工控網(wǎng)絡(luò)信息安全系統(tǒng)在集中控制系統(tǒng)中的應(yīng)用與實(shí)踐
2020-08-04
來(lái)源:工業(yè)安全產(chǎn)業(yè)聯(lián)盟
1 工業(yè)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀
工業(yè)控制系統(tǒng)的原始設(shè)計(jì)是以高可靠性,, 高實(shí)時(shí)性,,高控制性為目標(biāo)進(jìn)行設(shè)計(jì)安裝和運(yùn)行的。其中影響系統(tǒng)安全性最大隱患莫過(guò)于內(nèi)部和外部干擾,。隨著計(jì)算網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)普及和發(fā)展,,工業(yè)控制系統(tǒng)包括(DCS,、PLC,、TCS、SCADA)系統(tǒng)網(wǎng)絡(luò)已經(jīng)普及到工業(yè)產(chǎn)業(yè)的所有領(lǐng)域,,其工控系統(tǒng)網(wǎng)絡(luò)及其所承載的數(shù)據(jù)流,、人機(jī)交互UI等空間載體所構(gòu)成工控系統(tǒng)所造成的安全威脅呈現(xiàn)隱蔽性高,、危害性大乃至?xí)绊懙絿?guó)家安全的特點(diǎn)。
目前,,國(guó)內(nèi)外的工控制系統(tǒng)制造企業(yè),,對(duì)其工控系統(tǒng)安全性設(shè)計(jì)、制造,、運(yùn)行和維護(hù),,缺乏統(tǒng)一的設(shè)計(jì)標(biāo)準(zhǔn)和相關(guān)管理規(guī)定;同時(shí),,由于其工程實(shí)施和系統(tǒng)使用偏重于控制系統(tǒng)功能的實(shí)現(xiàn),,對(duì)工控安全意識(shí)的淡薄和輕視,給國(guó)內(nèi)已經(jīng)部署的工控系統(tǒng)造成了很大的安全隱患,。
主要表現(xiàn)在:
1,、缺乏網(wǎng)絡(luò)技術(shù)常識(shí)、設(shè)計(jì),、施工和使用中只注重系統(tǒng)功能的實(shí)現(xiàn),,未考慮其安全的需要和整體規(guī)劃。
2,、缺乏工控安全意識(shí),,研發(fā)、設(shè)計(jì),、施工,、運(yùn)行和維護(hù)中,嚴(yán)重缺乏對(duì)安全的控制和執(zhí)行基本的安全管理規(guī)定,。
3,、工控安全的體系建設(shè)處于摸索和成長(zhǎng)階段,其相關(guān)標(biāo)準(zhǔn)和管理規(guī)定未盡完善,。
這就要求我們不斷的探索工控安全領(lǐng)域的未知,,汲取經(jīng)驗(yàn)和教訓(xùn),在探索中求得共識(shí),,在發(fā)展中取得進(jìn)步,。
2 工控安全研究的內(nèi)容和背景
2.1 背景及意義
工控安全,從世界范圍看,, 作為信息產(chǎn)業(yè)發(fā)展的領(lǐng)導(dǎo)者,,美國(guó)很早就十分重視工控安全。2009年頒布《保護(hù)工業(yè)控制系統(tǒng)戰(zhàn)略》,,涵蓋能源,、電力、交通等14個(gè)行業(yè)工控系統(tǒng)的安全,。而美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院,、能源局則分別發(fā)布了《工業(yè)控制系統(tǒng)安全指南》(SP800-82 2013年推出最新修訂版本)[NIST],、《改進(jìn)SCADA網(wǎng)絡(luò)安全的21項(xiàng)措施》等相關(guān)的工控安全建設(shè)標(biāo)準(zhǔn)指南或最佳實(shí)踐文檔。同時(shí)其國(guó)內(nèi)的傳統(tǒng)信息安全廠商賽門(mén)鐵克,、MCAFEE,、思科以及傳統(tǒng)工控廠商羅克韋爾、通用電氣以及一些新興的專(zhuān)業(yè)安全廠商在工控的安全防護(hù)及產(chǎn)品服務(wù)提供方面也都展開(kāi)了深入研究,、實(shí)踐及產(chǎn)業(yè)化工作,,并總體上處于領(lǐng)先的地位。
