信息时代电厂信息安全的防护措施

       第二道防线：抵御多种威胁的安全网关CONTROL ENGINEERING China版权所有，安全网关的防护严格程度较第一道防线的防火墙的规则更加严格，并且够提供从协议级过滤到应用级过滤。入侵者如果成功穿越防火墙后，想进入更加核心的区域，那么就必须花费更多的时间及精力来进行攻击。

       第三层防线：防病毒软件，普通办公用电脑的攻击价值非常低，一般的入侵者不会对其进行攻击，但是普通办公电脑确实一个攻击的平台，通过木马程序进行控制，非法访问一些服务器，将普通办公电脑当做一个跳板的作用。对于办公电脑来说，经常的使用U盘等移动设备会造成无法通过网络传播的病毒进行扩散。防毒软件能够监察计算机内的恶意程式，包括流行的各种病毒、木马、蠕虫和特洛伊木马，保护企业和用户计算机。

       第四层：控制系统防火墙与IDS(IPS)系统，控制系统防火墙是专门针对工厂生产车间系统及网络部署的一道防火墙。此道防火墙会制定更加严格的规则，开放更加少的端口，避免入侵者从外部对工厂生产车间的网络及系统进行攻击。

       同时，在此层级上由于工厂生产车间的敏感性，为了有效的对网络环境进行监控，在靠近终端设备处同时部署IDS或IPS系统的探测器。IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测病毒和网络异常通信，以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时，会占用大量的工业以太网络带宽，使任务实时性执行出现闯题，IDS入侵检测系统能够及时检测出这种非法的占用，记录下病毒发出的连接，向上层管理计算机发出警告，同时它不影响整体网络的运行性能，非常适合工业以太网的网络特点。

                                                                  图2IDS部署示意图

        IPS(入侵防御系统)设备串接于路由器与防火墙，利用IPS能够快速终结DDOS、未知的蠕虫、异常应用程序流量攻击所造成的网络阻塞，实现对工业以太网的防护，同时它能保护防火墙和核心交换机等网络设备免遭入侵和攻击。IPS会在此类网络攻击扩散到网络的其它地方之前阻止这个恶意的通信，在网络中起到防御的作用。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。这种技术从源头控制了对工业以太网的恶意攻击。具体部署参考图4。

                                                                   图3 IPS入侵防御系统

       通过部署入侵检测系统及入侵防御系统后，工厂信息安全的防护体系基本趋于完善。能够对绝大多数病毒及攻击进行有效的防护。

       第五层：安全可靠的现场设备

        上面的四层都是从外部因素进行防御，做为工厂信息安全的基础部件，现场设备应该进行内部的防御。现场设备在选型时需要进行慎重的选择，避免选择一些功能系统不成熟的产品进行使用。如果已经选择了一些比较老款的产品，企业需注意严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。只有这样，现场设备才能保障自身系统安全。

                                                                     图4 工厂信息安全网络架构

       四区域的划分是按照业务职能和安全需求的不同www.cechina.cn，对网络进行划分，起到隔离、避免病毒任意扩散的作用。制造业企业的工业网络可以按照以下几个区域进行划分：

       区域一：办公网DMZ区域

       DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说就多了一道关卡。

        区域二：办公网络区域在此区域中主要是为普通的办公PC以及不对外开放的企业信息系统，如ERP、PDM等系统服务器的区域。对于攻击者来说，从Internet网是无法直接访问到此区域的电脑及服务器的。

       区域三：工业网络的DMZ区域在此区域中主要存放包括MES系统、工业以太网IDS系统服务器。此区域主要是满足ICS管理与监控需要的需要，还能将实时采集到的终端数据提供给办公网络区域的人员进行访问。

       区域四：满足自动化作业需要的控制区域此区域中主要满足自动化设备，如可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)在内的各种采集器与上层系统(如MES系统)之间的数据传递。

        四、工厂信息安全防护体系的实施

        每种类型的企业对于工厂信息安全的防护要求也有所不同，根据不同类型企业， 采用的防护级别也有所不同。对于包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域应该重点防护。重点防护领域的企业在防护时应该主动进行防护措施，包括完善网络架构，采取工业网络独立运行，并且有备份网络链路的措施。另外，慎重选择工业控制系统设备;严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证;采用双网络架构，有备份链路;有专业人员进行维护;有针对工业以太网安全防护的系统及安全措施。

        对于非重点行业的企业来说，也尽量将办公网与工业以太网分开进行部署。因为目前在工厂内使用自动化程度较高的数控机床的企业越来越多CONTROL ENGINEERING China版权所有，而DNC系统的普及也对网络要求也越来越高，一旦网络出现故障就会导致程序无法传输而影响生产，而且由于数控机床也会采用基于WINDOWS平台的数控系统，因此会受到网络病毒的攻击。因此独立开办公网与工业以太网是非常有必要的。如果能在网络中部署IDS入侵检测系统，是有利于避免因为网络病毒而导致的工厂停工的事件发生。

        小结

        工厂信息安全问题是项系统工程，不能单纯依靠和过分依赖某一种防护技术，任何安全措施都会有不足，各种安全措施能够提高系统安全性，不可能保证系统绝对安全。信息安全问题是伴随人类社会信息化的进程产生和发展的，必将会长期存在下去。这就要求我们时刻不能放松思想，争取在第一时间发现问题，并能够完善地解决问题，尽可能将损失降到最小。