天融信工業(yè)控制系統(tǒng)安全解決方案

　　工業(yè)控制系統(tǒng)如SCADA系統(tǒng)、DCS系統(tǒng)和PLC等目前已廣泛應(yīng)用于工業(yè)基礎(chǔ)設(shè)施的各個(gè)領(lǐng)域，是工業(yè)自動化的核心組成部分，工業(yè)自動化的中樞神經(jīng)。然而，工業(yè)控制系統(tǒng)自身也存在較多的安全漏洞與隱患，并可能被利用，一旦發(fā)生安全事件，直接造成的影響是生產(chǎn)停滯或設(shè)備損壞，給企業(yè)或市政機(jī)關(guān)帶來較大的經(jīng)濟(jì)損失，更嚴(yán)重的還可能對生產(chǎn)人員的生命、健康產(chǎn)生危害。

　　Stuxnet“震網(wǎng)病毒”事件已對工業(yè)控制系統(tǒng)的安全提出了警示，工業(yè)基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)的安全尤其顯得重要。為保障工業(yè)控制系統(tǒng)的信息安全，2011年9月工業(yè)和信息化部專門發(fā)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)，強(qiáng)調(diào)加強(qiáng)工業(yè)信息安全的重要性、緊迫性，并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。如何對工業(yè)控制系統(tǒng)進(jìn)行有效的安全防護(hù)，并滿足行業(yè)監(jiān)管機(jī)構(gòu)的要求，成為大多數(shù)行業(yè)用戶迫切需要解決的問題。

　　解決思路

　　SCADA、DCS、PLC等工業(yè)控制系統(tǒng)早期都運(yùn)行在相對獨(dú)立、封閉的網(wǎng)絡(luò)中，運(yùn)行獨(dú)特的工業(yè)控制協(xié)議，這些協(xié)議包括：OPC、Profinet、Ethernet/IP、Modbus、CAN等。這些通訊協(xié)議在設(shè)計(jì)之初，對安全方面考慮較少，隨著工業(yè)以太網(wǎng)的逐步推廣與應(yīng)用，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò)中，工業(yè)控制系統(tǒng)信息安全問題日益突出。目前單純從自動控制設(shè)備及工控協(xié)議優(yōu)化的角度來提高工業(yè)控制系統(tǒng)安全性并不現(xiàn)實(shí)，需要針對目前工業(yè)控協(xié)議的脆弱性以及安全防護(hù)關(guān)鍵點(diǎn)進(jìn)行風(fēng)險(xiǎn)分析，并部署相應(yīng)的安全防護(hù)技術(shù)措施和安全產(chǎn)品，輔之以工控網(wǎng)安全管理和運(yùn)維手段的提升，來進(jìn)一步提高工業(yè)控制系統(tǒng)整體安全水平。

　　方案部署

　　通過對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、各應(yīng)用系統(tǒng)間數(shù)據(jù)訪問關(guān)系等進(jìn)行梳理，明確工業(yè)控制網(wǎng)絡(luò)關(guān)鍵安全控制點(diǎn)及控制要素，并根據(jù)需求部署相應(yīng)的安全產(chǎn)品同時(shí)借鑒工業(yè)控制領(lǐng)域國際最佳實(shí)踐或權(quán)威標(biāo)準(zhǔn)、指南等，包括NIST最新發(fā)布的GuidetoIndustrialControlSystems(ICS)Security(工業(yè)控制系統(tǒng)安全指南)和ANSI/ISA最新發(fā)布的ANSI/ISA-99Standards等標(biāo)準(zhǔn)或指南，遵照工信部協(xié)451號文要求等，通過在工業(yè)控制網(wǎng)絡(luò)中部署多功能安全網(wǎng)關(guān)、可信工業(yè)控制安全網(wǎng)關(guān)、可信主機(jī)安全防護(hù)平臺、網(wǎng)絡(luò)與數(shù)據(jù)庫操作行為審計(jì)等安全設(shè)備，綜合防御來自企業(yè)信息網(wǎng)以及監(jiān)控管理層的安全威脅，保障監(jiān)控中心關(guān)鍵設(shè)施及數(shù)據(jù)信息的安全，其中，可信工業(yè)控制安全網(wǎng)關(guān)能夠?qū)I(yè)以太網(wǎng)環(huán)境下工業(yè)控制協(xié)議的深度協(xié)議解析與攻擊防護(hù)，能夠保障監(jiān)控管理層和過程控制層之間數(shù)據(jù)訪問與控制指令的安全性。

　　應(yīng)用案例

　　通過本方案的建設(shè)與實(shí)施，幫組行業(yè)用戶建立起工業(yè)基礎(chǔ)設(shè)施安全保障體系，增強(qiáng)安全風(fēng)險(xiǎn)防范能力，促進(jìn)工業(yè)控制系統(tǒng)安全、穩(wěn)定運(yùn)行，并滿足行業(yè)監(jiān)管機(jī)構(gòu)的合規(guī)要求。該方案目前已在河南中煙、中國化工、華北油田等行業(yè)用戶中得到很好應(yīng)用，并將廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱等涉及國計(jì)民生的工業(yè)基礎(chǔ)設(shè)施安全建設(shè)中。

（轉(zhuǎn)載）