新鄭卷煙廠(chǎng)的控制系統現狀及安全分析
1. 生產(chǎn)控制網(wǎng)絡(luò )現狀
新鄭煙草集團管理信息系統作為公司統一的數據應用平臺和數據庫，已經(jīng)可以做到物流、信息流、價(jià)值流的互通和集成，實(shí)現了業(yè)務(wù)運作流程的高度集成與簡(jiǎn)化，實(shí)現集成、高效、精細的企業(yè)管理。針對整個(gè)工業(yè)集團當前的管理層次和業(yè)務(wù)需要可將整個(gè)信息系統劃分為工廠(chǎng)生產(chǎn)自動(dòng)控制層、生產(chǎn)指揮調度層、工廠(chǎng)經(jīng)營(yíng)管理層、工業(yè)集團公司經(jīng)營(yíng)管理層，通過(guò)相應的信息系統實(shí)現其信息化管理，各層信息系統的目標、功能以及定位明確、清晰，同時(shí)各層信息系統之間高度集成。

其中，各種自動(dòng)化控制組件以及對實(shí)時(shí)數據進(jìn)行采集、監測的過(guò)程控制組件，共同構成的確保工業(yè)基礎設施自動(dòng)化運行、過(guò)程控制與監控的業(yè)務(wù)流程管控系統。其核心組件包括數據采集與監控系統（SCADA）、可編程邏輯控制器（PLC）、遠程終端（RTU）、人機操作界面（HMI），以及確保各組件通信的接口技術(shù)。
生產(chǎn)工業(yè)控制網(wǎng)絡(luò )系統分為三層，底層是工業(yè)控制層網(wǎng)絡(luò )，主要由工業(yè)以太網(wǎng)和現場(chǎng)總線(xiàn)組成，工業(yè)以太網(wǎng)采用星型結構將上位機（操作員站）、PLC 等組成工業(yè)現場(chǎng)的一個(gè)小型局域網(wǎng)；中間層采用環(huán)形網(wǎng)絡(luò )將各個(gè)工業(yè)現場(chǎng)的小型工業(yè)局域網(wǎng)連接起來(lái)，與中控室相連； 上層采用星型結構的工業(yè)以太網(wǎng)由采集服務(wù)器、IH 服務(wù)器、關(guān)系數據庫服務(wù)器、操作員站、 網(wǎng)絡(luò )發(fā)布服務(wù)器等組成小型局域網(wǎng)，由 WEB 發(fā)布服務(wù)器與外界網(wǎng)絡(luò )相連。
2. 控制系統安全分析
目前，安全問(wèn)題已經(jīng)在關(guān)系民計民生的基礎設施行業(yè)得到重視，如工業(yè)、能源、交通、水利以及市政等領(lǐng)域等。一旦工業(yè)控制系統信息安全出現漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，病毒、木馬等威脅正在向工業(yè)控制系統擴散，工業(yè)控制系統信息安全問(wèn)題日益突出。
2010 年 10 月，一種名為“震網(wǎng)”（Stuxnet）的蠕蟲(chóng)病毒導致全球有超過(guò) 4.5 萬(wàn)個(gè)網(wǎng)絡(luò )受 到感染，伊朗、印尼、印度、美國等均有發(fā)生，其中伊朗布什爾核電站因此而推遲發(fā)電。據 稱(chēng)，該病毒是當前首例專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性程序，也被稱(chēng)為“超級工廠(chǎng)病毒”， 目前監測發(fā)現該病毒已開(kāi)始在我國互聯(lián)網(wǎng)上傳播。經(jīng)國家網(wǎng)絡(luò )與信息安全信息通報中心組織國家計算機病毒應急處理中心及瑞星、江民、360、安天等國內防病毒廠(chǎng)商研判，目前該病毒僅針對西門(mén)子公司的工業(yè)控制系統進(jìn)行破壞，對互聯(lián)網(wǎng)用戶(hù)尚未構成實(shí)質(zhì)威脅。
在煙草工業(yè)系統中，隨著(zhù)西門(mén)子公司的工業(yè)控制網(wǎng)絡(luò )在卷煙生產(chǎn)企業(yè)的廣泛應用，其安全問(wèn)題成為影響卷煙企業(yè)正常生產(chǎn)的關(guān)鍵因素。新鄭卷煙廠(chǎng)制絲車(chē)間工業(yè)控制網(wǎng)絡(luò )運行四年期間共發(fā)生通訊中斷、網(wǎng)絡(luò )阻塞、實(shí)時(shí)數據庫數據采集丟失、控制失靈等網(wǎng)絡(luò )安全事件二十 余起，曾造成整條制絲生產(chǎn)線(xiàn)無(wú)法啟動(dòng)和中斷等嚴重影響生產(chǎn)事件。
與傳統的信息系統安全需求不同，工業(yè)網(wǎng)絡(luò )系統設計需要兼顧應用場(chǎng)景與控制管理等多方面因素，以?xún)?yōu)先確保系統的高可用性和業(yè)務(wù)連續性。在這種設計理念的影響下，缺乏有效的工業(yè)安全防御和數據通信保密措施是很多工業(yè)控制系統所面臨的通病。