在歐洲則以德國(guó)西門(mén)子,、法國(guó)施耐德電氣為代表的工業(yè)控制系統(tǒng)提供商為主,;而工控系統(tǒng)的信息化、智能化以及所帶來(lái)安全問(wèn)題的解決離不開(kāi)工控廠商的支持,,自然西門(mén)子等企業(yè)的市場(chǎng)和技術(shù)優(yōu)勢(shì)也將奠定未來(lái)很長(zhǎng)一段時(shí)間內(nèi)在工控安全領(lǐng)域的領(lǐng)先地位,。
在專(zhuān)業(yè)的工控安全廠商方面,加拿大Tofino(多芬諾)公司曾以其業(yè)內(nèi)著名的工控系統(tǒng)防火墻成為業(yè)內(nèi)領(lǐng)先的工控系統(tǒng)信息安全的專(zhuān)業(yè)廠商,,其產(chǎn)品在石化等多個(gè)行業(yè)應(yīng)用廣泛,。科諾康公司(Codenomicon)則以其用于漏洞發(fā)現(xiàn)的fuzzing 測(cè)試工具而在工控系統(tǒng)安全領(lǐng)域擁有重要的地位,。
在國(guó)內(nèi):自從工信部451號(hào)文發(fā)布之后,,國(guó)內(nèi)各行各業(yè)都對(duì)工控安全的認(rèn)識(shí)提高到一個(gè)新的高度。電力,、石化,、交通、制造,、煙草等多個(gè)行業(yè),,陸續(xù)制定了相應(yīng)的指導(dǎo)性文件,來(lái)指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動(dòng),。國(guó)家標(biāo)準(zhǔn)相關(guān)的組織TC260,、TC124等標(biāo)準(zhǔn)組也已經(jīng)啟動(dòng)了相應(yīng)標(biāo)準(zhǔn)的研究制定工作,最新的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0對(duì)工控安全定級(jí)部分增加了明文規(guī)定,。
在工控安全領(lǐng)域,,一批致力于工控網(wǎng)絡(luò)安全系統(tǒng)設(shè)備國(guó)內(nèi)提供商,在設(shè)備研發(fā)上做出了巨大的努力,。國(guó)內(nèi)的相關(guān)組織和行業(yè)機(jī)構(gòu)也正在為工控安全制定相應(yīng)的指導(dǎo)性文件,。
在國(guó)內(nèi)相關(guān)行業(yè)中,供電及發(fā)電行業(yè)由于其行業(yè)的特點(diǎn)和重要性,,在工控安全領(lǐng)域起步早,,且已經(jīng)形成初步體系,但具體應(yīng)用案例尚未形成群體優(yōu)勢(shì)。在石油,、化工、鋼鐵,、煤礦,、公共事業(yè)中的鐵路、地鐵,、供水,、供氣、供熱等涉及工控系統(tǒng)的行業(yè),,雖然起步晚,,但其應(yīng)用規(guī)模和應(yīng)用范圍相比電力行業(yè)具有明顯的優(yōu)勢(shì)。
上述這些行業(yè)中,,工控安全的重要性是不言而喻的,。其行業(yè)的重要性、網(wǎng)絡(luò)互聯(lián)的規(guī)模,、信息共享的需要又造成了行業(yè)間工控系統(tǒng)信息安全應(yīng)用的不平衡,。
