【正文】 滿足 了獨立的關(guān)鍵控制設(shè)備的安全需求。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 4． Tofino工業(yè) 網(wǎng)絡(luò) 安全解決方案 Tofino 工業(yè)網(wǎng)絡(luò)安全解決方案針對 SCADA 和過程控制系統(tǒng)特別設(shè)計，旨在為其提供一種分 區(qū) 的安全解決方案。數(shù)采系統(tǒng)的采集站直接與現(xiàn)場裝置 DCS 相連，對于 （ 1） ，雖然考慮了雙網(wǎng)卡配置，管理 信息 網(wǎng)與控制網(wǎng)通過采集站進行了隔離，病毒等破壞性程序不能 直接攻擊到控制網(wǎng)絡(luò)，但對于能夠利用 Windows 系統(tǒng)本身缺陷的網(wǎng)絡(luò)蠕蟲病毒，這種配置幾乎沒有作用，除非能夠把采集站的 Windows 系統(tǒng)的系統(tǒng)漏洞消除在利用該漏洞的蠕蟲病毒攻擊之前，使得蠕蟲病毒無法攻入采集站系統(tǒng)，從而無 法利用采集站作為進一步 共計 的基地 ； 對于 （ 2）和（ 3） ，病毒 庫及 系統(tǒng)補丁的升級總是 存在滯后效應(yīng) ， 對于新型入侵及攻擊無法抵御， 因此還不能完全阻止攻擊； 對于（ 4）（ 5）項是用戶一直非常頭痛的部分，缺乏有效的解決方案來實施； 對于 （ 6）（ 7）（ 8）（ 9）項，基本都是管理方面的內(nèi)容 ， 其 作用在于防止 非計算機的人為破壞 因素 。拒絕服務(wù)攻擊 非常 難以防范 ， 原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備如路由器、交換機、 IT 防火墻等都可以被拒絕服務(wù)攻擊。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 基于 Windows 平臺的 PC 廣泛應(yīng)用，病毒也隨之而泛濫 。這是目前第一個針對工控系統(tǒng)展開攻擊的計算機病毒，目前已經(jīng)對伊朗國內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響， Stux 可以說是計算機病毒界革命性創(chuàng)新，給我們控制系統(tǒng)網(wǎng)絡(luò)安全帶來新警示。, Ether? 及 TCP/IP，現(xiàn)場總線技術(shù)，OPC 等技術(shù) 的應(yīng)用 使工業(yè)設(shè)備接口 越來越開放 ，減弱了控制系統(tǒng)及 SCADA 系統(tǒng)等與外界的隔離。 但是，越來越多的案例表明，來自商業(yè)網(wǎng)絡(luò)、 因特 網(wǎng) 以及其它因素導(dǎo)致 的網(wǎng)絡(luò)安全問題正逐漸 在 控制系統(tǒng)及 SCADA 系統(tǒng) 中擴散 ， 直接 影響了工業(yè) 穩(wěn)定 生產(chǎn)及人身安全。 ◆ 控制系統(tǒng)網(wǎng)絡(luò)是可以被攻擊 的 越來越多的控制系統(tǒng)操作站平臺是基于 Windows 平臺， U盤，維修人員的筆記本接入，信息網(wǎng)絡(luò)的病毒感染等都可以實現(xiàn)對控制網(wǎng)絡(luò)的攻擊 ； ◆ 控制系統(tǒng)網(wǎng)絡(luò)需要有病毒 及黑客 入侵防護 ； ◆ 需要實施一個縱深防御策略來保證控制系統(tǒng)的穩(wěn)定運 行 ； 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 3． 目前工廠控制系統(tǒng)網(wǎng)絡(luò)防護分析 網(wǎng)絡(luò)情況概述 伴隨國家工業(yè)化、信息化的兩化融合，石化企業(yè)提出管控一體化規(guī)劃，基于實時數(shù)據(jù)庫 應(yīng)用的 MES 系統(tǒng)在 各大企業(yè) 得到大力推廣。全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)?？刂凭W(wǎng)絡(luò)一旦遭受嚴重的拒絕服務(wù)攻擊就會導(dǎo)致 嚴 重后果 ， 輕則 控制系統(tǒng)的通信完全中斷 ，重則可導(dǎo)致控制器死機 等。 常規(guī)的 IT網(wǎng)絡(luò)安全技術(shù) 沒有專門針對控制網(wǎng)絡(luò)需求進行規(guī)劃設(shè)計 ， 以上所列 安全措施只是對 控制 網(wǎng)絡(luò)入侵的一種限制手段，但 無法達到 網(wǎng)絡(luò)安全的要求，需要 通過專業(yè)網(wǎng)絡(luò)安全 設(shè)備，去限定并且管控有限 的連接， 來 滿足化工裝置對網(wǎng)絡(luò)安全的要求 。 