據權威工業(yè)安全事件信息庫RISI（Repository of Security Incidents）統計，截止2011 年10 月，全球已發(fā)生200余起針對工業(yè)控制系統的攻擊事件。2001 年后，通用開(kāi)發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對ICS系統的攻擊行為出現大幅度增長(cháng)，ICS 系統對于信息安全管理的需求變得更加迫切。

圖3：1982-2009工業(yè)系統攻擊事件
參考工信部協(xié)[2011]451號《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，綜合工業(yè)控制網(wǎng)絡(luò )特點(diǎn)以及工業(yè)環(huán)境業(yè)務(wù)類(lèi)型、組織職能、位置、資產(chǎn)、技術(shù)等客觀(guān)因素，必須對工業(yè) 控制系統構建信息安全管理體系，才能確保工業(yè)控制系統高效穩定的運行。
需求分析
新鄭卷煙廠(chǎng)工業(yè)控制網(wǎng)目前是一個(gè)相對獨立的網(wǎng)絡(luò )，僅有一條線(xiàn)與新鄭卷煙廠(chǎng)的企業(yè)信息網(wǎng)相連，以便于車(chē)間領(lǐng)導上報數據、卷煙廠(chǎng)領(lǐng)導查閱生產(chǎn)數據。企業(yè)信息網(wǎng)是和互聯(lián)網(wǎng)相連的。在工業(yè)控制網(wǎng)中，通過(guò) PLC 收集生產(chǎn)系統的數據，并通過(guò)光纖環(huán)網(wǎng)上傳至數據采集服務(wù)器，整個(gè)網(wǎng)絡(luò )結構大致如下圖所示：

據統計，新鄭卷煙廠(chǎng)工業(yè)控制網(wǎng)網(wǎng)絡(luò )在運行四年期間共發(fā)生通信中斷、網(wǎng)絡(luò )阻塞、實(shí)時(shí) 數據庫采集丟失、控制失靈等網(wǎng)絡(luò )安全事件二十余起，曾造成整體制絲生產(chǎn)線(xiàn)無(wú)法啟動(dòng)和中斷等嚴重影響生產(chǎn)的安全事件。經(jīng)過(guò)事后的分析，發(fā)生上述安全事件的原因是因為工業(yè)控制 網(wǎng)絡(luò )系統感染了計算機病毒，感染了病毒的計算機大量發(fā)布數據包造成了網(wǎng)絡(luò )阻塞、通信中斷等安全事件。
1. 控制網(wǎng)絡(luò )的安全漏洞
根據國家反計算機病毒中心的最新統計截止到 2011 年“震網(wǎng)”病毒(Worm/Stuxnet.x)已經(jīng)悄無(wú)聲息的侵入我國，已經(jīng)導致了部分企業(yè)用戶(hù)遭受其侵害，承受了一定的經(jīng)濟損失。 “震網(wǎng)”病毒(Stuxnet 蠕蟲(chóng)病毒)能夠利用對 windows 系統和西門(mén)子 SIMATIC WinCC 系統的 7 個(gè)漏洞進(jìn)行攻擊。特別是針對西門(mén)子公司的 SIMATIC WinCC 監控與數據采集 (SCADA) 系統進(jìn)行攻擊。 開(kāi)放性為用戶(hù)帶來(lái)的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個(gè)控制網(wǎng)絡(luò )系統，產(chǎn)生安全漏洞的因素是多方面的。
網(wǎng)絡(luò )通信協(xié)議安全漏洞
隨著(zhù) TCP(UDP)/IP 協(xié)議被控制網(wǎng)絡(luò )普遍采用，網(wǎng)絡(luò )通信協(xié)議漏洞問(wèn)題變得越來(lái)越突出。TCP/IP 協(xié)議簇最初設計的應用環(huán)境是美國國防系統的內部網(wǎng)絡(luò )，這一網(wǎng)絡(luò )是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問(wèn)題，并未考慮也無(wú)法兼容解決來(lái)自網(wǎng)絡(luò )中和網(wǎng)際間的大量安全問(wèn)題。當其推廣到社會(huì )的應用環(huán)境后，安全問(wèn)題發(fā)生了。所以說(shuō)，TCP/IP 在先天上就存在著(zhù)致命的安全漏洞。
TCP/IP 協(xié)議簇規定了 TCP/UDP 是基于 IP 協(xié)議上的傳輸協(xié)議，TCP 分段和 UDP 數據包是封裝在 IP 包在網(wǎng)上傳輸的，除了可能面臨 IP 層所遇到的安全威脅外，還存在 TCP/UDP 實(shí)現中的安全隱患。例如，TCP 建立連接時(shí)在客戶(hù)機/服務(wù)器模式的“三次握手”中，假如客 戶(hù)的 IP 地址是假的，是不可達的，那么 TCP 無(wú)法完成該次連接并處于“半開(kāi)”狀態(tài)，攻擊者利用這個(gè)弱點(diǎn)就可以實(shí)施如 SYN Flooding 的拒絕服務(wù)攻擊；TCP 提供可靠連接是通過(guò)初始序列號和鑒別機制來(lái)實(shí)現的。一個(gè)合法的 TCP 連接都有一個(gè)客戶(hù)機/服務(wù)器雙方共享的唯一 序列號作為標識和鑒別。初始序列號一般由隨機數發(fā)生器產(chǎn)生，但問(wèn)題出在很多操作系統在 實(shí)現 TCP 連接初始序列號的方法中，它所產(chǎn)生的序列號并不是真正的隨機，而是一個(gè)具有一定規律、可猜測或計算的數字。對攻擊者來(lái)說(shuō)，猜出了初始序列號并掌握了 IP 地址后， 就可以對目標實(shí)施 IP Spoofing 攻擊，而且極難檢測，危害巨大；而 UDP 是一個(gè)無(wú)連接的控制協(xié)議，極易受 IP 源路由和拒絕服務(wù)型攻擊。