北京能源集團(tuán)有限責(zé)任公司,為了穩(wěn)妥的推進(jìn)工控的安全和建設(shè),,選取必要的現(xiàn)實(shí)場(chǎng)景,,對(duì)國(guó)內(nèi)的工控安全設(shè)備進(jìn)行必要的實(shí)地驗(yàn)證。依據(jù)集團(tuán)京能集團(tuán)辦字[2106]311號(hào)文件《關(guān)于合作建設(shè)工控系統(tǒng)信息安全實(shí)驗(yàn)基地的批復(fù)》和中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)《關(guān)于開(kāi)展CIES工控系統(tǒng)信息安全實(shí)驗(yàn)基地方案測(cè)試工作的通知》,;2016年4月9日中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)和北京華源熱力管網(wǎng)有限公司共同成立的“CIES工控系統(tǒng)信息安全實(shí)驗(yàn)基地”在京舉行了揭牌儀式,。
2017年夏季,共有四個(gè)國(guó)內(nèi)廠家的工控安全產(chǎn)品,,在該實(shí)驗(yàn)基地分別進(jìn)行了測(cè)試和驗(yàn)證,,使大家對(duì)工控安全設(shè)備及其軟件系統(tǒng)功能等方面,有了一個(gè)比較深入的認(rèn)識(shí),。無(wú)論是設(shè)備制造商和參加測(cè)試單位,,對(duì)工控安全系統(tǒng)的認(rèn)識(shí)得到了顯著的提高。在當(dāng)前的背景下,,具有現(xiàn)實(shí)的意義
2.2 集中控制系統(tǒng)安全所面臨的問(wèn)題
不言而喻,,工控集中控制系統(tǒng)相比于非集中控制系統(tǒng)的優(yōu)勢(shì)是非常明顯的,隨著國(guó)內(nèi)的DCS,、SCADA等系統(tǒng)的大規(guī)模工業(yè)化應(yīng)用,,人們發(fā)現(xiàn),在一些特定的領(lǐng)域和條件下,,將分散的DCS,、SCADA等系統(tǒng)通過(guò)網(wǎng)絡(luò)互聯(lián),并將其控制權(quán)集中到一個(gè)控制中心,是一個(gè)非常有意義的選擇,;其最大的特點(diǎn)是可以集中運(yùn)行人員的技術(shù)優(yōu)勢(shì),,多數(shù)據(jù)源的集合和統(tǒng)計(jì)分析實(shí)現(xiàn)對(duì)工控系統(tǒng)優(yōu)化控制和調(diào)度;提高系統(tǒng)運(yùn)行安全性和經(jīng)濟(jì)性,。特別是在國(guó)家電網(wǎng)大力推廣‘泛在物聯(lián)網(wǎng)建設(shè)’的大背景下,,不可避免的向工控安全提出了挑戰(zhàn);從目前的實(shí)際情況分析,,有如下幾個(gè)方面問(wèn)題:
1,、工控的安全具有失控風(fēng)險(xiǎn)
我們大家知道,工控安全在現(xiàn)今條件下,,其安全維護(hù)人員面臨嚴(yán)重的缺位,;人們只是關(guān)心系統(tǒng)正常運(yùn)行和維護(hù),對(duì)于其隱蔽性很強(qiáng)的安全威脅,,對(duì)人員的技術(shù)素質(zhì)要求高,。企業(yè)很難為其提供必要的崗位和合理的薪資。
2,、工控安全設(shè)備和系統(tǒng)尚在探索和不斷完善階段
由于,,工控系統(tǒng)的特殊性,一般認(rèn)為,,現(xiàn)今互聯(lián)網(wǎng)普及的安全設(shè)備無(wú)法完全復(fù)制到工控,;其安全分區(qū)理念所形成的那堵墻,如同一個(gè)高懸的大壩將整個(gè)工控與互聯(lián)進(jìn)行了‘物理隔離’,。使得一大批安全產(chǎn)品研發(fā)企業(yè)前仆后繼去參加這“最后的盛宴”,。走了很多的彎路,至今也無(wú)法形成一群體共識(shí),。
