1　工业系统网络结构及安全区域的划分

从总体结构上来讲，工业系统网络可分为三个层次：企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统，一般使用通用以太网，可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设计，完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。

系统的每一个安全漏洞都会导致不同的后果，所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求，在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦发生信息安全事故，就能大大提高工厂生产安全运行的可靠性，同时降低由此带来的其他风险及清除费用。

将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略，参照ANSI/ISA-99标准，同时结合工业系统的安全需要，可以将工业系统网络划分为下列不同的安全区域，如图1所示。企业IT网络区域、过程信息与历史数据区域、管理与HMI区域、DCS与PLC控制区域、第三方控制系统区域。

2　基于纵深防御策略的工业控制系统信息安全

针对企业流程工业的特点，同时结合工业控制系统的网络结构，基于纵深防御策略，创建“本质安全”的工业控制网络需要以下五个层面的安全防护，如图2所示。

（1）企业管理层和数采监控层之间的安全防护

在企业管理层和数采监控层之间加入防火墙，一方面提升了网络的区域划分，另一方面更重要的是只允许两个网络之间合法的数据交换，阻挡企业管理层对数采监控层的未经授权的非法访问，同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网，要求较高的通讯速率和带宽等因素，对此部位的安全防护建议使用常规的IT防火墙。

（2）数采监控层和控制层之间的安全防护

该部位通常使用OPC通讯协议，由于OPC通讯采用不固定的端口号，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至较低。因此，在数采监控层和控制层之间应安装专业的工业防火墙，解决OPC通讯采用动态端口带来的安全防护瓶颈问题，阻止病毒和任何其它的非法访问，这样来自防护区域内的病毒感染就不会扩散到其他网络，提升网络区域划分能力的同时从本质上保证了网络通讯安全。

（3）保护关键控制器

考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议，或者其它工业通信标准，如Modbus等，由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议，因此，对关键控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过，阻挡来自操作站的任何非法访问；另一方面可以对网络通讯流量进行管控，可以指定只有某个专有操作站才能访问指定的控制器；第三方面也可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其它攻击的影响，从而避免控制器死机。

（4）隔离工程师站，保护APC先控站

对于网络中存在的工程师站和APC先控站，考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），而且是在整个控制系统开车的情况下实施，受到病毒攻击和入侵的概率很大，存在较高的安全隐患。

在工程师站和APC先控站前端增加工业防火墙，可以将工程师站和APC节点单独隔离，防止病毒扩散，保证了网络的通讯安全。

（5）和第三方控制系统之间的安全防护

使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离，主要是为了确保两个区域之间数据交换的安全，管控通讯数据，保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时也提升了网络安全区域划分能力，有效地阻止了病毒感染的扩散。

来源：网络