摘要：工業(yè)控制系統已經(jīng)應用到各個(gè)行業(yè)各個(gè)領(lǐng)域，本文主要介紹工控系統中的信息安全解決方案，希望能為行業(yè)用戶(hù)建立起工業(yè)基礎設施安全保障體系，增強安全風(fēng)險防范能力，促進(jìn)工業(yè)控制系統安全、穩定運行，并滿(mǎn)足行業(yè)監管機構的合規要求。

    關(guān)鍵詞：安全技術(shù)；工控系統；解決方案

    Abstract: Industrial control system has been applied to all fields and domains. This paper mainly introduced security scheme of industrial control system. The paper wishes to establish industrial infrastructure security system, promote industrial control system security, and meet compliance requirements of industry regulators.

    Key words: Security technology; Industrial control systems; Solutions 

    1　安全挑戰

     工業(yè)控制系統如SCADA系統、DCS系統和PLC等目前已廣泛應用于工業(yè)基礎設施的各個(gè)領(lǐng)域，是工業(yè)自動(dòng)化的核心組成部分，工業(yè)自動(dòng)化的中樞神經(jīng)。然而，工業(yè)控制系統自身也存在較多的安全漏洞與隱患，并可能被利用，一旦發(fā)生安全事件，直接造成的影響是生產(chǎn)停滯或設備損壞，給企業(yè)及國家帶來(lái)較大的經(jīng)濟損失，更嚴重的還可能對生產(chǎn)人員的生命、健康產(chǎn)生危害。Stuxnet“震網(wǎng)病毒”事件已對工業(yè)控制系統的信息安全提出了警示，工業(yè)基礎設施工業(yè)控制系統的信息安全尤其顯得重要。為保障工業(yè)控制系統的信息安全，2011年9月工業(yè)和信息化部專(zhuān)門(mén)發(fā)文《關(guān)于加強工業(yè)控制系統信息安全管理的通知》(工信部協(xié)[2011]451號)，強調工業(yè)信息安全的重要性、緊迫性，并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全的管理要求。如何對工業(yè)控制系統進(jìn)行有效的安全防護，并滿(mǎn)足行業(yè)監管機構的要求，成為大多數行業(yè)用戶(hù)迫切需要解決的問(wèn)題。

    2　解決思路

    SCADA、DCS、PLC等工業(yè)控制系統早期都運行在相對獨立、封閉的網(wǎng)絡(luò )中，運行獨特的工業(yè)控制協(xié)議，這些協(xié)議包括：OPC、Profinet、Ethernet/IP、Modbus、CAN等。這些通訊協(xié)議在設計之初，對安全方面考慮較少，隨著(zhù)工業(yè)以太網(wǎng)的逐步推廣與應用，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，傳統IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò )中，工業(yè)控制系統信息安全問(wèn)題日益突出。目前單純從自動(dòng)控制設備及工控協(xié)議優(yōu)化的角度來(lái)提高工業(yè)控制系統安全性并不現實(shí)，需要針對目前工控協(xié)議的脆弱性以及安全防護關(guān)鍵點(diǎn)進(jìn)行風(fēng)險分析，并部署相應的安全防護技術(shù)措施和安全產(chǎn)品，輔之以工控網(wǎng)安全管理和運維手段的提升，從而進(jìn)一步提高工業(yè)控制系統整體安全水平。

    3　方案部署

    通過(guò)對工業(yè)控制系統網(wǎng)絡(luò )結構、各應用系統間數據訪(fǎng)問(wèn)關(guān)系等進(jìn)行梳理，明確工業(yè)控制網(wǎng)絡(luò )關(guān)鍵安全控制點(diǎn)及控制要素，并根據需求部署相應的安全產(chǎn)品同時(shí)借鑒工業(yè)控制領(lǐng)域國際最佳實(shí)踐或權威標準、指南等，包括NIST最新發(fā)布的Guide to Industrial Control Systems (ICS) Security(工業(yè)控制系統安全指南)和ANSI/ISA最新發(fā)布的ANSI/ISA-99 Standards等標準或指南，遵照工信部協(xié)451號文要求等，工業(yè)控制網(wǎng)絡(luò )安全防護產(chǎn)品部署拓撲如圖1所示。
 

    通過(guò)在工業(yè)控制網(wǎng)絡(luò )中部署多功能安全網(wǎng)關(guān)、可信工業(yè)控制安全網(wǎng)關(guān)、可信主機安全防護平臺、網(wǎng)絡(luò )與數據庫操作行為審計等安全設備，綜合防御來(lái)自企業(yè)信息網(wǎng)以及監控管理層的安全威脅，保障監控中心關(guān)鍵設施及數據信息的安全，其中，可信工業(yè)控制安全網(wǎng)關(guān)能夠對工業(yè)以太網(wǎng)環(huán)境下工業(yè)控制協(xié)議的深度協(xié)議進(jìn)行解析與攻擊防護，能夠保障監控管理層和過(guò)程控制層之間數據訪(fǎng)問(wèn)與控制指令的安全性。

    4　應用案例

    通過(guò)本方案的建設與實(shí)施，希望幫助行業(yè)用戶(hù)建立起工業(yè)基礎設施信息安全保障體系，增強安全風(fēng)險防范能力，促進(jìn)工業(yè)控制系統安全、穩定運行，并滿(mǎn)足行業(yè)監管機構的合規要求。該方案目前已在河南中煙、中國化工、華北油田等行業(yè)用戶(hù)中得到很好應用，并將廣泛應用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等涉及國計民生的工業(yè)基礎設施安全建設中。

    
    作者簡(jiǎn)介

    藍旭華（1983-），杭州桐廬人，工程師，工學(xué)學(xué)士，現就職于杭州之山科技有限公司。