工業(yè)控制系統(tǒng)信息安全的探討與實(shí)現(xiàn)

　　將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略，參照ANSI/ISA-99標(biāo)準(zhǔn)，同時(shí)結(jié)合工業(yè)系統(tǒng)的安全需要，可以將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為下列不同的安全區(qū)域，如圖1所示：

　　·企業(yè)IT網(wǎng)絡(luò)區(qū)域
　　·過程信息/歷史數(shù)據(jù)區(qū)域
　　·管理/HMI區(qū)域
　　·DCS/PLC控制區(qū)域
　　·第三方控制系統(tǒng)區(qū)域，如安全儀表系統(tǒng)SIS

圖1-工業(yè)系統(tǒng)網(wǎng)絡(luò)安全區(qū)域的劃分

　　3.2 基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全

　　針對(duì)企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結(jié)合工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，基于縱深防御策略，創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)絡(luò)需要以下五個(gè)層面的安全防護(hù)，如圖2所示：

圖2-工業(yè)控制系統(tǒng)信息安全的縱深防御

　　(1)企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護(hù)

　　在企業(yè)管理層和數(shù)采監(jiān)控層之間加入防火墻，一方面提升了網(wǎng)絡(luò)的區(qū)域劃分，另一方面更重要的是只允許兩個(gè)網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對(duì)數(shù)采監(jiān)控層的未經(jīng)授權(quán)的非法訪問，同時(shí)也防止管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到數(shù)采網(wǎng)絡(luò)。

　　考慮到企業(yè)管理層一般采用通用以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對(duì)此部位的安全防護(hù)建議使用常規(guī)的IT防火墻。

　　(2)數(shù)采監(jiān)控層和控制層之間的安全防護(hù)

　　該部位通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號(hào)，使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時(shí)，不得不開放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下，防火墻提供的安全保障被降至最低。

　　因此，在數(shù)采監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻，解決OPC通訊采用動(dòng)態(tài)端口帶來的安全防護(hù)瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到其他網(wǎng)絡(luò)，提升網(wǎng)絡(luò)區(qū)域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。

　　(3)保護(hù)關(guān)鍵控制器

　　考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標(biāo)準(zhǔn)如Modbus等。由于常規(guī)的IT防火墻和網(wǎng)閘等安全防護(hù)產(chǎn)品都不支持工業(yè)通訊協(xié)議，因此，對(duì)關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對(duì)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控，可以指定只有某個(gè)專有操作站才能訪問指定的控制器；第三方面也可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。

　　(4)隔離工程師站，保護(hù)APC先控站

　　對(duì)于網(wǎng)絡(luò)中存在的工程師站和APC先控站，考慮到工程師站和APC節(jié)點(diǎn)在項(xiàng)目實(shí)施階段通常需要接入第三方設(shè)備（U盤、筆記本電腦等），而且是在整個(gè)控制系統(tǒng)開車的情況下實(shí)施，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

　　在工程師站和APC先控站前端增加工業(yè)防火墻，可以將工程師站和APC節(jié)點(diǎn)單獨(dú)隔離，防止病毒擴(kuò)散，保證了網(wǎng)絡(luò)的通訊安全。

　　(5)和第三方控制系統(tǒng)之間的安全防護(hù)

　　使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離后，主要是為了確保兩個(gè)區(qū)域之間數(shù)據(jù)交換的安全，管控通訊數(shù)據(jù)，保證只有合法可信的、經(jīng)過授權(quán)的訪問和通訊才能通過網(wǎng)絡(luò)通信管道。同時(shí)也提升了網(wǎng)絡(luò)安全區(qū)域劃分能力，有效地阻止了病毒感染的擴(kuò)散。

　　3.3 報(bào)警管理平臺(tái)

　　報(bào)警管理平臺(tái)的功能包括集成系統(tǒng)中所有的事件和報(bào)警信息，并對(duì)報(bào)警信息進(jìn)行等級(jí)劃分。提供實(shí)時(shí)畫面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢、歷史數(shù)據(jù)查詢等功能。報(bào)警管理平臺(tái)還負(fù)責(zé)捕獲現(xiàn)場(chǎng)所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰(shuí)，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時(shí)排查、分析提供了可靠依據(jù)。

　　3.4 “測(cè)試”模式

　　系統(tǒng)工程師可以利用多芬諾工業(yè)防火墻提供的“測(cè)試”模式功能，在真正部署防火墻之前，在真實(shí)工廠操作環(huán)境中對(duì)防火墻規(guī)則進(jìn)行測(cè)試。通過分析確認(rèn)每一條報(bào)警信息，實(shí)現(xiàn)全面的控制功能，從而確保工控需求的完整性和可靠性。

　　四、總結(jié)

　　工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫，本文針對(duì)企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求以及多芬諾工業(yè)防火墻提供的“測(cè)試”模式功能，提出工業(yè)控制系統(tǒng)信息安全的縱深防御策略，即參照國(guó)際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99，將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域，在區(qū)域之間執(zhí)行管道通信，從而通過管控區(qū)域間管道中的通信內(nèi)容，實(shí)現(xiàn)保證工廠控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的三個(gè)目標(biāo)：通訊可控、區(qū)域隔離和報(bào)警追蹤，進(jìn)而全方位地保障工業(yè)控制系統(tǒng)信息安全。