立足場景應用，談化工行業邊界安全防護

行業背景

化工行業作為國家重要的支柱產業，其行業具有高溫、高壓、易燃、易爆、易腐蝕等特殊性，屬于典型的技術密集型企業，生產連續性很強，裝置和重要設備的意外停產都會導致巨大的經濟損失，因此生產過程控制大多采用 DCS 等先進的控制系統，為此化工行業工控系統網絡安全的重要性更顯得尤為突出。

在2019年發布的等保2.0（第二級和第三級）基本要求中“工業控制系統安全擴展要求”第7.5.2.1及8.5.2.1條“網絡架構”分別提出要求“工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用技術隔離手段”，“工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用單向的技術隔離手段”。工業和信息化部關于印發《工業控制系統信息安全防護指南》第“三、 邊界安全防護”中“（三）通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護”。

綜合上述要求，工業企業的工業控制系統在與其他系統進行連接時需要采用技術隔離手段，以保護工業控制系統的邊界安全。從IEC 62264-1層次模型進行分析，網絡安全邊界在生產管理層與過程監控層之間，我們暫時稱之為生產管理層的層級邊界。

需求分析

隨著國家“兩化融合”“數字化轉型”“化工云”等相關政策、指導文件的發布，化工企業開始根據自身情況進行生產技術改革，生產裝置優化系統、專家系統已不能滿足對整體化工生產工藝綜合優化、提質的需求。MES系統、行業云等智能制造解決方案逐漸在化工企業中擴大，解決生產環節綜合調度、信息對稱、精細化管理、能耗優化等問題。

安盟信息依據對化工企業豐富的網絡安全建設經驗和大量的實踐經驗，對化工行業MES系統、行業云等智能制造解決方案綜合分析，化工企業的生產裝置（DCS系統）工業段存在與MES系統、化工云等上層平臺進行密切的數據交換過程。生產裝置工藝段有完整的DCS系統，且有SIS系統、CCS系統與之相輔相成，屬于相對獨立的網絡系統，對上層平臺多采用OPC 的標準接口提供生產及告警信息。針對生產管理層級邊界的網絡安全防護即可實現對化工行業生產裝置工藝段的防護，又可對MES系統、化工云等上層平臺帶來可靠的、穩定的數據源。

解決方案

1.建設目標

依照此次解決方案設計，可使企業工控系統實現對黑客、病毒、惡意代碼等高風險抵御，阻止內部/外部人員的非法訪問，工控系統中的關鍵生產數據信息單向上傳到生產管理網絡的MES系統、化工云中，防范來自生產管理網絡或辦公網絡（互聯網）的非法入侵和攻擊。

 建設目標和主要任務如下：

• 抵御生產管理網絡或辦公網絡（互聯網）發起的惡意攻擊和破壞。

• 防止勒索病毒、木馬等惡意程序從邊界傳播，對工控關鍵系統造成不利影響和破壞。

• 實現數據采集鏈路間的高安全隔離與訪問控制。

• 做好邊界安全防護，保障工控系統的安全、可靠、穩定運行。

   

2.技術路線

解決方案主要實現企業工控系統（生產裝置）的關鍵工業數據信息采集，單向上傳到生產管理網絡MES系統、化工云的功能，同時又要做到各生產控制系統安全域與生產管理網絡邊界的安全隔離與訪問控制，因此有如下三種方案可以實現安全防護功能。

• 工業數采單向光閘：實現關鍵生產數據采集物理單向上傳到生產管理層MES系統（單向光信號，無反饋），同時保障邊界高安全隔離與兩網的訪問控制。

• 工業網閘：實現兩網邊界安全隔離與訪問控制，可針對工業協議進行深度解析與信令級別管控，采用與傳統網閘“數據信息擺渡”的原理實現兩網邊界的高安全隔離。

• 工業防火墻：實現兩網邊界安全隔離與訪問控制，可針對工業協議進行深度解析與信令級別管控，“白名單”機制實現兩網邊界的安全隔離。

   

3.方案設計

• 工業數采單向光閘方案

工業數采單向光閘利用發光和收光光器件的物理特性，可實現網間數據的物理單向上傳。工業數采單向光閘采用內網單元+外網單元+光收發模塊的硬件物理結構，內網單元+外網單元均采用自主設計研發的多核多線程專用安全操作系統，完全杜絕WINDOWS系列系統由于環境因素造成的不打補丁、不升級等產生的安全風險。

• 工業網閘方案

工業網閘采用“2+1”即內網單元+外網單元+專用隔離卡（FPGA）的硬件物理結構，結合“數據信息擺渡”的原理，實現邊界的高安全隔離。內網單元+外網單元均采用自主設計研發的多核多線程專用安全操作系統，完全杜絕WINDOWS系列系統由于環境因素造成的不打補丁、不升級等產生的安全風險。

• 1. 工業防火墻方案

工業防火墻基于應用白名單策略、信令控制、參數控制、內容過濾、智能識別等技術手段，實現對生產管理網絡與生產裝置區域邊界的安全防護。工業防火墻在OPC通訊過程中，工業生產關鍵數據包到達工業防火墻后，工業防火墻使用OPC專用通訊防護模塊進行識別與深度解析，及時發現OPC通訊使用的動態端口，關閉不使用的端口，防止惡意程序的入侵與擴散，同時檢測通訊包內的不合法元素，摒棄不安全數據包，實現兩網之間的安全隔離。

4.三種設計方案對比

推薦方案

   經過對三種解決方案的設計對比，推薦使用工業網閘方案應用于生產管理層級邊界的安全隔離與防護。

 1.方案優勢

• 工業網閘屬于工業專用隔離設備，內網單元+外網單元均采用自主設計研發的多核多線程專用安全操作系統，出廠前已經進行安全加固，不允許安裝任何的程序或者插件，避免了外來文件或程序帶來的安全風險

安盟華御工業網閘

安盟華御工業安全隔離裝置采用滿足工業控制網的高穩定性、低時延要求的專用“2+1”硬件平臺，適用于多塵、嘈雜的工業環境。可深度解析和管控OPC、Modbus、S7、IEC104等10余種工控協議，達到僅次于物理隔離下的信息擺渡與數據交互，被廣泛用于工業企業的工控網和MES系統（生產調度等生產管理系統）之間，保障生產控制網絡的環境安全、高效的運行。