操作系統安全漏洞
PC+Windows 的技術(shù)架構現已成為控制系統上位機/操作站的主流。而在控制網(wǎng)絡(luò )中， 上位機/操作站是實(shí)現與 SCADA 通信的主要網(wǎng)絡(luò )結點(diǎn)，因此其操作系統的漏洞就成為了整個(gè)控制網(wǎng)絡(luò )信息安全中的一個(gè)短板。
應用軟件安全漏洞
處于應用層的應用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣，很難形成統一的防護規范以應對安全問(wèn)題；另一方面最嚴重的是，當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口。例如，要想實(shí)現與操作站 OPC 服務(wù)器軟件的網(wǎng)絡(luò )通信， 控制網(wǎng)絡(luò )就必須完全開(kāi)放 135 端口，這時(shí)防火墻等安全設備已經(jīng)無(wú)能為力了。而實(shí)際上， 不同應用軟件的安全漏洞還不止于此。
目前黑客攻擊應用軟件漏洞常用的方法是“緩沖區溢出”，它通過(guò)向控制終端發(fā)送惡意數據包來(lái)獲取控制權。一旦獲取控制權，攻擊者就可以如在本地一樣去操控遠程操作站上的監控軟件，修改控制參數。
2. 控制網(wǎng)絡(luò )安全隱患
控制網(wǎng)絡(luò )的安全漏洞暴露了整個(gè)控制系統安全的脆弱性。由于網(wǎng)絡(luò )通信協(xié)議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪(fǎng)問(wèn)和操控控制網(wǎng)絡(luò )系統，形成了巨大的安全隱患?？刂凭W(wǎng)絡(luò )系統的安全性同樣符合“木桶原 則”，其整體安全性不在于其最強處，而取決于系統最薄弱之處，即安全漏洞所決定。只要這個(gè)漏洞被發(fā)現，系統就有可能成為網(wǎng)絡(luò )攻擊的犧牲品。
安全漏洞對控制網(wǎng)絡(luò )的隱患體現在惡意攻擊行為對系統的威脅。隨著(zhù)越來(lái)越多的控制網(wǎng)絡(luò )系統通過(guò)信息網(wǎng)絡(luò )連接到互聯(lián)上，這種威脅就越來(lái)越大。目前互聯(lián)網(wǎng)上已有幾萬(wàn)個(gè)黑客站點(diǎn)，黑客技術(shù)不斷創(chuàng )新，基本的攻擊手法已達上千種。這些攻擊技術(shù)一旦被不法之徒掌握， 將產(chǎn)生不良的后果。
對于控制網(wǎng)絡(luò )系統，由于安全漏洞可能帶來(lái)的直接安全隱患有以下幾種。
入侵
系統被入侵是系統常見(jiàn)的一種安全隱患。黑客侵入計算機和網(wǎng)絡(luò )可以非法使用計算機和 網(wǎng)絡(luò )資源，甚至是完全掌控計算機和網(wǎng)絡(luò )?？刂凭W(wǎng)絡(luò )的計算機終端和網(wǎng)絡(luò )往往可以控制諸如大型化工裝置、公用工程設備，甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統，對系統造成一些參數的修改，就可 能導致生產(chǎn)運行的癱瘓，就意味著(zhù)可能利用被感染的控制中心系統破壞生產(chǎn)過(guò)程、切斷整個(gè) 城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著(zhù)近些年來(lái)越來(lái)越多的 控制網(wǎng)絡(luò )接入到互聯(lián)網(wǎng)當中，這種可能就越來(lái)越大。
拒絕服務(wù)攻擊
受到拒絕服務(wù)攻擊是一種危害很大的安全隱患。常見(jiàn)的流量型攻擊如 Ping Flooding、 UDP Flooding 等，以及常見(jiàn)的連接型攻擊如 SYN Flooding、ACK Flooding 等，通過(guò)消耗 系統的資源，如網(wǎng)絡(luò )帶寬、連接數、CPU 處理能力等使得正常的服務(wù)功能無(wú)法進(jìn)行。拒絕 服務(wù)攻擊難以防范的原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò )設備如路由器、交 換機、防火墻等都可以被拒絕服務(wù)攻擊。