3,、工控相關(guān)管理規(guī)定、制度和標(biāo)準(zhǔn)的缺失
工控安全最缺乏的是沒(méi)有一個(gè)具有針對(duì)性的管理制度或規(guī)定,,盡管行業(yè)管理部門(mén)相繼推出一些指導(dǎo)性文件,,但其可執(zhí)行度差,是不爭(zhēng)的事實(shí),;其相關(guān)指導(dǎo)性意見(jiàn),,涵蓋面大,有些具體措施又難于執(zhí)行,,企業(yè)因此付出的成本又很高,,造成工控安全工作,至今沒(méi)有形成規(guī)模性的部署,,沒(méi)有為大家普遍接受,。
3 工業(yè)集中控制系統(tǒng)安全的實(shí)踐
工業(yè)集中控制系統(tǒng)不同于一般的相對(duì)獨(dú)立的DCS、SCADA系統(tǒng),其最大的特點(diǎn)是網(wǎng)絡(luò)節(jié)點(diǎn)多,,網(wǎng)絡(luò)層級(jí)多,;冗余性要求高。
一般的DCS系統(tǒng),,其網(wǎng)絡(luò)架構(gòu)相對(duì)簡(jiǎn)單,,一個(gè)網(wǎng)絡(luò)IP段就可完全滿(mǎn)足其實(shí)際的需要。其網(wǎng)絡(luò)核心不外乎兩個(gè)冗余核心交換機(jī)組成的上位監(jiān)控管理層和下位數(shù)據(jù)傳輸控制層,;也有一些系統(tǒng)采用了環(huán)網(wǎng)或雙環(huán)網(wǎng)技術(shù)組成了DCS控制系統(tǒng)網(wǎng)絡(luò)架構(gòu),;如圖:
Scada系統(tǒng)的網(wǎng)絡(luò)架構(gòu),,一般遵循比較普遍的星形網(wǎng)絡(luò)架構(gòu)體系,;通過(guò)雙網(wǎng)冗余滿(mǎn)足對(duì)上位監(jiān)控管理層安全需求;其它下位數(shù)據(jù)采集和控制層(PLC或RTU)自成網(wǎng)絡(luò)體系和控制體系,,通過(guò)網(wǎng)絡(luò)專(zhuān)線或數(shù)據(jù)加密認(rèn)證傳輸實(shí)現(xiàn)組網(wǎng),。如圖:
從圖中我們可以看到,DCS系統(tǒng)網(wǎng)絡(luò)與SCADA系統(tǒng)比較相對(duì)簡(jiǎn)單,,但冗余性高,;DCS系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)少,SCADA系統(tǒng)網(wǎng)路節(jié)點(diǎn)多,;DCS系統(tǒng)一般無(wú)需路由器或防火墻配置,;SCADA系統(tǒng)一般需要路由器和防火墻配置;嚴(yán)格意義講SCADA系統(tǒng)就是一種集中控制與數(shù)據(jù)采集系統(tǒng),;
如何將多個(gè)DCS系統(tǒng)或是多個(gè)SCADA系統(tǒng)構(gòu)架成一個(gè)集中控制系統(tǒng),,其安全如何保障,是在我們面前的課題:
3.1 構(gòu)建DCS系統(tǒng)集控網(wǎng)絡(luò)所必備的條件
多個(gè)DCS系統(tǒng)構(gòu)建一個(gè)集中控制網(wǎng)絡(luò)架構(gòu)體系,,必須具備如下幾個(gè)條件,;
1、各個(gè)DCS系統(tǒng)必須進(jìn)行網(wǎng)絡(luò)IP地址的統(tǒng)一規(guī)劃,,要求在DCS系統(tǒng)設(shè)計(jì)時(shí),,設(shè)計(jì)單位或設(shè)備提供商和業(yè)主單位就必須有一個(gè)統(tǒng)一的要求;否則,,事后調(diào)整時(shí),,是一件耗時(shí)、耗人,、耗資源得不償失的事,。
