石化工业控制网络安全分析与防护

着以电力为首的工业行业对网络安全提出了更高要求后，网络隔离产品也开始在工业领域逐渐得到应用。目前，已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来了，其主要的技术原理是从OSI模型的七层上全面断开网络连接，同时采用“2+1”的三模块架构，即内置有两个主机系统，和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离了TCP/IP协议，剥离了应用协议，在安全交换后进行了协议的恢复和重建。通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。在应用层对应用协议进行剥离和重建，消除了应用协议漏洞，并可针对应用协议实现一些细粒度的访问控制。从TCP/IP的OSI数据模型的所有七层断开后，就可以消除目前TCP/IP存在的所有攻击。

点击图片查看大图

图1

（1）、网闸

网闸类产品诞生较早。产品最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来，网闸由于其高安全性，开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。

由于网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统，因此它提供的应用也以通用的互联网功能为主。例如，目前大多数网闸都支持：文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业领域，网闸也开始得到应用和推广。但除了用于办公系统外，当用于隔离控制网络时，由于网闸一般都不支持工业通信标准如OPC、Modbus，用户只能使用其TCP/UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器，并定制通信协议转换接口软件才能实现通信。

（2）、工业网络安全防护网关

工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品，它同样采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是，工业网络安全防护网关提供的应用专门针对控制网络的安全防护，因此它只提供控制网络常用通信功能如OPC、Modbus等，而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离，但不适合办公系统。

工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。

结束语

近几年，因网络病毒引起的工业事件层出不穷，工业网络安全问题已经日益严峻，针对目前我国工业控制系统信息安全面临的严峻形势，2011年10月27日，工信部下发《关于加强工业控制系统信息安全管理的通知》，强调了加强工业控制系统信息安全管理的重要性和紧迫性，并明确了重点领域如：石油石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。石化工业是国家的基础性能源支柱产业，信息安全在任何时期、任何国家地区都备受关注。能源系统的信息安全问题直接威胁到其它行业系统的安全、稳定、经济、优质的运行，影响着系统信息化的实现进程。维护网络安全，确保生产系统的稳定可靠、防止来自内部或外部攻击，采取高安全性的防护措施都是石化信息系统安全不可忽视的组成部分