【文章內(nèi)容簡(jiǎn)介】 連，對(duì)于 （ 1） ，雖然考慮了雙網(wǎng)卡配置，管理 信息 網(wǎng)與控制網(wǎng)通過采集站進(jìn)行了隔離，病毒等破壞性程序不能 直接攻擊到控制網(wǎng)絡(luò)，但對(duì)于能夠利用 Windows 系統(tǒng)本身缺陷的網(wǎng)絡(luò)蠕蟲病毒，這種配置幾乎沒有作用，除非能夠把采集站的 Windows 系統(tǒng)的系統(tǒng)漏洞消除在利用該漏洞的蠕蟲病毒攻擊之前，使得蠕蟲病毒無法攻入采集站系統(tǒng)，從而無 法利用采集站作為進(jìn)一步 共計(jì) 的基地 ； 對(duì)于 （ 2）和（ 3） ，病毒 庫及 系統(tǒng)補(bǔ)丁的升級(jí)總是 存在滯后效應(yīng) ， 對(duì)于新型入侵及攻擊無法抵御， 因此還不能完全阻止攻擊； 對(duì)于（ 4）（ 5）項(xiàng)是用戶一直非常頭痛的部分，缺乏有效的解決方案來實(shí)施； 對(duì)于 （ 6）（ 7）（ 8）（ 9）項(xiàng)，基本都是管理方面的內(nèi)容 ， 其 作用在于防止 非計(jì)算機(jī)的人為破壞 因素 。 常規(guī)的 IT網(wǎng)絡(luò)安全技術(shù) 沒有專門針對(duì)控制網(wǎng)絡(luò)需求進(jìn)行規(guī)劃設(shè)計(jì) ， 以上所列 安全措施只是對(duì) 控制 網(wǎng)絡(luò)入侵的一種限制手段，但 無法達(dá)到 網(wǎng)絡(luò)安全的要求，需要 通過專業(yè)網(wǎng)絡(luò)安全 設(shè)備，去限定并且管控有限 的連接， 來 滿足化工裝置對(duì)網(wǎng)絡(luò)安全的要求 。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 控制 網(wǎng)絡(luò) 安全 必須達(dá)到的兩個(gè)目標(biāo) 雖然各個(gè)工廠在針對(duì)控制網(wǎng)絡(luò)安全都采取了在本文檔 施（或者其它更高級(jí)的措施），但我們相信，要保證控制網(wǎng)絡(luò)中基于 PC+Windows方式的操作站（ HMI） 100%免受病毒感染或者其它攻擊是根本不可能的。 這些感染或攻擊的途徑可能來自： ◆來自上層 信息網(wǎng)對(duì)控制網(wǎng) 的攻擊或病毒感染； ◆工程師使用 U盤、光盤 導(dǎo)致的 病毒傳播 ； ◆設(shè)備 維修 時(shí) 筆記本電腦接入 而來； 總結(jié)以上列舉的種種問題，我們認(rèn)為要保證控制網(wǎng)絡(luò)的安全運(yùn)行必須達(dá)到兩個(gè)目標(biāo)： （ 1） 即使 在 控制網(wǎng) 單點(diǎn)出現(xiàn)問題，也能保證 裝置或工廠的安全穩(wěn)定運(yùn)行 對(duì)于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)，我們認(rèn)為最可怕的是病毒的急速擴(kuò)散，它會(huì) 瞬間令整個(gè)網(wǎng)絡(luò)癱瘓，該防護(hù)目標(biāo) 在 于 當(dāng)控制網(wǎng)絡(luò)的某個(gè)局部存在病毒感染或者其它不安全因素時(shí)， 不會(huì)向其它設(shè)備或網(wǎng)絡(luò)擴(kuò)散，從而保證裝置或工廠的安全穩(wěn)定運(yùn)行。 （ 2） 能夠及時(shí)準(zhǔn) 確的確認(rèn)故障點(diǎn)，并排解決問題 怎樣能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)安全的 前提。 ANSI/ISA99區(qū)域防護(hù)概念 解析 目前 國(guó)內(nèi)針對(duì)工業(yè)控制網(wǎng)絡(luò)的防護(hù) 標(biāo)準(zhǔn)尚不成形， 公安部會(huì)同有關(guān)部門 也在制定計(jì)算機(jī)信息系統(tǒng)安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法， 在國(guó)際上，美國(guó)在 2021 年頒布的 Chemical Facility AntiTerrorism Standards (CFATS)標(biāo)準(zhǔn)（該標(biāo)準(zhǔn)由美國(guó)國(guó)土安全部頒布）以及 2021 年頒布的 US Chemical AntiTerrorism Act（美國(guó)化學(xué)反恐怖主義法） 針對(duì)化工設(shè)備安全做了強(qiáng)制要求，目前，石油，水處理以及制造業(yè)都還 沒有必須 按照以上立法規(guī)定作業(yè)，但是為了避免重大的風(fēng)險(xiǎn)， 基本都 遵守 ANSI/ISA99 Standards 的要求 進(jìn)行規(guī)劃 。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 來自國(guó)際 的行業(yè)標(biāo)準(zhǔn)，如 ANSI/ISA99 指出過程控制系統(tǒng)或 SCADA 控制網(wǎng)絡(luò) 的控制網(wǎng)絡(luò)安全要點(diǎn)： 要點(diǎn)名稱 要點(diǎn)描述 達(dá)到目標(biāo) 區(qū)域劃分 具備相同功能和安全要求的設(shè)備在同一區(qū)域內(nèi) 安全等級(jí)分區(qū) 管道建立 實(shí)現(xiàn)區(qū)域間執(zhí)行管道通信 易于控制 通信管控 通過控制 區(qū)域間管道中通信管理控制來實(shí)現(xiàn)設(shè)備保護(hù) 數(shù)據(jù)通信可控 想要滿足這一安全要求， Tofino 是一種經(jīng)濟(jì)高效的方式。 