控制網(wǎng)絡(luò )一旦遭受?chē)乐氐木芙^服務(wù)攻擊就會(huì )導致操作站的服務(wù)癱瘓，與控制系統的通信完全中斷等?？梢韵胂?，受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò )可能導致網(wǎng)絡(luò )中所有操作站和監控終端無(wú)法進(jìn)行實(shí)時(shí)監控，其后果是非常嚴重的。而傳統的安全技術(shù)對拒絕服務(wù)攻擊幾乎不可避免，缺乏有效的手段來(lái)解決。
病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球范圍內，每年都會(huì )發(fā)生數次大規模的病毒爆發(fā)。目前全球已發(fā)現數萬(wàn)種病毒，并且還在以每天數十余種的速度增長(cháng)。除了傳統意義上的具有自我復制能力但必須寄生在其它實(shí)用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門(mén)、邏輯炸彈、特洛伊木馬、蠕蟲(chóng)、Zombie 等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲(chóng)，從廣義定義來(lái)說(shuō)也是一種病毒，但和傳統病毒相比最大不同在于自我復制過(guò)程。傳統病毒的自我復制過(guò)程需要人工干預，無(wú)論運行感染病毒的實(shí)用程序，或者是打開(kāi)包含宏病毒的郵件等，沒(méi)有人工干預病毒無(wú)法自我完成復制、傳播。但蠕蟲(chóng)卻可以自我獨立完成以下過(guò)程：
● 查找遠程系統：能夠通過(guò)檢索已被攻陷的系統的網(wǎng)絡(luò )鄰居列表或其它遠程系統地址列表找出下一個(gè)攻擊對象。
● 建立連接：能夠通過(guò)端口掃描等操作過(guò)程自動(dòng)和被攻擊對象建立連接，如 Telnet連接等。
● 實(shí)施攻擊：能夠自動(dòng)將自身通過(guò)已經(jīng)建立的連接復制到被攻擊的遠程系統，并運行它。一旦計算機和網(wǎng)絡(luò )染上了惡意代碼，安全問(wèn)題就不可避免。
3. 系統高可用性
對于新鄭卷煙廠(chǎng)工業(yè)控制網(wǎng)來(lái)說(shuō)，直接影響到卷煙廠(chǎng)的生產(chǎn)效率和生產(chǎn)成績(jì)，僅僅對病毒防治是遠遠不夠的。我們從新鄭卷煙廠(chǎng)網(wǎng)絡(luò )拓撲圖上，可以看到，目前數據采集服務(wù)器存在單點(diǎn)故障的可能， 而控制網(wǎng)絡(luò )又采用環(huán)形光纖網(wǎng)絡(luò )，各子系統之間互相影響的風(fēng)險極大。若服務(wù)器的數據庫或操作系統或服務(wù)器硬件發(fā)生故障，更會(huì )嚴重影響整個(gè)工業(yè)控制生產(chǎn)網(wǎng)的正常運轉。所以，應該考慮構建一個(gè)高可靠性、獨立性網(wǎng)絡(luò )，來(lái)保障新鄭卷煙廠(chǎng)工業(yè)控制系統的可持續運行。
方案設計
1. 建設目標
通過(guò)上述對新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)的分析，我們進(jìn)行歸納總結，可以發(fā)現，若要實(shí)現新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)的可持續性運行，需要從技術(shù)和管理兩個(gè)方面同時(shí)來(lái)進(jìn)行完善和加強， 構建一套新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)的信息安全體系。
2. 系統設計方案
分布式管理規劃
目前新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)，沒(méi)有明確的進(jìn)行分域分級管理，整個(gè)網(wǎng)絡(luò )區域邊界不明確， 缺乏必要的網(wǎng)絡(luò )隔離手段，我們首先應將網(wǎng)絡(luò )進(jìn)行網(wǎng)絡(luò )邊界的劃分，以明確保護對象，進(jìn)行訪(fǎng)問(wèn)控制，構建網(wǎng)絡(luò )基本防線(xiàn)。
我們建議在每個(gè)不同的區域之間物理隔離，實(shí)現不同區域之間最基本的網(wǎng)絡(luò )安全防御， 可以有效避免單個(gè)區域感染病毒，其它子系統受到攻擊。如下圖所示：

劃分為4個(gè)安全區域，在各個(gè)安全區域之間放置進(jìn)行物理隔離和數據過(guò)濾。