2、在DCS系統(tǒng)與集中控制系統(tǒng)間網(wǎng)絡(luò)通訊線路,,為了保證其有效冗余,,要求其采用專(zhuān)有線路,并采用不同的路徑。集中控制中心網(wǎng)絡(luò)的冗余等級(jí)與dcs系統(tǒng)保持一致,。
3,、必須在集中控制系統(tǒng)網(wǎng)絡(luò)與各DCS系統(tǒng)間增加網(wǎng)絡(luò)路由設(shè)備,以實(shí)現(xiàn)其網(wǎng)絡(luò)間相互訪問(wèn),,不產(chǎn)地址沖突,,便于集控系統(tǒng)的統(tǒng)一部署。
3.2 工業(yè)集中控制系統(tǒng)所必須的安全設(shè)備
工業(yè)集中控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn),,要求我們必須在集中控制網(wǎng)絡(luò)與各DCS系統(tǒng)間增加防火墻(工業(yè)防火墻),,其主要目的是為了在保證集中控制網(wǎng)絡(luò)與各DCS系統(tǒng)間正常通訊的前提下,通過(guò)其路由和策略的配置,,實(shí)現(xiàn)各DCS網(wǎng)絡(luò)系統(tǒng)間,,不因各自的網(wǎng)絡(luò)故障和安全風(fēng)險(xiǎn)波及到集控或其它DCS系統(tǒng)網(wǎng)絡(luò)。對(duì)于各獨(dú)立的DCS系統(tǒng)網(wǎng)絡(luò)和集控網(wǎng)絡(luò),,目前的做法是,,通過(guò)各網(wǎng)絡(luò)交換機(jī)的鏡像功能,部署探針設(shè)備,,將其網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集和分析,;實(shí)現(xiàn)對(duì)其各個(gè)DCS系統(tǒng)網(wǎng)絡(luò)的監(jiān)視。某些情況下,,當(dāng)控制數(shù)據(jù)需要上傳到管理的時(shí)候,,按照國(guó)家現(xiàn)有的要求,一般設(shè)置隔離網(wǎng)閘,,實(shí)現(xiàn)對(duì)工控與管理的單向隔離,。
3.3 工業(yè)集中控制系統(tǒng)所必須的安全策略
3.3.1 工控防火墻的安全策略:
作為工控網(wǎng)絡(luò)邊界安全設(shè)備,其安全策略規(guī)劃和配置合理是確保邊界安全的關(guān)鍵,,一般工業(yè)級(jí)防火墻應(yīng)具有如下功能:
1,、防火墻兼具路由功能,客觀上可以實(shí)現(xiàn)了對(duì)ip地址訪問(wèn)進(jìn)行路由限制,;一般的規(guī)則是只允許集中控制網(wǎng)絡(luò)設(shè)備與各DCS系統(tǒng)可控的設(shè)備實(shí)現(xiàn)路由訪問(wèn),,但各DCS系統(tǒng)間,不能通過(guò)集中控制網(wǎng)絡(luò)進(jìn)行相互訪問(wèn),。
2,、工業(yè)防火墻在集中控制網(wǎng)絡(luò)與Dcs系統(tǒng)網(wǎng)絡(luò)通訊時(shí),具有典型的病毒傳輸攔截功能和網(wǎng)絡(luò)攻擊行為過(guò)濾功能,;
3,、防火墻在集中控制網(wǎng)絡(luò)與Dcs系統(tǒng)網(wǎng)絡(luò)通訊時(shí)進(jìn)行通訊協(xié)議和端口限制;一般情況下,,可采用白名單或黑名單進(jìn)行控制,。
4,、防火墻在集中控制網(wǎng)絡(luò)與Dcs系統(tǒng)網(wǎng)絡(luò)通訊時(shí)對(duì)IP源、目地址進(jìn)行限制,;可采用白名單或黑名單進(jìn)行控制,。
3.3.2 網(wǎng)絡(luò)探針的安全策略:
