计算机毕业论文,供大家参考。
电大计算机毕业论文范文一:重钢工业控制系统信息安全0引言
2013年以来,重钢集团作为重庆市的大型重工业企业工控信息安全试点,进行了积极的探索和实践。研究工控系统信息安全问题,制定工控系统信息安全实施指南,建立重钢ICS工控信息安全的模拟试验中心,进行控制系统信息安全的模拟试验,采取措施提高重钢控制系统的安全防御能力,以保证重钢集团控制系统的信息安全和安全生产,尽到自己的社会责任。
1工控系统信息安全问题的由来
工业控制系统(industrycontrolsystem,以下简称ICS)信息安全问题的核心是通信协议缺陷问题。工控协议安全问题可分为两类:
1.1ICS设计时固有的安全缺失
传统的ICS采用专用的硬件、软件和通信协议,设计上注重效率、实时性、可靠性,为此放弃了诸如认证、授权和加密等需要附加开销的安全特征和功能,一般采用封闭式的网络架构来保证系统安全。工业控制网的防护功能都很弱,几乎没有隔离功能。由于ICS的相对封闭性,一直不是网络攻防研究关注的重点。
1.2ICS开放发展而继承的安全缺失
目前,几乎所有的ICS厂商都提出了企业全自动化的解决方案,ICS通信协议已经演化为在通用计算机操作系统上实现,并运行在工业以太网上,TCP/IP协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的高速发展,企业自动化、信息化联网融合,以往相对封闭的ICS逐渐采用通用的通信协议、硬软件系统,甚至可以通过实时数据采集网、MES、ERP网络连接到企业OA及互联网等公共网络。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向ICS扩散。因此在ICS对企业信息化系统开放,使企业生产经营获取巨大好处的同时,也减弱了ICS与外界的隔离,“两化融合”使ICS信息安全隐患问题日益严峻。
2重钢ICS信息安全问题的探索
2.1重钢企业系统架构
重钢新区的建设是以大幅提升工艺技术和控制、管理水平,以科技创新和装备大型化推进流程再造为依据,降本增效、节能减排为目的来完成的。各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的思想,重钢在各产线上集成,实现“两化”深度融合,形成了一个庞大而复杂的网络拓扑结构。
2.2生产管控系统分级
管控系统按控制功能和逻辑分为4级网络:L4(企业资源计划ERP)、L3(生产管理级MES)、L2(过程控制级PCS)、L1(基础自动化级BAS)。重钢新区L1控制系统有:浙大中控、新华DCS、西门子PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节L1独立,L2互联,L3和ERP是全流程整体构建。
2.3重钢企业网络架
重钢新区网络系统共分为4个层次:Internet和专线区,主干网区域,服务器区域,L2/L3通信专网区。
(1)主干网区域包括全厂无线覆盖(用于各网络点的补充接入备用)和办公终端接入,主干网区域与Internet和专线区之间通过防火墙隔离,并部署行为管理系统;
(2)主干网区域与服务器区域之间通过防火墙隔离;
(3)L2与L3之间由布置在L2网络的防火墙和L3侧的数据交换平台隔离;
(4)L2和L1之间通过L2级主机双网卡方式进行逻辑隔离,各生产线L2和L1遍布整个新区,有多种控制系统。
(5)OA与ERP和MES服务器之间没有隔离。在L2以下没有防火墙,现有的安全措施不能保证ICS的安全。
2.4ICS安全漏洞
经过分析讨论,我们认为重钢管控系统ICS可能存在以下安全问题:
(1)通信协议漏洞基于TCP/IP的工业以太网、PROIBUS,MODBUS等总线通信协议,L1级与L2级之间通信采用的OPC协议,都有明显的安全漏洞。
(2)操作系统漏洞:ICS的HMI上Windows操作系统补丁问题。
(3)安全策略和管理流程问题:安全策略与管理流程、人员信息安全意识缺乏,移动设备的使用及不严格的访问控制策略。
(4)杀毒软件问题:由于杀毒软件可能查杀ICS的部分软件,且其病毒库需要不定期的更新,故此,ICS操作站工程师站基本未安装杀毒软件。
3重钢工控系统信息安全措施
对重钢来说,ICS信息安全性研究是一个新领域,对此,需要重点研究ICS自身的脆弱性(漏洞)情况及系统间通信规约的安全性问题,对ICS系统进行安全测试,同时制定ICS的设备安全管理措施。
3.1制定ICS信息安全实施指南