最上層為企業(yè)信息網(wǎng)，在企業(yè)信息網(wǎng)和工控網(wǎng)之間放置隔離網(wǎng)關(guān)，在兩個(gè)不同安全區域之間進(jìn)行物理隔離。對企業(yè)信息網(wǎng)的合法用戶(hù)對車(chē)間工控網(wǎng)的訪(fǎng)問(wèn)進(jìn)行嚴格的訪(fǎng)問(wèn)控制， 并防止非法用戶(hù)對車(chē)間工控網(wǎng)的訪(fǎng)問(wèn)。
控制網(wǎng)又分為3個(gè)層次，集中監控層，數據采集層和過(guò)程控制層。在集中監控管理層和數據采集子系統之間放置工業(yè)網(wǎng)絡(luò )安全隔離網(wǎng)關(guān)。
安全隔離網(wǎng)關(guān)主要起到控制層與信息層安全隔離作用，安全隔離網(wǎng)關(guān)采用物理隔離和安全通道隔離，將以太網(wǎng)進(jìn)行物理級安全隔離，安全通道隔離即通過(guò)專(zhuān)用通信硬件和私有不可路由協(xié)議等安全機制來(lái)實(shí)現內外部網(wǎng)絡(luò )的隔離和數據交換，有效地把內外部網(wǎng)絡(luò )隔離開(kāi)來(lái)，而且高效地實(shí)現了內外網(wǎng)數據的安全交換。
系統提供多種工業(yè)通信協(xié)議驅動(dòng)接口可供選擇，同時(shí)可提供對國內外主流平臺軟件如： WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等產(chǎn)品的底層快速通 信接口。
信息網(wǎng)與控制網(wǎng)安全隔離
硬件系統“2+1”架構：系統硬件平臺由內網(wǎng)主機系統、外網(wǎng)主機系統、隔離交換系統 三部分組成。內網(wǎng)/外網(wǎng)主機系統分別具有獨立的運算單元和存儲單元，隔離交換系統要求基于 PSL 技術(shù)及相應的隔離加密電路，不受主機系統控制，獨立完成應用數據的封包、擺 渡、拆包，從而實(shí)現內外網(wǎng)之間的數據隔離交換。保證數據交換延遲時(shí)間低于 1ms，從而滿(mǎn)足用戶(hù)對高性能安全隔離的需求。

網(wǎng)絡(luò )化集中管理
智能管理平臺“PSL-Config”： PSL-Config 對網(wǎng)關(guān)提供 2 種管理方式：遠程管理方式和控制臺管理方式。遠程管理是通過(guò)網(wǎng)絡(luò )接口實(shí)現對網(wǎng)關(guān)的管理，包括：聯(lián)機及用戶(hù)登錄、查詢(xún)網(wǎng)關(guān) 狀態(tài)、上傳或下載工程、修改密碼、升級軟件等功能。另一種方式為控制臺管理方式，通過(guò)網(wǎng)關(guān)的控制臺端口（RS232）實(shí)現對網(wǎng)關(guān)的管理。2 種方式的操作方式完全相同。無(wú)論采用哪種方式，pSafetyLink 均提供了嚴格的身份認證來(lái)管理連接權限。
● 遠程管理和維護：配置軟件 PSL-Config 工具是專(zhuān)為 pSafetyLink 系列產(chǎn)品設計的通用智能化配置、管理與調試工具。它基于 Windows NT/2000/XP 平臺，提供基于 XP風(fēng)格的表格化交互式人機界面，采用基于向導的操作模式，操作十分簡(jiǎn)便。
● 模板化測點(diǎn)管理：PSL-Config 對測點(diǎn)除了提供單點(diǎn)配置功能外，還提供了非常適用的模板功能。模板功能可以大大提供用戶(hù)工程組態(tài)的效率，減少組態(tài)的差錯率。對 于 OPC 服務(wù)器，PSL-Config 可自動(dòng)遍歷服務(wù)器所有測點(diǎn)并生成模板。用戶(hù)也可以手工編輯模板然后導入到工程中。
● 斷線(xiàn)緩存：系統支持自動(dòng)網(wǎng)絡(luò )通信負荷平衡功能和斷線(xiàn)數據緩沖功能。
● 在線(xiàn)升級：實(shí)現在大量使用網(wǎng)關(guān)的時(shí)候，能夠對其進(jìn)行統一的管理，升級和必要的運行狀態(tài)的查看。
● 在線(xiàn)監視工具：功能包括：查詢(xún)網(wǎng)關(guān)狀態(tài)、查詢(xún)運行狀態(tài)、在線(xiàn)監視測點(diǎn)數據、在線(xiàn)監視通信報文信息、查詢(xún)授權狀態(tài)、查詢(xún)程序版本信息、查詢(xún)調試信息、查詢(xún)日志信息等。
● 通道狀態(tài)報警：系統診斷子系統實(shí)時(shí)檢測系統內各進(jìn)程、線(xiàn)程的運行狀態(tài)，同時(shí)對關(guān)鍵的硬件模塊進(jìn)行診斷，當發(fā)現異常時(shí)自動(dòng)產(chǎn)生報警信息，并在符合條件的情況下啟動(dòng)自動(dòng)恢復邏輯。
身份安全認證
