电大计算机毕业论文范文

电大计算机毕业论文范文一：重钢工业控制系统信息安全 0 引言 2013 年以来，重钢集团作为重庆市的大型重工业企业工控信息安全试 点，进行了积极的探索和实践。研究工控系统信息安全问题，制定工控系统 信息安全实施指南，建立重钢 ICS 工控信息安全的模拟试验中心，进行控制 系统信息安全的模拟试验，采取措施提高重钢控制系统的安全防御能力，以 保证重钢集团控制系统的信息安全和安全生产，尽到自己的社会责任。 1 工控系统信息安全问题的由来 工业控制系统(industrycontrolsystemindustrycontrolsystem，以下简称 ICS)信息安全问题的核 心是通信协议缺陷问题。工控协议安全问题可分为两类： 1.1ICS 设计时固有的安全缺失 传统的 ICS 采用专用的硬件、软件和通信协议，设计上注重效率、实时 性、可靠性，为此放弃了诸如认证、授权和加密等需要附加开销的安全特征 和功能，一般采用封闭式的网络架构来保证系统安全。工业控制网的防护功 能都很弱，几乎没有隔离功能。由于 ICS 的相对封闭性，一直不是网络攻防 研究关注的重点。 1.2ICS 开放发展而继承的安全缺失 目前，几乎所有的 ICS 厂商都提出了企业全自动化的解决方案，ICS 通 信协议已经演化为在通用计算机操作系统上实现，并运行在工业以太网上， TCP/IP 协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。 潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的 高速发展，企业自动化、信息化联网融合，以往相对封闭的 ICS 逐渐采用通 用的通信协议、硬软件系统，甚至可以通过实时数据采集网、MES、ERP 网 络连接到企业 OA 及互联网等公共网络。传统信息网络所面临的病毒、木马、 入侵攻击、拒绝服务等安全威胁也正在向 ICS 扩散。因此在 ICS 对企业信息 化系统开放，使企业生产经营获取巨大好处的同时，也减弱了 ICS 与外界的 隔离，“两化融合”使 ICS 信息安全隐患问题日益严峻。 2 重钢 ICS 信息安全问题的探索 2.1 重钢企业系统架构 重钢新区的建设是以大幅提升工艺技术和控制、管理水平，以科技创新 和装备大型化推进流程再造为依据，降本增效、节能减排为目的来完成的。 各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的 思想，重钢在各产线上集成,实现“两化”深度融合，形成了一个庞大而复杂的 网络拓扑结构。 2.2 生产管控系统分级 管 控 系 统 按 控 制 功 能 和 逻 辑 分 为 4 级 网 络 ： L4(industrycontrolsystem 企 业 资 源 计 划 ERP)、L3(industrycontrolsystem生产管理级 MES)、L2(industrycontrolsystem过程控制级 PCS)、L1(industrycontrolsystem基础自动化级 BAS)。 重 钢 新 区 L1 控 制 系 统 有 ： 浙 大 中 控 、 新 华 DCS 、 西 门 子 PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节 L1 独 立，L2 互联，L3 和 ERP 是全流程整体构建。 2.3 重钢企业网络架 重钢新区网络系统共分为 4 个层次：Internet 和专线区，主干网区域， 服务器区域，L2/L3 通信专网区。 (industrycontrolsystem1)主干网区域包括全厂无线覆盖(industrycontrolsystem用于各网络点的补充接入备用)和办公 终端接入，主干网区域与 Internet 和专线区之间通过防火墙隔离，并部署行 为管理系统; (industrycontrolsystem2)主干网区域与服务器区域之间通过防火墙隔离; (industrycontrolsystem3)L2 与 L3 之间由布置在 L2 网络的防火墙和 L3 侧的数据交换平台隔离; (industrycontrolsystem4)L2 和 L1 之间通过 L2 级主机双网卡方式进行逻辑隔离，各生产线 L2 和 L1 遍布整个新区，有多种控制系统。 (industrycontrolsystem5)OA 与 ERP 和 MES 服务器之间没有隔离。在 L2 以下没有防火墙，现 有的安全措施不能保证 ICS 的安全。 2.4ICS 安全漏洞 经过分析讨论，我们认为重钢管控系统 ICS 可能存在以下安全问题： (industrycontrolsystem1)通信协议漏洞基于 TCP/IP 的工业以太网、PROIBUS,MODBUS 等总线 通信协议，L1 级与 L2 级之间通信采用的 OPC 协议，都有明显的安全漏洞。 (industrycontrolsystem2)操作系统漏洞：ICS 的 HMI 上 Windows 操作系统补丁问题。 (industrycontrolsystem3)安全策略和管理流程问题：安全策略与管理流程、人员信息安全意识 缺乏，移动设备的使用及不严格的访问控制策略。 (industrycontrolsystem4)杀毒软件问题：由于杀毒软件可能查杀 ICS 的部分软件，且其病毒库 需要不定期的更新，故此，ICS 操作站工程师站基本未安装杀毒软件。 3 重钢工控系统信息安全措施 对重钢来说，ICS 信息安全性研究是一个新领域，对此，需要重点研究 ICS 自身的脆弱性(industrycontrolsystem漏洞)情况及系统间通信规约的安全性问题，对 ICS 系统进 行安全测试，同时制定 ICS 的设备安全管理措施。 3.1 制定 ICS 信息安全实施指南 根据国际行业标准 ANSI/ISA-99 及 IT 安防等级，重钢与重庆邮电大学合 作，制定出适合国内实际的《工业控制系统信息安全实施指南》(industrycontrolsystem草案)。指 南就 ICS 和 IT 系统的差异，ICS 系统潜在的脆弱性，风险因素，ICS 网络隔 离技术，安全事故缘由，ICS 系统安全程序开发与部署，管理控制，运维控 制，技术控制等多方面进行具体的规范，并提出 ICS 的纵深防御战略的主要 规则。并提出 ICS 的纵深防御战略的主要规则。ICS 的纵深防御战略： (industrycontrolsystem1)在 ICS 从应用设计开始的整个生命周期内解决安全问题; (industrycontrolsystem2)实施多层的网络拓扑结构; (industrycontrolsystem3)提供企业网和 ICS 的网络逻辑隔离; (industrycontrolsystem4)ICS 设备测试后封锁未使用过的端口和服务，确保其不会影响 ICS 的 运行; (industrycontrolsystem5)限制物理访问 ICS 网络和设备; (industrycontrolsystem6)限制 ICS 用户使用特权，(industrycontrolsystem权、责、人对应); (industrycontrolsystem7)在 ICS 网络和企业网络分别使用单独的身份验证机制; (industrycontrolsystem8)使用入侵检测软件、防病毒软件等，实现防御工控系统中的入侵及破 坏; (industrycontrolsystem9)在工控系统的数据存储和通信中使用安全技术，例如加密技术; (industrycontrolsystem10)在安装 ICS 之前，利用测试系统测试完所有补丁并尽快部署安全补 丁; (industrycontrolsystem11)在工控系统的关键区域跟踪和监测审计踪迹。 3.2 建立重钢 ICS 信息安全模拟试验中心 由于重钢新区企业网络架构异常复杂，要解决信息安全问题，必须对企 业网络及 ICS 进行信息安全测试，在此基础上对系统进行加固。为避免攻击 等测试手段对正在生产运行的系统产生不可控制的恶劣影响，必须建立一个 ICS 信息安全的模拟试验中心。为此，采用模拟在线运行的重钢企业网络的 方式，构建重钢 ICS 信息安全的模拟试验中心。这个中心也是重钢电子的软 件开发模拟平台和信息安全攻防演练平台。 