根据国际行业标准ANSI/ISA-99及IT安防等级,重钢与重庆邮电大学合作,制定出适合国内实际的《工业控制系统信息安全实施指南》(草案)。指南就ICS和IT系统的差异,ICS系统潜在的脆弱性,风险因素,ICS网络隔离技术,安全事故缘由,ICS系统安全程序开发与部署,管理控制,运维控制,技术控制等多方面进行具体的规范,并提出ICS的纵深防御战略的主要规则。并提出ICS的纵深防御战略的主要规则。ICS的纵深防御战略:
(1)在ICS从应用设计开始的整个生命周期内解决安全问题;
(2)实施多层的网络拓扑结构;
(3)提供企业网和ICS的网络逻辑隔离;
(4)ICS设备测试后封锁未使用过的端口和服务,确保其不会影响ICS的运行;
(5)限制物理访问ICS网络和设备;
(6)限制ICS用户使用特权,(权、责、人对应);
(7)在ICS网络和企业网络分别使用单独的身份验证机制;
(8)使用入侵检测软件、防病毒软件等,实现防御工控系统中的入侵及破坏;
(9)在工控系统的数据存储和通信中使用安全技术,例如加密技术;
(10)在安装ICS之前,利用测试系统测试完所有补丁并尽快部署安全补丁;
(11)在工控系统的关键区域跟踪和监测审计踪迹。
3.2建立重钢ICS信息安全模拟试验中心
由于重钢新区企业网络架构异常复杂,要解决信息安全问题,必须对企业网络及ICS进行信息安全测试,在此基础上对系统进行加固。为避免攻击等测试手段对正在生产运行的系统产生不可控制的恶劣影响,必须建立一个ICS信息安全的模拟试验中心。为此,采用模拟在线运行的重钢企业网络的方式,构建重钢ICS信息安全的模拟试验中心。这个中心也是重钢电子的软件开发模拟平台和信息安全攻防演练平台。
3.3模拟系统信息安全的测试诊断
重钢模拟系统安全测试,主要进行漏洞检测和渗透测试,形成ICS安全评估报告。重钢ICS安全问题主要集中在安全管理、ICS与网络系统三个方面,高危漏洞占很大比重。
(1)骨干网作为内外网数据交换的节点,抗病毒能力弱、有明显的攻击路径;
(2)生产管理系统中因为网络架构、程序设计和安全管理等方面的因素,存在诸多高风险安全漏洞;
(3)L1的PLC与监控层之间无安全隔离,ICS与L2之间仅有双网卡逻辑隔离,OA和ERP、MES的网络拓扑没有分级和隔离。对外部攻击没有防御手段。虽然各部分ICS(L1)相对独立,但整个系统还是存在诸多不安全风险因素,主要有系统层缺陷、渗透攻击、缓冲区溢出、口令破解及接口、企业网内部威胁五个方面。通过对安全测试结果进行分析,我们认为攻击者最容易采用的攻击途径是:现场无线网络、办公网—HMI远程网页—HMI服务器、U盘或笔记本电脑在ICS接入。病毒最容易侵入地方是:外网、所有操作终端、调试接入的笔记本电脑。
3.4提高重钢管控系统安防能力的措施
在原有网络安全防御的基础上根据ICS信息安全的要求和模拟测试的结果,我们采取一系列措施来提高重钢管控系统的措施。
3.5安全管理措施
参照《工业控制系统信息安全实施指南》(草案),修订《重钢股份公司计算机信息网络管理制度》,针对内部网络容易出现的安全问题提出具体要求,重点突出网络安全接入控制和资源共享规范;检查所有ICS操作员工程师站,封锁USB口,重新清理所有终端,建立完整的操作权限和密码体系。封锁大部分骨干网区的无线接入,增加现场无线设备的加密级别。
3.6系统加固措施
3.6.1互联网出口安全防护第一层:防火墙——在原来配置的防火墙上,清理端口,精确开放内部服务器服务端口,限制主要网络木马病毒入侵端口通讯;第二层:行为管理系统——对内外通讯的流量进行整形和带宽控制,控制互联网访问权限,减少非法的互联网资源访问,同时对敏感信息进行控制和记录;第三层:防病毒系统——部署瑞星防毒墙对进出内网的网络流量进行扫描过滤,查杀占据绝大部分的HTTP、FTP、SMTP等协议流量,净化内网网络环境;
3.6.2内网(以太网)安全部署企业版杀毒系统、EAD准入控制系统(终端安装),进行交换机加固,增加DHCP嗅探功能,拒绝非法DHCP服务器分配IP地址,广播风暴抑制。
3.6.3工业以太网安全L1级安全隔离应考虑ICS的特点:
(1)PLC与监控层及过程控制级一般采用OPC通讯,端口不固定。因此,安全隔离设备应能进行动态端口监控和防御。
(2)工控系统实时性高,要求通信速度快。因此,为保证所处理的流量较少,网络延时小,实时性好,安全隔离设备应布置在被保护设备的上游和控制网络的边缘。图3安全防御技术措施实施简图经过多方比较,现采用数据采集隔离平台和智能保护平台。在PLC采用终端保护,在L1监控层实现L1区域保护,在PCS与MES、ERP和OA之间形成边界保护。接着考虑增加L1外挂监测审计平台和漏洞挖掘检测平台。