與防火墻的主動(dòng)防御不同,網(wǎng)絡(luò)探針完成的被動(dòng)防御,;通過(guò)網(wǎng)絡(luò)鏡像數(shù)據(jù)的解析分析,,在病毒層,通訊協(xié)議和端口,,以及源,、目的IP地址,通過(guò)白名單或黑名單實(shí)現(xiàn)對(duì)過(guò)網(wǎng)數(shù)據(jù)的實(shí)時(shí)分析,;當(dāng)發(fā)現(xiàn)問(wèn)題時(shí),,以報(bào)警或報(bào)告的方式通知維護(hù)人員。
3.3.3 單向隔離網(wǎng)閘的安全策略:
單向隔離網(wǎng)閘的安全策略比較簡(jiǎn)單,,只是包括其網(wǎng)閘源側(cè)IP源,、目的及端口號(hào),;網(wǎng)閘目的側(cè)ip源,、目地及端口號(hào);
3.3.4 工控安全集中管理平臺(tái):
考慮到工業(yè)集中控制系統(tǒng)安全設(shè)備多,,部署地域不集中,。部署安全集中管控設(shè)備用于實(shí)現(xiàn)對(duì)整個(gè)集中控制網(wǎng)絡(luò)安全空間的安全設(shè)備和管理是十分必要的。目前,,工業(yè)態(tài)勢(shì)感知安全產(chǎn)品和橫空出世,,也契合工控領(lǐng)域安全管理的實(shí)際需要;包括工控集控系統(tǒng)安全設(shè)備的管理功能,;工業(yè)安全集中管理平臺(tái)應(yīng)可以遠(yuǎn)程管理部署其網(wǎng)絡(luò)中的探針設(shè)備和防火墻,,統(tǒng)一登陸管理各設(shè)備的參設(shè)配置和系統(tǒng)日志查詢(xún)功能;發(fā)現(xiàn)資產(chǎn)和可利用率分析功能,;
1,、各探針和防火墻的非正常數(shù)據(jù)處理和展示功能;態(tài)勢(shì)分析和統(tǒng)計(jì)報(bào)表功能,;
2,、集控安全設(shè)備自身的管理功能,網(wǎng)絡(luò)拓?fù)浜驮O(shè)備運(yùn)行狀態(tài)分析功能,;
3.3.5 單向隔離網(wǎng)閘
單向隔離網(wǎng)閘是工控與管理的邊界防護(hù)設(shè)備,,其具有數(shù)據(jù)單向傳輸1bit回位的特征;一般情況下,,采用其標(biāo)準(zhǔn)配置即可,。
3.4 實(shí)例分析
下圖:為某企業(yè)集中監(jiān)控系統(tǒng)拓?fù)鋱D,。
從圖中我們可以看出,該集中監(jiān)控系統(tǒng)分為兩部分:一是基于三套DCS系統(tǒng)的集中控制部分,;二是基于98套PLC系統(tǒng)的SCADA系統(tǒng)集中監(jiān)控部分,;現(xiàn)分別說(shuō)明;
3.4.1 DCS集中控制系統(tǒng)架構(gòu):
該集中控制網(wǎng)絡(luò)系統(tǒng)由兩臺(tái)核心交換機(jī)組成冗余雙網(wǎng),,配備6臺(tái)操作員站和一臺(tái)工程師站實(shí)現(xiàn)對(duì)下屬一套本地,、兩套異地的DCS系統(tǒng)的集中控制;每套DCS系統(tǒng)由兩臺(tái)上位核心交換機(jī)和下位數(shù)臺(tái)數(shù)據(jù)采集控制設(shè)備組成冗余雙網(wǎng),;每套DCS系統(tǒng)配備了操作員站和工程師站,;
SCADA系統(tǒng)作為單網(wǎng)系統(tǒng),為了保證實(shí)現(xiàn)與DCS系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)交互通過(guò)防火墻與集中控制系統(tǒng)網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián),;三套DCS系統(tǒng)分通過(guò)本地雙絞線,、聯(lián)通和移動(dòng)SDH光纖、自建遠(yuǎn)程雙環(huán)網(wǎng)分別通過(guò)兩臺(tái)工業(yè)防火墻實(shí)現(xiàn)與集中控制網(wǎng)路的冗余連接,。
