工控网络安全解决方案.docVIP

第一章安全概况

SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

去年，一款名为Worm.Win32.Stux的蠕虫病毒席卷全球工业界，在短时间内威胁到了众多企业的正常运行。Stux病毒被多国安全专家形容为全球首个“超级工厂病毒”，截至目前，该病毒已经感染了全球超过45000个网络，伊朗、印尼、美国等多地均不能幸免。其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什尔核电站推迟发电，60%的个人电脑感染了这种病毒。

年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获，人们依然认为系统是安全的。

年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒，虽然已安装了IT防火墙，病毒就在几秒钟之内从一个车间感染到另一个车间，从而最终导致停工。

?年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。

?年8月因反应堆在‘高功率、低流量条件’的危险情况下,美国BrownsFerry核电厂所有人员不得不全部撤离，原因是控制网络上“通讯负荷”的缘故。

第二章安全解决方案

根据网络实际情况，工业控制网可以分为三个安全区域，生产网，安全交换区，管理网接入区。在生产网和办公网之间的部署隔离网关，用于不同安全区域的隔离。隔离网关其特点是既要支持防火墙的策略控制、入侵防护、防病毒等安全功能，又需要能够理解工控协议的指令，并且能够针对工控协议的攻击予以防护。

隔离网关连接四个区域，管理网、安全管控服务器、安全通讯及数采服务器、生产网（安全数采网关）。

首先通过隔离网关设置防火墙策略，限定访问的方向为数采网关可以访问数据库服务器，而禁止数采网关访问其他区域，禁止办公网访问数采网关，OPCserver，工控设备等。

开启隔离网关的IPS和防病毒功能，针对工控网络到管理网，和管理网到工控网，进行全方位的文件传输的病毒文件和数据包中的攻击进行过滤。

开启隔离网关的工控指令部分功能，可以对工控指令进行安全审计。

开启隔离网关的工控攻击防御功能，尤其是针对OPC协议的攻击，严格禁止攻击通过，防止办公网的入侵的蠕虫，通过工控协议攻击生产设备。

第三章隔离网关产品说明

一、产品设计理念

本隔离网关部署于工控网络与管理网之间或者旁路式监控工控网络，所以该隔离网关应具有双重身份，即支持传统防火墙所具备的功能，比如防火墙、防病毒、入侵检测与防护(IPS)、流量控制(QoS)、路由/NAT/透明模式等，同时也支持对工控协议的分析与攻击防护。

防火墙系统

状态检测防火墙设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。

防病毒网关

计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为当前防病毒体系中的重中之重。

入侵检测与防御（IPS）

传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用程序可以通过防火墙开放的端口穿越防火墙，如MSN、等IM(即时通信)工具均可通过80端口通信；还有一些攻击和应用可以通过任意IP、端口进行(例如BT、电驴等)；SoftEther等软件更可以将所有TCP/IP通讯封装成S数据包