對工業(yè)安全防護網(wǎng)關(guān)裝置進(jìn)行各種操作（如：修改網(wǎng)關(guān)工程、升級程序、查詢(xún)日志等）時(shí)，要求安全網(wǎng)關(guān)提供嚴格的身份認證來(lái)管理連接權限。工業(yè)安全防護網(wǎng)關(guān)具備兩種連接方式：網(wǎng)絡(luò )方式（以太網(wǎng)接口）和控制臺方式（RS232 接口）。兩種連接方式采用統一的連接權限管理，均需要使用系統管理員帳號登入。要求工業(yè)安全網(wǎng)關(guān)采用基于數字簽名技術(shù)的高安全性認證機制，保證系統的機密性、完整性和不可否認性。
數據測點(diǎn)訪(fǎng)問(wèn)管理
防護網(wǎng)關(guān)內部實(shí)現通信協(xié)議的接口服務(wù)，可以實(shí)現針對測點(diǎn)一級的訪(fǎng)問(wèn)控制。例如：對 于 Modbus/TCP 標準可以控制到具體某個(gè)寄存器，對于 OPC 標準可以控制到 Item（項）一 級。
對測點(diǎn)的訪(fǎng)問(wèn)，工業(yè)安全防護網(wǎng)關(guān)可以指定在控制端允許接入哪些測點(diǎn)，哪些不允許接 入；另一方面，如果信息端存在多個(gè)服務(wù)，可以指定哪些測點(diǎn)允許暴露給哪個(gè)服務(wù)，同時(shí)對哪些測點(diǎn)進(jìn)行屏蔽（信息端無(wú)法訪(fǎng)問(wèn)）。
應急恢復處理機制
工業(yè)安全防護網(wǎng)關(guān)內嵌高性能工業(yè)通信軟件提供完善的系統在線(xiàn)自診斷、故障自動(dòng)恢 復、看門(mén)狗管理等系統功能。
系統診斷子系統實(shí)時(shí)檢測系統內各進(jìn)程、線(xiàn)程的運行狀態(tài)，同時(shí)對關(guān)鍵的硬件模塊進(jìn)行診斷，當發(fā)現異常時(shí)自動(dòng)產(chǎn)生報警信息，并在符合條件的情況下啟動(dòng)自動(dòng)恢復邏輯。
I/O 通信子系統具備完善的故障自動(dòng)恢復功能。當發(fā)生網(wǎng)絡(luò )通信中斷的情況時(shí)，I/O 通 信子系統會(huì )立刻報告通信狀態(tài)位的變化，同時(shí)啟動(dòng)通信重連機制，當網(wǎng)絡(luò )通信恢復后，能迅速重新建立網(wǎng)絡(luò )連接，恢復數據通信。
工業(yè)安全網(wǎng)關(guān)內置軟件看門(mén)狗和硬件看門(mén)狗，時(shí)刻監視系統狀態(tài)，保證裝置的穩定、可靠運行，確保萬(wàn)無(wú)一失并且反應迅速。要求雙側主機均有獨立的看門(mén)狗，保障每側主機的穩定運行。
可行性評估
通過(guò)上述對新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)從技術(shù)和管理兩個(gè)角度的分析和規劃，構建了一套完整的信息安全體系，可以最大化的減少因病毒、漏洞等引起的工業(yè)生產(chǎn)網(wǎng)網(wǎng)絡(luò )故障，保障新鄭卷煙廠(chǎng)工業(yè)生產(chǎn)網(wǎng)的持續性運行，實(shí)現信息安全建設目標。
1. 系統的安全性
控制系統的安全
通過(guò)安全通訊網(wǎng)關(guān)將信息采集層和過(guò)程控制層隔離開(kāi)，所有從信息層下發(fā)的數據都要經(jīng)過(guò)安全通訊網(wǎng)關(guān)的過(guò)濾，確保安全以后才會(huì )提交給 PLC 處 理，防止了網(wǎng)絡(luò )風(fēng)暴對 PLC 不停的訪(fǎng)問(wèn)和攻擊和由病毒引起的誤發(fā)指令，保證了控制系統的安全。
數據采集的安全
新的網(wǎng)絡(luò )結構中將數據采集和處理的任務(wù)交給了各個(gè)子系統的安全通訊網(wǎng)關(guān)，因為通訊是安全通訊網(wǎng)關(guān)的強項，所以能夠保證數據采集和處理的快速穩定的運行。一個(gè)子系統的通訊出現問(wèn)題也不會(huì )影響到其他的系統。
數據存儲的安全
由于實(shí)時(shí)數據庫 IH 服務(wù)器的數據通訊不再需要從監控服務(wù)器中轉，而是直接與各個(gè)子系統的安全網(wǎng)關(guān)通訊，監控系統異常時(shí)，實(shí)時(shí)數據庫系統仍然能夠正常運行，保存生產(chǎn)數據信息，起到黑匣子的作用。
2. 隔離網(wǎng)關(guān)對網(wǎng)絡(luò )通信速度的影響：
設備采用雙對稱(chēng)的4個(gè)10/100/1000M自適應以太網(wǎng)口，信息端和控制端的數據延遲 時(shí)間小于10ms。
● 單機額定容量：10,000～40,000點(diǎn)；
● 額定數據吞吐量：10,000 TPS；
● 峰值數據吞吐量：20,000 TPS；
● 單機額定連接數：控制端512個(gè)，信息端512個(gè)；
● 系統MTBF > 30000小時(shí)
3. 設備管理維護的便捷性：
