將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略，參照ANSI/ISA-99標(biāo)準(zhǔn)，同時結(jié)合工業(yè)系統(tǒng)的安全需要，可以將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為下列不同的安全區(qū)域，如圖1所示：

　　·企業(yè)IT網(wǎng)絡(luò)區(qū)域
　　·過程信息/歷史數(shù)據(jù)區(qū)域
　　·管理/HMI區(qū)域
　　·DCS/PLC控制區(qū)域
　　·第三方控制系統(tǒng)區(qū)域，如安全儀表系統(tǒng)SIS

圖1-工業(yè)系統(tǒng)網(wǎng)絡(luò)安全區(qū)域的劃分

　　3.2 基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全

　　針對企業(yè)流程工業(yè)的特點(diǎn)，同時結(jié)合工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，基于縱深防御策略，創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)絡(luò)需要以下五個層面的安全防護(hù)，如圖2所示：

圖2-工業(yè)控制系統(tǒng)信息安全的縱深防御

　　(1)企業(yè)管理層和數(shù)采監(jiān)控層之間的安全防護(hù)

　　在企業(yè)管理層和數(shù)采監(jiān)控層之間加入防火墻，一方面提升了網(wǎng)絡(luò)的區(qū)域劃分，另一方面更重要的是只允許兩個網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對數(shù)采監(jiān)控層的未經(jīng)授權(quán)的非法訪問，同時也防止管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到數(shù)采網(wǎng)絡(luò)。

　　考慮到企業(yè)管理層一般采用通用以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對此部位的安全防護(hù)建議使用常規(guī)的IT防火墻。

　　(2)數(shù)采監(jiān)控層和控制層之間的安全防護(hù)

　　該部位通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號，使用傳統(tǒng)的IT防火墻進(jìn)行防護(hù)時，不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下，防火墻提供的安全保障被降至最低。

　　因此，在數(shù)采監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻，解決OPC通訊采用動態(tài)端口帶來的安全防護(hù)瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會擴(kuò)散到其他網(wǎng)絡(luò)，提升網(wǎng)絡(luò)區(qū)域劃分能力的同時從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。

　　(3)保護(hù)關(guān)鍵控制器

　　考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標(biāo)準(zhǔn)如Modbus等。由于常規(guī)的IT防火墻和網(wǎng)閘等安全防護(hù)產(chǎn)品都不支持工業(yè)通訊協(xié)議，因此，對關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對防火墻進(jìn)行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網(wǎng)絡(luò)通訊流量進(jìn)行管控，可以指定只有某個專有操作站才能訪問指定的控制器；第三方面也可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。

　　(4)隔離工程師站，保護(hù)APC先控站

　　對于網(wǎng)絡(luò)中存在的工程師站和APC先控站，考慮到工程師站和APC節(jié)點(diǎn)在項目實施階段通常需要接入第三方設(shè)備（U盤、筆記本電腦等），而且是在整個控制系統(tǒng)開車的情況下實施，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

　　在工程師站和APC先控站前端增加工業(yè)防火墻，可以將工程師站和APC節(jié)點(diǎn)單獨(dú)隔離，防止病毒擴(kuò)散，保證了網(wǎng)絡(luò)的通訊安全。

　　(5)和第三方控制系統(tǒng)之間的安全防護(hù)

　　使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離后，主要是為了確保兩個區(qū)域之間數(shù)據(jù)交換的安全，管控通訊數(shù)據(jù)，保證只有合法可信的、經(jīng)過授權(quán)的訪問和通訊才能通過網(wǎng)絡(luò)通信管道。同時也提升了網(wǎng)絡(luò)安全區(qū)域劃分能力，有效地阻止了病毒感染的擴(kuò)散。

　　3.3 報警管理平臺

　　報警管理平臺的功能包括集成系統(tǒng)中所有的事件和報警信息，并對報警信息進(jìn)行等級劃分。提供實時畫面顯示、歷史數(shù)據(jù)存儲、報警確認(rèn)、報警細(xì)目查詢、歷史數(shù)據(jù)查詢等功能。報警管理平臺還負(fù)責(zé)捕獲現(xiàn)場所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時排查、分析提供了可靠依據(jù)。

　　3.4 “測試”模式

　　系統(tǒng)工程師可以利用多芬諾工業(yè)防火墻提供的“測試”模式功能，在真正部署防火墻之前，在真實工廠操作環(huán)境中對防火墻規(guī)則進(jìn)行測試。通過分析確認(rèn)每一條報警信息，實現(xiàn)全面的控制功能，從而確保工控需求的完整性和可靠性。

　　四、總結(jié)

　　工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫，本文針對企業(yè)流程工業(yè)的特點(diǎn)，同時結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求以及多芬諾工業(yè)防火墻提供的“測試”模式功能，提出工業(yè)控制系統(tǒng)信息安全的縱深防御策略，即參照國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99，將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域，在區(qū)域之間執(zhí)行管道通信，從而通過管控區(qū)域間管道中的通信內(nèi)容，實現(xiàn)保證工廠控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的三個目標(biāo)：通訊可控、區(qū)域隔離和報警追蹤，進(jìn)而全方位地保障工業(yè)控制系統(tǒng)信息安全。