1　工業(yè)控制系統之間的通信

   過(guò)去，自動(dòng)化系統是單獨的、封閉的系統，也被稱(chēng)之為自動(dòng)化的孤島，隨著(zhù)對控制實(shí)時(shí)響應速度的不斷提高，以及企業(yè)內部對數據互通等的需要，便增加了很多網(wǎng)絡(luò )，使得控制系統中各個(gè)設備之間可以進(jìn)行網(wǎng)絡(luò )通信。通信方式的增多也就引發(fā)了黑客的攻擊和病毒的入侵。
 
                        

   2　信息安全的實(shí)施

   沒(méi)有任何一種方法可以阻止所有的系統攻擊和病毒入侵，于是，我們需要使用縱深防御的方法增加防護等級。

     （1）  在企業(yè)網(wǎng)與控制網(wǎng)之間加防火墻
 
                         

   （2）在企業(yè)網(wǎng)與控制網(wǎng)之間加帶隔離區防火墻
 
                     

   （3）在企業(yè)網(wǎng)與控制網(wǎng)之間加雙防火墻
 
                   

   （4） 按用戶(hù)要求定制信息安全方案
  
                  

  3　縱深防御的實(shí)施步驟

   （1）使用標準企業(yè)遠程訪(fǎng)問(wèn)方案，基于客戶(hù)機的形式，使用IP安保（IPsec）加密的虛擬個(gè)人網(wǎng)絡(luò )（VPN）技術(shù)，通過(guò)因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對遠程個(gè)人進(jìn)行遠程驗證撥入用戶(hù)服務(wù)（RADIUS），這通常是由IT部門(mén)組織實(shí)施和管理。

   （ 2 ） 使用隔離區（DMZ） / 防火墻中的訪(fǎng)問(wèn)控制列表（ACL），限制遠程伙伴通過(guò)IPsec到工廠(chǎng)現場(chǎng)的訪(fǎng)問(wèn)。通過(guò)隔離區連接到工廠(chǎng)現場(chǎng)，只能使用一種安全瀏覽器（HTTPS）。

   （3）訪(fǎng)問(wèn)一個(gè)安全瀏覽器（HTTPS）門(mén)戶(hù)應用，它運行于隔離區/防火墻上。這要求再次登錄/驗證。

   （4）在遠程客戶(hù)機和工廠(chǎng)的隔離區防火墻之間，使用一種安全套接字層（SSL）的虛擬個(gè)人網(wǎng)絡(luò )（VPN）會(huì )話(huà)，并且限制通過(guò)HTTPS使用遠程終端會(huì )話(huà)（比如，遠程桌面協(xié)議）。

   （5）利用在防火墻上的侵入保護和檢測系統（IPS/IDS），檢查進(jìn)出遠程訪(fǎng)問(wèn)服務(wù)器的數據流，防止攻擊和威脅，并適當地給予阻截。這對防止來(lái)自遠程設備穿越防火墻和影響遠程訪(fǎng)問(wèn)服務(wù)器的病毒和其他威脅是非常重要的。

   （6）允許遠程用戶(hù)執行終端會(huì )話(huà)，訪(fǎng)問(wèn)駐留在遠程訪(fǎng)問(wèn)服務(wù)器中的自動(dòng)化和控制應用。需要應用級的登錄/驗證。

  （7）執行應用安保功能，對訪(fǎng)問(wèn)遠程訪(fǎng)問(wèn)服務(wù)器的用戶(hù)，限制其應用功能（諸如只讀，非在線(xiàn)功能）。

   （ 8 ） 把遠程訪(fǎng)問(wèn)服務(wù)器分配到不同的虛擬局域網(wǎng)（VLAN），并且讓所有在遠程訪(fǎng)問(wèn)服務(wù)器到制造區域之間的數據流通過(guò)防火墻。對這個(gè)數據流使用侵入檢測和保護服務(wù)，保護制造區域免受攻擊、蠕蟲(chóng)和病毒的破壞。

   4　信息安全相關(guān)責任的劃分
 
             

   5　結束語(yǔ)

   • 工業(yè)控制系統的信息安全及應用是工業(yè)安全的大事，為此國家和工信部已經(jīng)發(fā)出了相關(guān)文件，責令工業(yè)企業(yè)以及關(guān)鍵性基礎設施要對信息安全給予高度重視。

   • 希望自動(dòng)化業(yè)界同仁能夠一起努力，確保國民經(jīng)濟的平穩增長(cháng)，確保我們的人身健康、企業(yè)資產(chǎn)、自然環(huán)境能夠可持續、和諧地發(fā)展。