3.6.4数据采集隔离平台在L1的OPC服务器和实时数据库采集站之间实现数据隔离,采用数据隔离网关+综合管理平台实现:动态端口控制,白名单主动防御,实时深度解析采集数据,实时报警阻断。
3.6.5智能保护平台快速识别ICS系统中的非法操作、异常事件及外部攻击并及时告警和阻断非法数据包。多重防御机制:将IP地址与MAC地址绑定,防止内部IP地址被非法盗用;白名单防御机制:对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警,消除未知漏洞危害;黑名单防御机制:根据已知漏洞库,对网络中所有异常数据和行为进行阻断和告警,消除已知漏洞危害。边界保护:布置在L1边界,监控L1网络中的保护节点和网络结构,配置信息以及安全事件。区域保护:布置在L1级ICS内部边界,防御来自工业以太网以外及ICS内部其他区域的威胁。终端保护:布置在终端节点,防御来自外部、内部其他区域及终端的威胁。综合管理平台:通过对所在工控网络环境的分析,自动组合一套规则与策略的部署方案;可将合适的白名单规则与漏洞防护策略下发部署到不同的智能保护平台。
4结束语
经过多方共同努力,重钢集团现已建成一个较为完整的企业信息安全的模拟试验中心;制定出适用于国内实际的有待验证的工控系统信息安全实施指南;对重钢工控系统信息安全状况有了一个较为清晰的认知;通过采取积极的安全防御加固措施,极大的提高整个企业ICS安全;也看清了以后的方向。重钢工控信息安全体系的研究和完善还任重道远,我们将继续深入研究,为我国的工控信息安全体系的建设尽微薄之力。
电大计算机毕业论文范文二:电力系统信息安全论文1电力系统信息安全存在的问题
1.1电力系统信息安全意识薄弱
伴随着科学技术的不断发展,特别是计算机技术的发展,我国的计算机安全技术获得大幅度的提升,安全策略也有了很大的发展,基本可以保障电力系统的信息安全,因此,电力系统的各个计算机应用部门就容易掉以轻心,信息安全意识较为薄弱,与信息安全的实际需求相差甚远,从而导致有关部门不能很好的应对新出现的信息安全问题。
1.2缺乏统一的电力系统信息安全管理规范
缺乏统一的电力系统信息安全管理规范是电力系统信息安全管理中存在的一个较为严重的问题,导致电力系统信息安全管理无章可循、无法可依,信息安全管理的工作无法真正落实到位,信息安全管理的效率和质量都较低。
1.3缺乏符合电力行业特点的信息安全体系
随着电力系统信息化程度的不断提高,整个电力系统对计算机和网络的依赖程度越来越高,相应的就要求建立安全系数高的安全体系,只有这样才能很好的保障电力系统的正常运行,否则电力系统将会面临很多安全方面的威胁。
1.4信息化程度的提高,使电力系统面临着巨大的外部安全攻击
电力系统的信息化程度的提高,有一个重要的表现就是由过去孤立的局域网发展成为广域网,这样一来,就增加了电力系统信息安全管理的难度,使电力系统面临更多的安全攻击和风险。
2提高电力系统信息安全性的措施
2.1提高安全意识
有关部门应该加强电力系统安全知识的宣传,提高电力系统各种计算机应用部门人员的安全意识,正确认识信息安全问题,并加强对新出现问题的研究,提高对新出现问题的认识程度,以便制定相应的防范措施。
2.2制定统一的信息安全管理规范
要想提高电力系统信息安全管理的效率和质量,必须要制定一个统一的电力系统信息安全管理规范,这对电力系统的正常运行至关重要。企业在制定信息安全管理规范时,一定要结合电力系统的运行特点,并且还要参考主要的国际安全标准和我们国家的安全标准,努力制定出一套标准的、统一的电力系统信息安全管理规范。
2.3建立健全电力系统信息安全体系结构框架
建立健全电力系统安全体系结构框架,最主要的是要掌握先进的电力系统信息安全技术,只有这样才能尽快的实现电力系统信息安全示范工程,从而大幅度的提升电力系统信息安全管理的水平。这里所说的先进的信息安全技术主要包括信息加密技术、信息确认和网络控制技术、防病毒技术、防攻击技术、数据备份和灾难恢复技术等。
2.4采取一切有效的措施,抵挡外部安全攻击
为抵挡外部安全攻击,有关部门应该积极采取一切有效的措施来保障电力系统的信息安全。这些有效的措施主要包括以下几种:注意建立电力系统信息安全身份认证体系、建立完备的网络信息系统监控中心、建立电力系统信息安全监测中心等。
3结语
综上所述,电力系统信息安全是一个复杂的系统工程,对我国的电力事业具有重大意义。因此,有关部门应该积极采用各种行之有效的措施,提高电力系统信息的安全性,只有这样才能保障供电的安全和稳定,促进我国的电力事业健康、快速发展。