系統采用遠程在線(xiàn)管理，可通過(guò)遠程管理方式對網(wǎng)關(guān)進(jìn)行監視和配置，提供嚴格的身份認證來(lái)管理連接權限。中心管理平臺軟件提供的監視功能包括：查詢(xún)網(wǎng)關(guān)狀態(tài)、查詢(xún)運行狀 態(tài)、在線(xiàn)監視測點(diǎn)數據、在線(xiàn)監視通信報文信息、查詢(xún)授權狀態(tài)、查詢(xún)程序版本信息、查詢(xún) 調試信息、查詢(xún)日志信息等。
配置功能按照工程方式進(jìn)行配置管理，可以對不同網(wǎng)關(guān)設備的不同現場(chǎng)應用案例分別按照不同的工程進(jìn)行管理。每個(gè)工程包含了一種特定型號網(wǎng)關(guān)針對一個(gè)特定工程應用的全部配 置文件，包括：內嵌數據庫配置、I/O通信配置、網(wǎng)絡(luò )配置、系統參數配置等。每個(gè)工程的配置文件都存放在不同的目錄下。
4. 網(wǎng)絡(luò )隔離技術(shù)與通用防火墻技術(shù)的區別和優(yōu)勢
從數據安全角度來(lái)看，商用網(wǎng)絡(luò )往往對數據的私密性要求很高，要防止信息的泄露，而 控制網(wǎng)絡(luò )強調的是數據的可靠性。另外，商用網(wǎng)絡(luò )的應用數據類(lèi)型極其復雜，傳輸的通信標 準多樣化，如 HTTP、SMTP、FTP、SOAP 等；而控制網(wǎng)絡(luò )的應用數據類(lèi)型相對單一，以 過(guò)程數據為主，傳輸的通信標準以工業(yè)通信標準為主，如 OPC、Modbus 等。
特點(diǎn)
商用網(wǎng)絡(luò )/辦公網(wǎng)絡(luò )
控制網(wǎng)絡(luò )
應用領(lǐng)域
極其廣泛
工業(yè)領(lǐng)域，SCADA
開(kāi)放性
完全開(kāi)放，互聯(lián)網(wǎng)
相對封閉
設備更新
頻繁
不頻繁
系統更新
頻繁
不頻繁
持續可靠性要求
一般
非常高
對待病毒
允許
不允許
應用數據
極其復雜
特定
應用協(xié)議
HTTP、SMTP、FTP、SQL……
OPC、MODBUS、DNP3……
停機對生產(chǎn)的影響
一般，可快速恢復
致命，關(guān)鍵生產(chǎn)環(huán)節停止運行， 生產(chǎn)損失極其嚴重


通過(guò)比較商用網(wǎng)絡(luò )與控制網(wǎng)絡(luò )的差異可以發(fā)現，常規的 IT 網(wǎng)絡(luò )安全技術(shù)都不是專(zhuān)門(mén)針對控制網(wǎng)絡(luò )需求設計的，用在控制網(wǎng)絡(luò )上就會(huì )存在很多局限性。 比如防火墻產(chǎn)品，目前基本是以包過(guò)濾技術(shù)為基礎的，它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過(guò)拒絕放行并丟棄數據包來(lái)實(shí)現自己的安全機制。但防火墻無(wú)法保證準許放行數據的安全性。從實(shí)際應用來(lái)看，防火墻較為明顯的局限性包括以下幾方面：
● 防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò )四層以下 的控制，對于應用層內的病毒、蠕蟲(chóng)都沒(méi)有辦法。
● 防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。
● 防火墻不能防止由自身安全漏洞引起的威脅。
● 防火墻對用戶(hù)不完全透明，非專(zhuān)業(yè)用戶(hù)難于管理和配置，易造成安全漏洞。
● 防火墻很難為用戶(hù)在防火墻內外提供一致的安全策略，不能防止利用標準網(wǎng)絡(luò )協(xié)議中的缺陷進(jìn)行的攻擊，也不能防止利用服務(wù)器系統漏洞所進(jìn)行的攻擊。
● 由于防火墻設置在內網(wǎng)與外網(wǎng)通信的信道上，并執行規定的安全策略，所以防火墻在提供安全防護的同時(shí)，也變成了網(wǎng)絡(luò )通信的瓶頸，增加了網(wǎng)絡(luò )傳輸延時(shí)，如果防火墻出現問(wèn)題，那么內部網(wǎng)絡(luò )就會(huì )受到嚴重威脅。
● 防火墻僅提供粗粒度的訪(fǎng)問(wèn)控制能力。它不能防止數據驅動(dòng)式的攻擊。
另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：
● 由于防火墻本身是基于 TCP/IP 協(xié)議體系實(shí)現的，所以它無(wú)法解決 TCP/IP 協(xié)議體系中存在的漏洞。
● 防火墻只是一個(gè)策略執行機構，它并不區分所執行政策的對錯，更無(wú)法判別出一條合法政策是否真是管理員的本意。從這點(diǎn)上看，防火墻一旦被攻擊者控制，由它保護的整個(gè)網(wǎng)絡(luò )就無(wú)安全可言了。
● 防火墻無(wú)法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。
