第二道防線：抵御多種威脅的安全網(wǎng)關(guān)CONTROL ENGINEERING China版權(quán)所有，安全網(wǎng)關(guān)的防護(hù)嚴(yán)格程度較第一道防線的防火墻的規(guī)則更加嚴(yán)格，并且夠提供從協(xié)議級(jí)過濾到應(yīng)用級(jí)過濾。入侵者如果成功穿越防火墻后，想進(jìn)入更加核心的區(qū)域，那么就必須花費(fèi)更多的時(shí)間及精力來進(jìn)行攻擊。

        第三層防線：防病毒軟件，普通辦公用電腦的攻擊價(jià)值非常低，一般的入侵者不會(huì)對其進(jìn)行攻擊，但是普通辦公電腦確實(shí)一個(gè)攻擊的平臺(tái)，通過木馬程序進(jìn)行控制，非法訪問一些服務(wù)器，將普通辦公電腦當(dāng)做一個(gè)跳板的作用。對于辦公電腦來說，經(jīng)常的使用U盤等移動(dòng)設(shè)備會(huì)造成無法通過網(wǎng)絡(luò)傳播的病毒進(jìn)行擴(kuò)散。防毒軟件能夠監(jiān)察計(jì)算機(jī)內(nèi)的惡意程式，包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬，保護(hù)企業(yè)和用戶計(jì)算機(jī)。

       第四層：控制系統(tǒng)防火墻與IDS(IPS)系統(tǒng)，控制系統(tǒng)防火墻是專門針對工廠生產(chǎn)車間系統(tǒng)及網(wǎng)絡(luò)部署的一道防火墻。此道防火墻會(huì)制定更加嚴(yán)格的規(guī)則，開放更加少的端口，避免入侵者從外部對工廠生產(chǎn)車間的網(wǎng)絡(luò)及系統(tǒng)進(jìn)行攻擊。

       同時(shí)，在此層級(jí)上由于工廠生產(chǎn)車間的敏感性，為了有效的對網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控，在靠近終端設(shè)備處同時(shí)部署IDS或IPS系統(tǒng)的探測器。IDS是Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測病毒和網(wǎng)絡(luò)異常通信，以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進(jìn)行記錄和處理。由于當(dāng)病毒爆發(fā)時(shí)，會(huì)占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬，使任務(wù)實(shí)時(shí)性執(zhí)行出現(xiàn)闖題，IDS入侵檢測系統(tǒng)能夠及時(shí)檢測出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計(jì)算機(jī)發(fā)出警告，同時(shí)它不影響整體網(wǎng)絡(luò)的運(yùn)行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點(diǎn)。

                                                                  圖2IDS部署示意圖

        IPS(入侵防御系統(tǒng))設(shè)備串接于路由器與防火墻，利用IPS能夠快速終結(jié)DDOS、未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)對工業(yè)以太網(wǎng)的防護(hù)，同時(shí)它能保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會(huì)在此類網(wǎng)絡(luò)攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信，在網(wǎng)絡(luò)中起到防御的作用。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖4。

                                                                   圖3 IPS入侵防御系統(tǒng)

       通過部署入侵檢測系統(tǒng)及入侵防御系統(tǒng)后，工廠信息安全的防護(hù)體系基本趨于完善。能夠?qū)^大多數(shù)病毒及攻擊進(jìn)行有效的防護(hù)。

        第五層：安全可靠的現(xiàn)場設(shè)備

       上面的四層都是從外部因素進(jìn)行防御，做為工廠信息安全的基礎(chǔ)部件，現(xiàn)場設(shè)備應(yīng)該進(jìn)行內(nèi)部的防御。現(xiàn)場設(shè)備在選型時(shí)需要進(jìn)行慎重的選擇，避免選擇一些功能系統(tǒng)不成熟的產(chǎn)品進(jìn)行使用。如果已經(jīng)選擇了一些比較老款的產(chǎn)品，企業(yè)需注意嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。只有這樣，現(xiàn)場設(shè)備才能保障自身系統(tǒng)安全。

                                                                     圖4 工廠信息安全網(wǎng)絡(luò)架構(gòu)

        四區(qū)域的劃分是按照業(yè)務(wù)職能和安全需求的不同www.cechina.cn，對網(wǎng)絡(luò)進(jìn)行劃分，起到隔離、避免病毒任意擴(kuò)散的作用。制造業(yè)企業(yè)的工業(yè)網(wǎng)絡(luò)可以按照以下幾個(gè)區(qū)域進(jìn)行劃分：

