立足場景應用，談化工行業(yè)邊界安全防護

行業(yè)背景

化工行業(yè)作為國家重要的支柱產(chǎn)業(yè)，其行業(yè)具有高溫、高壓、易燃、易爆、易腐蝕等特殊性，屬于典型的技術密集型企業(yè)，生產(chǎn)連續(xù)性很強，裝置和重要設備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失，因此生產(chǎn)過程控制大多采用 DCS 等先進的控制系統(tǒng)，為此化工行業(yè)工控系統(tǒng)網(wǎng)絡安全的重要性更顯得尤為突出。

在2019年發(fā)布的等保2.0（第二級和第三級）基本要求中“工業(yè)控制系統(tǒng)安全擴展要求”第7.5.2.1及8.5.2.1條“網(wǎng)絡架構”分別提出要求“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域，區(qū)域間應采用技術隔離手段”，“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域，區(qū)域間應采用單向的技術隔離手段”。工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》第“三、 邊界安全防護”中“（三）通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護”。

綜合上述要求，工業(yè)企業(yè)的工業(yè)控制系統(tǒng)在與其他系統(tǒng)進行連接時需要采用技術隔離手段，以保護工業(yè)控制系統(tǒng)的邊界安全。從IEC 62264-1層次模型進行分析，網(wǎng)絡安全邊界在生產(chǎn)管理層與過程監(jiān)控層之間，我們暫時稱之為生產(chǎn)管理層的層級邊界。

需求分析

隨著國家“兩化融合”“數(shù)字化轉型”“化工云”等相關政策、指導文件的發(fā)布，化工企業(yè)開始根據(jù)自身情況進行生產(chǎn)技術改革，生產(chǎn)裝置優(yōu)化系統(tǒng)、專家系統(tǒng)已不能滿足對整體化工生產(chǎn)工藝綜合優(yōu)化、提質的需求。MES系統(tǒng)、行業(yè)云等智能制造解決方案逐漸在化工企業(yè)中擴大，解決生產(chǎn)環(huán)節(jié)綜合調度、信息對稱、精細化管理、能耗優(yōu)化等問題。

安盟信息依據(jù)對化工企業(yè)豐富的網(wǎng)絡安全建設經(jīng)驗和大量的實踐經(jīng)驗，對化工行業(yè)MES系統(tǒng)、行業(yè)云等智能制造解決方案綜合分析，化工企業(yè)的生產(chǎn)裝置（DCS系統(tǒng)）工業(yè)段存在與MES系統(tǒng)、化工云等上層平臺進行密切的數(shù)據(jù)交換過程。生產(chǎn)裝置工藝段有完整的DCS系統(tǒng)，且有SIS系統(tǒng)、CCS系統(tǒng)與之相輔相成，屬于相對獨立的網(wǎng)絡系統(tǒng)，對上層平臺多采用OPC 的標準接口提供生產(chǎn)及告警信息。針對生產(chǎn)管理層級邊界的網(wǎng)絡安全防護即可實現(xiàn)對化工行業(yè)生產(chǎn)裝置工藝段的防護，又可對MES系統(tǒng)、化工云等上層平臺帶來可靠的、穩(wěn)定的數(shù)據(jù)源。

解決方案

1.建設目標

依照此次解決方案設計，可使企業(yè)工控系統(tǒng)實現(xiàn)對黑客、病毒、惡意代碼等高風險抵御，阻止內部/外部人員的非法訪問，工控系統(tǒng)中的關鍵生產(chǎn)數(shù)據(jù)信息單向上傳到生產(chǎn)管理網(wǎng)絡的MES系統(tǒng)、化工云中，防范來自生產(chǎn)管理網(wǎng)絡或辦公網(wǎng)絡（互聯(lián)網(wǎng)）的非法入侵和攻擊。

 建設目標和主要任務如下：

• 抵御生產(chǎn)管理網(wǎng)絡或辦公網(wǎng)絡（互聯(lián)網(wǎng)）發(fā)起的惡意攻擊和破壞。

• 防止勒索病毒、木馬等惡意程序從邊界傳播，對工控關鍵系統(tǒng)造成不利影響和破壞。

• 實現(xiàn)數(shù)據(jù)采集鏈路間的高安全隔離與訪問控制。

• 做好邊界安全防護，保障工控系統(tǒng)的安全、可靠、穩(wěn)定運行。

   

2.技術路線

解決方案主要實現(xiàn)企業(yè)工控系統(tǒng)（生產(chǎn)裝置）的關鍵工業(yè)數(shù)據(jù)信息采集，單向上傳到生產(chǎn)管理網(wǎng)絡MES系統(tǒng)、化工云的功能，同時又要做到各生產(chǎn)控制系統(tǒng)安全域與生產(chǎn)管理網(wǎng)絡邊界的安全隔離與訪問控制，因此有如下三種方案可以實現(xiàn)安全防護功能。