● 防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目（即防火墻的功能）就越多越細，對 CPU 和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。
● 防火墻準許某項服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應用安全來(lái)解決。 防火墻正是由于這些缺陷與不足，導致目前被攻破的幾率已經(jīng)接近 50%。雖然目前最流行的安全架構是以防火墻為核心的安全體系架構。通過(guò)防火墻來(lái)實(shí)現網(wǎng)絡(luò )的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生網(wǎng)絡(luò )攻擊。僅有防火墻的安全架構是遠遠不夠的。
其它安全技術(shù)如 IDS、VPN、防病毒產(chǎn)品等與產(chǎn)品與防火墻一樣，也都有很強的針對性， 只能管轄屬于自己管轄的事情，出了這個(gè)邊界就不再能發(fā)揮作用。IDS 作為可審查性產(chǎn)品最大的局限性是漏報和誤報嚴重，幾乎不是一個(gè)可以依賴(lài)的安全工具，而是一個(gè)參考工具。漏報等于沒(méi)有報，誤報則是報錯了，這兩個(gè)特點(diǎn)幾乎破壞了入侵檢測的可用性。VPN 作為一 種加密類(lèi)技術(shù)，不管哪種 VPN 技術(shù)，在設計之初都是為了保證傳輸安全問(wèn)題而設計的，而 沒(méi)有動(dòng)態(tài)、實(shí)時(shí)的檢測接入的 VPN 主機的安全性，同時(shí)對其作“準入控制”。這樣有可能因 為一個(gè) VPN 主機的不安全，導致其整個(gè)網(wǎng)絡(luò )不安全。防病毒產(chǎn)品也有局限性，主要是對新病毒的處理總是滯后的，這導致每年都會(huì )大規模地爆發(fā)病毒，特別是新病毒。 網(wǎng)絡(luò )隔離技術(shù)：
在防火墻的發(fā)展過(guò)程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒(méi)有很好地解決。防火墻體系架構在高安全性方面的缺陷，驅使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，網(wǎng)絡(luò )隔離技術(shù)應運而生。
網(wǎng)絡(luò )隔離技術(shù)是安全市場(chǎng)上的一個(gè)分支。在經(jīng)過(guò)漫長(cháng)的市場(chǎng)概念澄清和技術(shù)演變進(jìn)步之 后，市場(chǎng)最終接受了網(wǎng)絡(luò )隔離具有最高的安全性。目前存在的安全問(wèn)題，對網(wǎng)絡(luò )隔離技術(shù)而言在理論上都不存在。這就是各國政府和軍方都大力推行網(wǎng)絡(luò )隔離技術(shù)的主要原因。
網(wǎng)絡(luò )隔離技術(shù)經(jīng)過(guò)了長(cháng)時(shí)間的發(fā)展，目前已經(jīng)發(fā)展到了第五代技術(shù)。第一代隔離技術(shù)采 用完全的隔離技術(shù)，實(shí)際上是將網(wǎng)絡(luò )物理上的分開(kāi)，形成信息孤島；第二代隔離技術(shù)采用硬件卡隔離技術(shù)；第三代隔離技術(shù)采用數據轉發(fā)隔離技術(shù)；第四代隔離技術(shù)采用空氣開(kāi)關(guān)隔離 技術(shù)；第五代隔離技術(shù)采用安全通道隔離技術(shù)。
基于安全通道的最新隔離技術(shù)通過(guò)專(zhuān)用通信硬件和專(zhuān)有安全協(xié)議等安全機制，來(lái)實(shí)現內外部網(wǎng)絡(luò )的隔離和數據交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題，并有效地把內外部網(wǎng)絡(luò )隔離開(kāi)來(lái)，而且高效地實(shí)現了內外網(wǎng)數據的安全交換，透明支持多種網(wǎng)絡(luò )應用，成為當前隔離技術(shù)的發(fā)展方向。
網(wǎng)絡(luò )隔離的指導思想與防火墻也有很大的不同，體現在防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；而網(wǎng)絡(luò )隔離的思路是在必須保證安全的前提下，盡可能支持數據交換，如果不安全則斷開(kāi)。
網(wǎng)絡(luò )隔離技術(shù)主要目標是解決目前信息安全中的各種漏洞：操作系統漏洞、TCP/IP 漏洞、應用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò )隔離是目前唯一能解決上述問(wèn)題的安全技術(shù)。