         區(qū)域一：辦公網(wǎng)DMZ區(qū)域

        DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說就多了一道關(guān)卡。

       區(qū)域二：辦公網(wǎng)絡(luò)區(qū)域在此區(qū)域中主要是為普通的辦公PC以及不對外開放的企業(yè)信息系統(tǒng)，如ERP、PDM等系統(tǒng)服務(wù)器的區(qū)域。對于攻擊者來說，從Internet網(wǎng)是無法直接訪問到此區(qū)域的電腦及服務(wù)器的。

       區(qū)域三：工業(yè)網(wǎng)絡(luò)的DMZ區(qū)域在此區(qū)域中主要存放包括MES系統(tǒng)、工業(yè)以太網(wǎng)IDS系統(tǒng)服務(wù)器。此區(qū)域主要是滿足ICS管理與監(jiān)控需要的需要，還能將實(shí)時(shí)采集到的終端數(shù)據(jù)提供給辦公網(wǎng)絡(luò)區(qū)域的人員進(jìn)行訪問。

       區(qū)域四：滿足自動(dòng)化作業(yè)需要的控制區(qū)域此區(qū)域中主要滿足自動(dòng)化設(shè)備，如可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)在內(nèi)的各種采集器與上層系統(tǒng)(如MES系統(tǒng))之間的數(shù)據(jù)傳遞。

        四、工廠信息安全防護(hù)體系的實(shí)施

        每種類型的企業(yè)對于工廠信息安全的防護(hù)要求也有所不同，根據(jù)不同類型企業(yè)， 采用的防護(hù)級(jí)別也有所不同。對于包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域應(yīng)該重點(diǎn)防護(hù)。重點(diǎn)防護(hù)領(lǐng)域的企業(yè)在防護(hù)時(shí)應(yīng)該主動(dòng)進(jìn)行防護(hù)措施，包括完善網(wǎng)絡(luò)架構(gòu)，采取工業(yè)網(wǎng)絡(luò)獨(dú)立運(yùn)行，并且有備份網(wǎng)絡(luò)鏈路的措施。另外，慎重選擇工業(yè)控制系統(tǒng)設(shè)備;嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證;采用雙網(wǎng)絡(luò)架構(gòu)，有備份鏈路;有專業(yè)人員進(jìn)行維護(hù);有針對工業(yè)以太網(wǎng)安全防護(hù)的系統(tǒng)及安全措施。

       對于非重點(diǎn)行業(yè)的企業(yè)來說，也盡量將辦公網(wǎng)與工業(yè)以太網(wǎng)分開進(jìn)行部署。因?yàn)槟壳霸诠S內(nèi)使用自動(dòng)化程度較高的數(shù)控機(jī)床的企業(yè)越來越多CONTROL ENGINEERING China版權(quán)所有，而DNC系統(tǒng)的普及也對網(wǎng)絡(luò)要求也越來越高，一旦網(wǎng)絡(luò)出現(xiàn)故障就會(huì)導(dǎo)致程序無法傳輸而影響生產(chǎn)，而且由于數(shù)控機(jī)床也會(huì)采用基于WINDOWS平臺(tái)的數(shù)控系統(tǒng)，因此會(huì)受到網(wǎng)絡(luò)病毒的攻擊。因此獨(dú)立開辦公網(wǎng)與工業(yè)以太網(wǎng)是非常有必要的。如果能在網(wǎng)絡(luò)中部署IDS入侵檢測系統(tǒng)，是有利于避免因?yàn)榫W(wǎng)絡(luò)病毒而導(dǎo)致的工廠停工的事件發(fā)生。

       小結(jié)

       工廠信息安全問題是項(xiàng)系統(tǒng)工程，不能單純依靠和過分依賴某一種防護(hù)技術(shù)，任何安全措施都會(huì)有不足，各種安全措施能夠提高系統(tǒng)安全性，不可能保證系統(tǒng)絕對安全。信息安全問題是伴隨人類社會(huì)信息化的進(jìn)程產(chǎn)生和發(fā)展的，必將會(huì)長期存在下去。這就要求我們時(shí)刻不能放松思想，爭取在第一時(shí)間發(fā)現(xiàn)問題，并能夠完善地解決問題，盡可能將損失降到最小。