Tofino 擁有極高的性價比， 它能夠在工廠車間中建立 深層防護架構(gòu)，因此，即使有黑客或病毒通過主 要的企業(yè)防火墻，他們也將面對 基于控制網(wǎng)絡(luò)特點而設(shè)計的專業(yè) 安全設(shè)備，只有穿過這些設(shè)備才能進而造成損害。 不同于傳統(tǒng)的 IT 防火墻， Tofino 專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信 安全要求而設(shè)計。 Tofino 中央管理平臺（ CMP） —— 窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于 Tofino 安全模塊的配置、 組態(tài) 和管理 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 Tofino安全模塊（ TSA100 ） Tofino安全模塊（ TSA220） Tofino中央管理平臺界面截圖 Tofino安全解決方案達到的目 標 區(qū)域隔離 ： Tofino 工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信 ， 這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到其它部分 。 。 Tofino 中央管理平臺（ CMP） —— 窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于 Tofino 安全模塊的配置、組態(tài) 和管理 ，界面參照下面截圖： 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 Tofino中央管理平臺界面截圖 Tofino OPC 通訊防護解決方案架構(gòu)圖 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 OPC Classic Enforcer 防護原理 OPC Classic Enforcer 一個可加載的軟插件，具備 OPC 防火墻的功能， 利用協(xié)議深層檢測技術(shù)來幕后管理 OPC 的交連通訊 （ 1） OPC Enforcer 接受從客戶端發(fā)連接的請求，并檢查： 它是否發(fā)給經(jīng)批準的服務(wù)器 ； 它是否來自認可的客戶端 ； 它是否一個 OPC 正確的請求訊息格式 ； （ 2） OPC Enforcer 隨后審查 從服務(wù)器返回的訊息 ， 并檢查： 它是否一個 OPC 正確的返回 信息 格式 ； 它是否返回給發(fā)出請求的客戶端 ； 服務(wù)器告訴客戶端去使用哪個 TCP 端口 ； （ 3） OPC Enforcer 僅針對正確的 OPC連接開放 TCP端口 , 并設(shè)定以下限制 : 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 只容許該客戶端和這服務(wù)器之間的通信 ； 只容許該客戶端使用此指定的端口通信 ； 只容許正確的 TCP 通訊發(fā)生在 特定連接的 時間內(nèi) ； （ 4） OPC Enforcer 阻擋一切 非 OPC 標準 的通訊 請求： 阻止一切沒有 OPC 標準格式的 DCE/RPC 訪問請求 ； 阻止 嘗試使用 其它 TCP 端口號 的通訊連接； 試圖“借用”其它 客戶端或服務(wù)器的端口號 ； 阻止其它一切 黑客、蠕蟲、病毒等 非法的訪問 ； （ 4） Tofino OPC Enforcer優(yōu)勢： 在 OPC 工業(yè)協(xié)議上最先應(yīng)用“連接跟蹤技術(shù)” ； Tofino 的 ‘Sanity Check’ 檢查功能，可攔阻任何不符合 OPC 標準格式的 DCE/RPC 訪問 ； OPC 通訊權(quán)限管理 ， OPC 協(xié)議深度檢查，管控通訊安全 ； 只在所跟蹤的 TCP 端口有需要時，防火墻才短暫地打開 ； 可支持多個 OPC 客戶端和服務(wù)器同時 使用 ； 簡單易用 ， 在 OPC 服務(wù)器或客戶端上并不需要做任何變化和改動只是在通訊網(wǎng)線中間加入即可 ； 可支持 OPC DA, HDA 和 Aamp。 1 Power Adapter DC24 PATSA01 電源適配器 DC24V DC24電源適配器， 2臺構(gòu)成冗余結(jié)構(gòu)。 C，防護等級 IP20。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 操作站層 防護解決方案架構(gòu)圖 操作站層防護 部署及 原理 （ 1）將所有操作站進行分組， 例如可 將工程師站 、 OPC Server 站 以及高級應(yīng)用先控站這三個節(jié)點獨立分為一個區(qū)域，該區(qū)域所有通訊均由 Tofino 防火墻進行過濾。 4 Tofino Argon Event Logger LSM 事件報警插件