3.3 模拟系统信息安全的测试诊断 重钢模拟系统安全测试，主要进行漏洞检测和渗透测试，形成 ICS 安全 评估报告。重钢 ICS 安全问题主要集中在安全管理、ICS 与网络系统三个方 面，高危漏洞占很大比重。 (industrycontrolsystem1)骨干网作为内外网数据交换的节点，抗病毒能力弱、有明显的攻击路 径; (industrycontrolsystem2)生产管理系统中因为网络架构、程序设计和安全管理等方面的因素， 存在诸多高风险安全漏洞; (industrycontrolsystem3)L1 的 PLC 与监控层之间无安全隔离，ICS 与 L2 之间仅有双网卡逻辑 隔离，OA 和 ERP、MES 的网络拓扑没有分级和隔离。对外部攻击没有防御 手段。虽然各部分 ICS(industrycontrolsystemL1)相对独立，但整个系统还是存在诸多不安全风险因 素，主要有系统层缺陷、渗透攻击、缓冲区溢出、口令破解及接口、企业网 内部威胁五个方面。通过对安全测试结果进行分析，我们认为攻击者最容易 采用的攻击途径是：现场无线网络、办公网—HMI 远程网页—HMI 服务器、 U 盘或笔记本电脑在 ICS 接入。病毒最容易侵入地方是：外网、所有操作终 端、调试接入的笔记本电脑。 3.4 提高重钢管控系统安防能力的措施 在原有网络安全防御的基础上根据 ICS 信息安全的要求和模拟测试的结 果，我们采取一系列措施来提高重钢管控系统的措施。 3.5 安全管理措施 参照《工业控制系统信息安全实施指南》(industrycontrolsystem草案)，修订《重钢股份公司 计算机信息网络管理制度》，针对内部网络容易出现的安全问题提出具体要 求，重点突出网络安全接入控制和资源共享规范;检查所有 ICS 操作员工程 师站，封锁 USB 口，重新清理所有终端，建立完整的操作权限和密码体系。 封锁大部分骨干网区的无线接入，增加现场无线设备的加密级别。 3.6 系统加固措施 3.6.1 互联网出口安全防护第一层：防火墙——在原来配置的防火墙上， 清理端口，精确开放内部服务器服务端口，限制主要网络木马病毒入侵端口 通讯;第二层：行为管理系统——对内外通讯的流量进行整形和带宽控制，控 制互联网访问权限，减少非法的互联网资源访问，同时对敏感信息进行控制 和记录;第三层：防病毒系统——部署瑞星防毒墙对进出内网的网络流量进行 扫描过滤，查杀占据绝大部分的 HTTP、FTP、SMTP 等协议流量，净化内网 网络环境; 3.6.2 内网(industrycontrolsystem以太网)安全部署企业版杀毒系统、EAD 准入控制系统(industrycontrolsystem终端安 装)，进行交换机加固，增加 DHCP 嗅探功能，拒绝非法 DHCP 服务器分配 IP 地址，广播风暴抑制。 3.6.3 工业以太网安全 L1 级安全隔离应考虑 ICS 的特点： (industrycontrolsystem1)PLC 与监控层及过程控制级一般采用 OPC 通讯，端口不固定。因此， 安全隔离设备应能进行动态端口监控和防御。 (industrycontrolsystem2)工控系统实时性高，要求通信速度快。因此，为保证所处理的流量较 少，网络延时小，实时性好，安全隔离设备应布置在被保护设备的上游和控 制网络的边缘。图 3 安全防御技术措施实施简图经过多方比较，现采用数据 采集隔离平台和智能保护平台。在 PLC 采用终端保护，在 L1 监控层实现 L1 区域保护，在 PCS 与 MES、ERP 和 OA 之间形成边界保护。接着考虑增加 L1 外挂监测审计平台和漏洞挖掘检测平台。 3.6.4 数据采集隔离平台在 L1 的 OPC 服务器和实时数据库采集站之间实 现数据隔离，采用数据隔离网关+综合管理平台实现：动态端口控制，白名 单主动防御，实时深度解析采集数据，实时报警阻断。 3.6.5 智能保护平台快速识别 ICS 系统中的非法操作、异常事件及外部攻 击并及时告警和阻断非法数据包。多重防御机制：将 IP 地址与 MAC 地址绑 定，防止内部 IP 地址被非法盗用;白名单防御机制：对网络中所有不符合白 名单的安全数据和行为特征进行阻断和告警，消除未知漏洞危害;黑名单防御 机制：根据已知漏洞库，对网络中所有异常数据和行为进行阻断和告警，消 除已知漏洞危害。