1　安全挑战

工业控制系统如SCADA系统、DCS系统和PLC等目前已广泛应用于工业基础设施的各个领域，是工业自动化的核心组成部分，工业自动化的中枢神经。然而，工业控制系统自身也存在较多的安全漏洞与隐患，并可能被利用，一旦发生安全事件，直接造成的影响是生产停滞或设备损坏，给企业及国家带来较大的经济损失，更严重的还可能对生产人员的生命、健康产生危害。Stuxnet“震网病毒”事件已对工业控制系统的信息安全提出了警示，工业基础设施工业控制系统的信息安全尤其显得重要。为保障工业控制系统的信息安全，2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)，强调工业信息安全的重要性、紧迫性，并明确了重点领域工业控制系统信息安全的管理要求。如何对工业控制系统进行有效的安全防护，并满足行业监管机构的要求，成为大多数行业用户迫切需要解决的问题。

2　解决思路

SCADA、DCS、PLC等工业控制系统早期都运行在相对独立、封闭的网络中，运行独特的工业控制协议，这些协议包括：OPC、Profinet、Ethernet/IP、Modbus、CAN等。这些通讯协议在设计之初，对安全方面考虑较少，随着工业以太网的逐步推广与应用，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，传统IT信息网中的安全威胁已逐步渗透到生产控制网络中，工业控制系统信息安全问题日益突出。目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实，需要针对目前工控协议的脆弱性以及安全防护关键点进行风险分析，并部署相应的安全防护技术措施和安全产品，辅之以工控网安全管理和运维手段的提升，从而进一步提高工业控制系统整体安全水平。

3　方案部署

通过对工业控制系统网络结构、各应用系统间数据访问关系等进行梳理，明确工业控制网络关键安全控制点及控制要素，并根据需求部署相应的安全产品同时借鉴工业控制领域国际最佳实践或权威标准、指南等，包括NIST最新发布的Guide to Industrial Control Systems (ICS) Security(工业控制系统安全指南)和ANSI/ISA最新发布的ANSI/ISA-99 Standards等标准或指南，遵照工信部协451号文要求等，工业控制网络安全防护产品部署拓扑如图1所示。

图1 工业控制网络安全防护产品部署拓扑图

通过在工业控制网络中部署多功能安全网关、可信工业控制安全网关、可信主机安全防护平台、网络与数据库操作行为审计等安全设备，综合防御来自企业信息网以及监控管理层的安全威胁，保障监控中心关键设施及数据信息的安全，其中，可信工业控制安全网关能够对工业以太网环境下工业控制协议的深度协议进行解析与攻击防护，能够保障监控管理层和过程控制层之间数据访问与控制指令的安全性。

4　应用案例

通过本方案的建设与实施，希望帮助行业用户建立起工业基础设施信息安全保障体系，增强安全风险防范能力，促进工业控制系统安全、稳定运行，并满足行业监管机构的合规要求。该方案目前已在河南中烟、中国化工、华北油田等行业用户中得到很好应用，并将广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等涉及国计民生的工业基础设施安全建设中。

作者简介

蓝旭华（1983-），杭州桐庐人，工程师，工学学士，现就职于杭州之山科技有限公司。

摘自《工业控制系统信息安全专刊（第一辑）》