工控安全隔离与信息交换系统解决方案.pdfVIP

工控安全隔离与信息交换系统 OPC 安全隔离-解决方案 目录 1 项目背景 I 2 需求分析II 3 解决方案 III 4 方案总结IV 1 项目背景 以太网作为一项比较成熟的技术正向自动化领域逐步渗透，从企业决策层、生产管理调 度层向现场控制层延伸。以太网由于采取冲突竞争的传输方式，具有传输不确定性的特点， 但随着带宽的增加、冗余措施的加强和自诊断程序的完善，以太网完全可以满足中小型控制 系统实时性的要求。同时以太网具有相关网络产品价格低廉，开放性好、技术成熟等优点。 目前，Profibus, DeviceNet, ControlNet 和Lonworks 等都使用以太网传送它们的报文，制定现 场装置与以太网通信的标准，使以太网进入工业自动化的现场级。当现场智能设备将现场信 息通过工业以太网传至监控计算机后，存在着信息共享与交互的问题。一方面，监控计算机 内部应用程序需要对现场信息进行处理，另一方面，企业生产管理层需要与监控计算机进行 信息沟通和传递。工控安全隔离网闸的出现则解决了控制系统突破“信息孤岛”的瓶颈问题。 目前国内针对工业控制网络的防护标准尚未成型。公安部会同有关部门也在制定计算机 信息系统安全等级的划分标准和安全等级保护的具体办法。在国际上，美国在2007 年颁布的 Chemical Facility Anti-Terrorism Standards (CFATS)标准以及2008 年颁布的US Chemical Anti-Terrorism Act （美国化学反恐怖主义法）针对化工设备安全做了强制要求。目前，钢铁、 石油，石化、水处理、环保以及制造业都还没有必须按照以上立法规定作业。但是为了避免 重大的风险，基本都遵守行业标准ANSI/ISA-99 Standards 的要求进行规划。ANSI/ISA-99 及 North American Electric Reliability Council (NERC) CIP-005 ，均指出过程控制系统或SCADA 控制网络应与其他系统隔离，包括企业IT 网络。 2 需求分析 典型的工业网络结构由信息层（Information zone ）、操作站层（Station zone）和控制器 层（Controller zone ）三大部分组成。目前的现状是大多数控制网络中在运行的电脑，很少或 没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I / O 功用为主，而 并不提供加强的网络连接安全防护功能。在整个网络中存在多个网络端口切入点需要防护， 并且许多控制网络都是敞开的。不同的子系统之间都没有有效的隔离。尤其是基于OPC、 MODBUS 等通讯的工业控制网络。其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓 延。2010 年爆发的超级工厂病毒就是一个很典型的警示案例。 OPC 作为工业通讯中最常用的一种标准，是基于微软的COM/DCOM 技术。OPC Classic 的核心技术（RPC 和DCOM ）在设计之初未考虑到安全问题，其采用了动态端口分配技术， 在应用过程中端口在1024-65535 间随机使用。这一特性使得基于端口防护的传统的安全手段， 如防火墙、UTM 等设备根本无法进行设置。或者说是失去了其防护作用，其设置是无意义的。 因此不要试图将控制系统放入IT 解决方案中。为了保持工业控制网络的隔离性，需要有针对 性的安全防护。 目前OPC 技术已经在工业现场应用非常普遍，并且随着工业企业信息化程度的不断提高， 企业管理网中的ERP 等管理系统对工业生产网（DCS/SCADA/MES…）的信息的获取需求越 来越多。如何在保障工业生产网能实时将生产数据上传至管理网，消除信息孤岛成为一个亟 待解决的问题。 3 解决方案 信息层与操作站层之间是生产网络