边界保护：布置在 L1 边界，监控 L1 网络中的保护节点和 网络结构，配置信息以及安全事件。区域保护：布置在 L1 级 ICS 内部边界， 防御来自工业以太网以外及 ICS 内部其他区域的威胁。终端保护：布置在终 端节点，防御来自外部、内部其他区域及终端的威胁。综合管理平台：通过 对所在工控网络环境的分析，自动组合一套规则与策略的部署方案;可将合适 的白名单规则与漏洞防护策略下发部署到不同的智能保护平台。 4 结束语 经过多方共同努力，重钢集团现已建成一个较为完整的企业信息安全的 模拟试验中心;制定出适用于国内实际的有待验证的工控系统信息安全实施指 南;对重钢工控系统信息安全状况有了一个较为清晰的认知;通过采取积极的 安全防御加固措施，极大的提高整个企业 ICS 安全;也看清了以后的方向。重 钢工控信息安全体系的研究和完善还任重道远，我们将继续深入研究，为我 国的工控信息安全体系的建设尽微薄之力。 电大计算机毕业论文范文二：电力系统信息安全论文 1 电力系统信息安全存在的问题 1.1 电力系统信息安全意识薄弱 伴随着科学技术的不断发展，特别是计算机技术的发展，我国的计算机 安全技术获得大幅度的提升，安全策略也有了很大的发展，基本可以保障电 力系统的信息安全，因此，电力系统的各个计算机应用部门就容易掉以轻心， 信息安全意识较为薄弱，与信息安全的实际需求相差甚远，从而导致有关部 门不能很好的应对新出现的信息安全问题。 1.2 缺乏统一的电力系统信息安全管理规范 缺乏统一的电力系统信息安全管理规范是电力系统信息安全管理中存在 的一个较为严重的问题，导致电力系统信息安全管理无章可循、无法可依， 信息安全管理的工作无法真正落实到位，信息安全管理的效率和质量都较低。 1.3 缺乏符合电力行业特点的信息安全体系 随着电力系统信息化程度的不断提高，整个电力系统对计算机和网络的 依赖程度越来越高，相应的就要求建立安全系数高的安全体系，只有这样才 能很好的保障电力系统的正常运行，否则电力系统将会面临很多安全方面的 威胁。 1.4 信息化程度的提高，使电力系统面临着巨大的外部安全攻击 电力系统的信息化程度的提高，有一个重要的表现就是由过去孤立的 局 域网发展成为广域网，这样一来，就增加了电力系统信息安全管理的难度， 使电力系统面临更多的安全攻击和风险。 2 提高电力系统信息安全性的措施 2.1 提高安全意识 有关部门应该加强电力系统安全知识的宣传，提高电力系统各种计算机 应用部门人员的安全意识，正确认识信息安全问题，并加强对新出现问题的 研究，提高对新出现问题的认识程度，以便制定相应的防范措施。 2.2 制定统一的信息安全管理规范 要想提高电力系统信息安全管理的效率和质量，必须要制定一个统一的 电力系统信息安全管理规范，这对电力系统的正常运行至关重要。企业在制 定信息安全管理规范时，一定要结合电力系统的运行特点，并且还要参考主 要的国际安全标准和我们国家的安全标准，努力制定出一套标准的、统一的 电力系统信息安全管理规范。 2.3 建立健全电力系统信息安全体系结构框架 建立健全电力系统安全体系结构框架，最主要的是要掌握先进的电力系 统信息安全技术，只有这样才能尽快的实现电力系统信息安全示范工程，从 而大幅度的提升电力系统信息安全管理的水平。这里所说的先进的信息安全 技术主要包括信息加密技术、信息确认和网络控制技术、防病毒技术、防攻 击技术、数据备份和灾难恢复技术等。 2.4 采取一切有效的措施，抵挡外部安全攻击 为抵挡外部安全攻击，有关部门应该积极采取一切有效的措施来保障电 力系统的信息安全。这些有效的措施主要包括以下几种：注意建立电力系统 信息安全身份认证体系、建立完备的网络信息系统监控中心、建立电力系统 信息安全监测中心等。 3 结语 综上所述，电力系统信息安全是一个复杂的系统工程，对我国的电力事 业具有重大意义。因此，有关部门应该积极采用各种行之有效的措施，提高 电力系统信息的安全性，只有这样才能保障供电的安全和稳定，促进我国的 电力事业健康、快速发展。