工业控制系统信息安全的探讨与实现

“纵深防御”策略严格遵循ANSI/ISA-99标准，是提高工业控制系统信息安全的最佳选择。建立“纵深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护，将网络划分为不同的安全区，在安全区之间按照一定规则安装防火墙。

　　建立“纵深防御”策略的两个主要目标：

　　(1)即使在某一点发生网络安全事故，也能保证装置或工厂的正常安全稳定运行

　　对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，该防护目标在于当工业网络 的某个局部存在病毒感染或者其它不安全因素时，不会向其它 设备或网络扩散，从而保证装置或工厂的安全稳定运行。

　　(2)工厂操作人员能够及时准确的确认故障点，并排除问题

　　怎样能够及时发现网络中存在的感染及其他问题，准确找到故障的发生点，是维护控制系统信息安全的前提。

　　三、工业控制系统信息安全的纵深防御

　　3.1 工业系统网络结构及安全区域的划分

　　从总体结构上来讲，工业系统网络可分为三个层次：企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统，一般使用通用以太网，可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设汁，完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。

　　系统的每一个安全漏洞都会导致不同的后果，所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求，在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦发生信息安全事故，就能大大提高工厂生产安全运行的可靠性，同时降低由此带来的其他风险及清除费用。

　　将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略，参照ANSI/ISA-99标准，同时结合工业系统的安全需要，可以将工业系统网络划分为下列不同的安全区域，如图1所示：

　　·企业IT网络区域
　　·过程信息/历史数据区域
　　·管理/HMI区域
　　·DCS/PLC控制区域
　　·第三方控制系统区域，如安全仪表系统SIS

图1-工业系统网络安全区域的划分

　　3.2 基于纵深防御策略的工业控制系统信息安全

　　针对企业流程工业的特点，同时结合工业控制系统的网络结构，基于纵深防御策略，创建“本质安全”的工业控制网络需要以下五个层面的安全防护，如图2所示：

图2-工业控制系统信息安全的纵深防御

　　(1)企业管理层和数采监控层之间的安全防护

　　在企业管理层和数采监控层之间加入防火墙，一方面提升了网络的区域划分，另一方面更重要的是只允许两个网络之间合法的数据交换，阻挡企业管理层对数采监控层的未经授权的非法访问，同时也防止管理层网络的病毒感染扩散到数采网络。

　　考虑到企业管理层一般采用通用以太网，要求较高的通讯速率和带宽等因素，对此部位的安全防护建议使用常规的IT防火墙。

　　(2)数采监控层和控制层之间的安全防护

　　该部位通常使用OPC通讯协议，由于OPC通讯采用不固定的端口号，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至最低。

　　因此，在数采监控层和控制层之间应安装专业的工业防火墙，解决OPC通讯采用动态端口带来的安全防护瓶颈问题，阻止病毒和任何其它的非法访问，这样来自防护区域内的病毒感染就不会扩散到其他网络，提升网络区域划分能力的同时从本质上保证了网络通讯安全。

　　(3)保护关键控制器

　　考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议，或者其它工业通信标准如Modbus等。由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议，因此，对关键的控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过，阻挡来自操作站的任何非法访问；另一方面可以对网络通讯流量进行管控，可以指定只有某个专有操作站才能访问指定的控制器；第三方面也可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其它攻击的影响，从而避免控制器死机。

　　(4)隔离工程师站，保护APC先控站

　　对于网络中存在的工程师站和APC先控站，考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），而且是在整个控制系统开车的情况下实施，受到病毒攻击和入侵的概率很大，存在较高的安全隐患。

　　在工程师站和APC先控站前端增加工业防火墙，可以将工程师站和APC节点单独隔离，防止病毒扩散，保证了网络的通讯安全。

　　(5)和第三方控制系统之间的安全防护

使用工业防火墙将SI