每套DCS系統(tǒng)的兩臺(tái)核心交換機(jī)上部署了一套網(wǎng)絡(luò)鏡像探針設(shè)備,;其數(shù)據(jù)傳輸回路借用了B網(wǎng)進(jìn)行傳輸。集中控制系統(tǒng)探針由一套網(wǎng)絡(luò)鏡像探針設(shè)備與SCADA核心網(wǎng)絡(luò)設(shè)備共用,。
3.4.2 SCADA集中控制系統(tǒng)架構(gòu)
SCADA集中控制系統(tǒng)由上位核心交換機(jī)組成單網(wǎng),,其下位由不同區(qū)域98套PLC系統(tǒng)組成,每套PLC配備一臺(tái)IPsecVPN防火墻,,通過(guò)聯(lián)通4M匯聚網(wǎng)絡(luò)與SCADA IPsecVPN防火墻實(shí)現(xiàn)隧道連接,;另外五套DCS系統(tǒng)通過(guò)單條網(wǎng)絡(luò)光纖專(zhuān)線與SCADA IPsecVPN防火墻實(shí)現(xiàn)連接實(shí)現(xiàn)DCS數(shù)據(jù)向SCADA系統(tǒng)傳送;將另外一套數(shù)據(jù)干線數(shù)據(jù)采集系統(tǒng)(SCADA)的數(shù)據(jù)通過(guò)單環(huán)網(wǎng)實(shí)現(xiàn)與SCADA IPsecVPN防火墻實(shí)現(xiàn)連接,,實(shí)現(xiàn)SCADA系統(tǒng)間的數(shù)據(jù)傳送,。;
在SCADA網(wǎng)絡(luò)上,,通過(guò)接口服務(wù)器與一臺(tái)單向隔離網(wǎng)閘實(shí)現(xiàn)向上級(jí)單位MES進(jìn)行單向數(shù)據(jù)傳送,。
3.4.3 工控安全集中管理平臺(tái)架構(gòu)
實(shí)現(xiàn)將兩臺(tái)工控防火墻和4臺(tái)網(wǎng)絡(luò)探針設(shè)備的數(shù)據(jù),通過(guò)借用DCS系統(tǒng)B網(wǎng)和專(zhuān)用網(wǎng)絡(luò),,將安全設(shè)備和數(shù)據(jù)匯聚到一個(gè)虛擬專(zhuān)網(wǎng),,在專(zhuān)網(wǎng)上部署一套工業(yè)安全集中管理平臺(tái);用于對(duì)安全設(shè)備的管理和數(shù)據(jù)趨勢(shì)分析,。
4 結(jié)論
工控安全是關(guān)系國(guó)計(jì)民生的重大戰(zhàn)略問(wèn)題,,在當(dāng)今形勢(shì)下,如何對(duì)工控行防護(hù),,防止來(lái)自?xún)?nèi)部,、外部的安全威脅和惡意攻擊,是工控安全領(lǐng)域面臨的重大挑戰(zhàn),。本文在CIES工控實(shí)驗(yàn)基地所取得成果的基礎(chǔ)上,,以三套DCS系統(tǒng)進(jìn)行集中控制位核心,,將SCADA系統(tǒng)與其它系統(tǒng)混合構(gòu)建一套數(shù)據(jù)監(jiān)控系統(tǒng)。應(yīng)用計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)手段實(shí)現(xiàn)工控安全系統(tǒng)的部署,。
工控的安全保障,,任重而道遠(yuǎn);工控安全的實(shí)踐使我們對(duì)其整體建設(shè)思路和后續(xù)發(fā)展方向有了一個(gè)清晰的認(rèn)識(shí),;為今后類(lèi)似系統(tǒng)的建設(shè)提供了依據(jù),。對(duì)于進(jìn)一步增強(qiáng)工控安全,建立健全的安全防護(hù)體系,,具有重大的推動(dòng)作用,。