Tofino 能夠用來分離 信息 系統(tǒng)網(wǎng)絡(luò)與過程系統(tǒng)網(wǎng)絡(luò)，分隔不同供應(yīng)商的控制系統(tǒng)，并隔離關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng) ，保護(hù)控制系統(tǒng)底層邊緣設(shè)備（例如 操作站、 控制器等） 。 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 4． Tofino工業(yè) 網(wǎng)絡(luò) 安全解決方案 Tofino 工業(yè)網(wǎng)絡(luò)安全解決方案針對(duì) SCADA 和過程控制系統(tǒng)特別設(shè)計(jì)，旨在為其提供一種分 區(qū) 的安全解決方案。 Tofino 擁有極高的性價(jià)比， 它能夠在工廠車間中建立 深層防護(hù)架構(gòu)，因此，即使有黑客或病毒通過主 要的企業(yè)防火墻，他們也將面對(duì) 基于控制網(wǎng)絡(luò)特點(diǎn)而設(shè)計(jì)的專業(yè) 安全設(shè)備，只有穿過這些設(shè)備才能進(jìn)而造成損害。 Tofino 模塊 采用 Tofino Central Management Platform (CMP，中央管理平臺(tái) )進(jìn)行集中配置、組態(tài)和管理 （可遠(yuǎn)程甚至跨國(guó)使用） ，控制網(wǎng)或企業(yè)網(wǎng)均可以在適當(dāng)位置安裝 CMP。使用 CMP，并裝載各種必要的 Loadable Security Modules (LSMs，可裝載安全軟件插件 )，就可以 實(shí)時(shí)在線 調(diào)整 Tofino 模塊，使之滿足所保護(hù) 區(qū)域及 設(shè)備的安全要求。 Tofino 安全解決方案系統(tǒng)配置示意 LSM能夠?yàn)楣S用戶量身定制的加密，入侵檢測(cè)及控制協(xié)議識(shí)別等安全解決方案。例如，可以將其中一個(gè) Tofino 模塊作為 專有 PLC 網(wǎng)絡(luò)的防火墻，將另FW Module Being Loaded to Appliance PLC Controllers Cluster of DCS Controllers SCADA RTU HMI Station Tofino? Central Management Platform Tofino? Monitoring DCS Network Status Being Sent to CMP Corporate Intra Tofino? Appliance Protecting PLC Tofino? Encrypting Traffic Telco Network Tofino? Firewalling Control System DCS Stations 更多技術(shù)了解訪問 MES/SCADA/DCS/PLC 工業(yè)控制網(wǎng)絡(luò)安全專家 外一個(gè) Tofino 模塊作為網(wǎng)絡(luò) RTU通訊的加密系統(tǒng)。 當(dāng)然，單個(gè) Tofino 模塊可以同時(shí) 裝載多個(gè) LSM，同時(shí)提供多重安全防護(hù)。 Tofino Security System 一方面是一個(gè)完整的分布式的安全解決方案，另一方面又可以簡(jiǎn)單、安全地進(jìn)行集中管理，這些特性使得它成為一款獨(dú)一無二的產(chǎn)品。對(duì)大型工業(yè)企業(yè)來說， Tofino Security System更意味著最佳的安全效益和技術(shù)支持，并不只是簡(jiǎn)單 滿足 了獨(dú)立的關(guān)鍵控制設(shè)備的安全需求。 不同于傳統(tǒng)的 IT 防火墻， Tofino 專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信 安全要求而設(shè)計(jì)。現(xiàn)場(chǎng)技術(shù)人員只需簡(jiǎn)單為 Tofino 接入電源，并連接兩個(gè)網(wǎng)絡(luò)的電纜即可，無需其他任何操作。一旦安裝成功，安全 /技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)，以總攬公司大局的方式對(duì)網(wǎng)絡(luò)威脅作出反應(yīng)。最重要的是， Tofino 既可以靈活運(yùn)用在單純由 PLC 構(gòu)成的小型工廠中，又能夠滿足那些 擁有 成千上萬 個(gè) 設(shè)備并且分布全球各地的大型跨國(guó)公司的使用要求 。 Tofino安全解決方案構(gòu)成 一個(gè)完整的 Tofino 安全解決方案包含以下三部分： Tofino 安全模塊 （ TSA） —— 增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì) ，應(yīng)用于受保護(hù)的 區(qū)域或 控制器 等關(guān)鍵設(shè)備 之前。 下圖為 Tofino 安全模塊 硬件的兩種選型 。 Tofino 可裝載安全軟插件 (LSM)—— 專為 TSA 設(shè)計(jì)的安全軟插件，提供安全服務(wù)，如 工業(yè)通信 防火墻、 事件與報(bào)警管理， OPC/Modbus TCP 通信深度檢查、安全設(shè)備資產(chǎn)管理、 VPN 加密等。 LSM可以直接裝載到 Tofino 安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)。 Tofino 中央管理平臺(tái)（ CMP） —— 窗口化的中央管理平臺(tái)系統(tǒng)及數(shù)據(jù)庫，用于 Tofino 安全模塊的配置、 組態(tài) 和管理 更多技術(shù)了解訪問 MES/SCADA/