• 工業(yè)數(shù)采單向光閘：實現(xiàn)關鍵生產(chǎn)數(shù)據(jù)采集物理單向上傳到生產(chǎn)管理層MES系統(tǒng)（單向光信號，無反饋），同時保障邊界高安全隔離與兩網(wǎng)的訪問控制。

• 工業(yè)網(wǎng)閘：實現(xiàn)兩網(wǎng)邊界安全隔離與訪問控制，可針對工業(yè)協(xié)議進行深度解析與信令級別管控，采用與傳統(tǒng)網(wǎng)閘“數(shù)據(jù)信息擺渡”的原理實現(xiàn)兩網(wǎng)邊界的高安全隔離。

• 工業(yè)防火墻：實現(xiàn)兩網(wǎng)邊界安全隔離與訪問控制，可針對工業(yè)協(xié)議進行深度解析與信令級別管控，“白名單”機制實現(xiàn)兩網(wǎng)邊界的安全隔離。

   

3.方案設計

• 工業(yè)數(shù)采單向光閘方案

工業(yè)數(shù)采單向光閘利用發(fā)光和收光光器件的物理特性，可實現(xiàn)網(wǎng)間數(shù)據(jù)的物理單向上傳。工業(yè)數(shù)采單向光閘采用內網(wǎng)單元+外網(wǎng)單元+光收發(fā)模塊的硬件物理結構，內網(wǎng)單元+外網(wǎng)單元均采用自主設計研發(fā)的多核多線程專用安全操作系統(tǒng)，完全杜絕WINDOWS系列系統(tǒng)由于環(huán)境因素造成的不打補丁、不升級等產(chǎn)生的安全風險。

• 工業(yè)網(wǎng)閘方案

工業(yè)網(wǎng)閘采用“2+1”即內網(wǎng)單元+外網(wǎng)單元+專用隔離卡（FPGA）的硬件物理結構，結合“數(shù)據(jù)信息擺渡”的原理，實現(xiàn)邊界的高安全隔離。內網(wǎng)單元+外網(wǎng)單元均采用自主設計研發(fā)的多核多線程專用安全操作系統(tǒng)，完全杜絕WINDOWS系列系統(tǒng)由于環(huán)境因素造成的不打補丁、不升級等產(chǎn)生的安全風險。

• 1. 工業(yè)防火墻方案

工業(yè)防火墻基于應用白名單策略、信令控制、參數(shù)控制、內容過濾、智能識別等技術手段，實現(xiàn)對生產(chǎn)管理網(wǎng)絡與生產(chǎn)裝置區(qū)域邊界的安全防護。工業(yè)防火墻在OPC通訊過程中，工業(yè)生產(chǎn)關鍵數(shù)據(jù)包到達工業(yè)防火墻后，工業(yè)防火墻使用OPC專用通訊防護模塊進行識別與深度解析，及時發(fā)現(xiàn)OPC通訊使用的動態(tài)端口，關閉不使用的端口，防止惡意程序的入侵與擴散，同時檢測通訊包內的不合法元素，摒棄不安全數(shù)據(jù)包，實現(xiàn)兩網(wǎng)之間的安全隔離。

4.三種設計方案對比

推薦方案

   經(jīng)過對三種解決方案的設計對比，推薦使用工業(yè)網(wǎng)閘方案應用于生產(chǎn)管理層級邊界的安全隔離與防護。

 1.方案優(yōu)勢

• 工業(yè)網(wǎng)閘屬于工業(yè)專用隔離設備，內網(wǎng)單元+外網(wǎng)單元均采用自主設計研發(fā)的多核多線程專用安全操作系統(tǒng)，出廠前已經(jīng)進行安全加固，不允許安裝任何的程序或者插件，避免了外來文件或程序帶來的安全風險

安盟華御工業(yè)網(wǎng)閘

安盟華御工業(yè)安全隔離裝置采用滿足工業(yè)控制網(wǎng)的高穩(wěn)定性、低時延要求的專用“2+1”硬件平臺，適用于多塵、嘈雜的工業(yè)環(huán)境。可深度解析和管控OPC、Modbus、S7、IEC104等10余種工控協(xié)議，達到僅次于物理隔離下的信息擺渡與數(shù)據(jù)交互，被廣泛用于工業(yè)企業(yè)的工控網(wǎng)和MES系統(tǒng)（生產(chǎn)調度等生產(chǎn)管理系統(tǒng)）之間，保障生產(chǎn)控制網(wǎng)絡的環(huán)境安全、高效的運行。