本文簡(jiǎn)單概要地描述了應(yīng)用于工廠、工業(yè)自動(dòng)化控制系統(tǒng)(IACS)應(yīng)用和IACS網(wǎng)絡(luò)的解決方案，維護(hù)可用性、整體性和機(jī)密性的關(guān)鍵信息安全觀念。這些實(shí)踐遵循一種縱深防御的方法，在整個(gè)系統(tǒng)中使用多種的考慮、技術(shù)和實(shí)踐，保護(hù)系統(tǒng)和網(wǎng)絡(luò)。

　　一、 概述

　　圖1 表示了一個(gè)工廠的邏輯框架圖，它遵從IEC62443網(wǎng)絡(luò)與系統(tǒng)安全標(biāo)準(zhǔn)。

　　圖1 工廠邏輯框架

　　圖2為比較典型的工廠網(wǎng)絡(luò)架構(gòu)圖。

　　圖2 工廠網(wǎng)絡(luò)框架

　　圖3描述了一些主要的信息安全推薦方案和縱深防御方法。

　　圖3 IACS網(wǎng)絡(luò)信息安全框架

　　推薦的IACS網(wǎng)絡(luò)信息安全框架采用了“按縱深防御”的方法，包括了：

　　? 制造安全策略-這個(gè)策略路線圖確定了攻擊化解方案。一個(gè)包括操作員、工程師、IT人員和安全人員組成的多學(xué)科團(tuán)隊(duì)，一起制定這個(gè)制造安全策略。

　　? 安全隔離區(qū)(DMZ)-這個(gè)隔離區(qū)在制造區(qū)和企業(yè)區(qū)之間建立了一個(gè)屏障，但允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來(lái)自DMZ兩邊的信息流都中止于DMZ區(qū)內(nèi)。沒(méi)有數(shù)據(jù)可以直接穿過(guò)DMZ，也就是意味著信息不能直接在企業(yè)區(qū)和制造區(qū)之間流動(dòng)。

　　?制造邊緣的防護(hù)-用戶應(yīng)該采用有狀態(tài)包檢測(cè)(SPI)的防火墻(屏障)，并在IACS的周圍和內(nèi)部實(shí)施入侵發(fā)現(xiàn)/保護(hù)系統(tǒng)(IDS/IPS)。

　　? 保護(hù)內(nèi)部-用戶應(yīng)該在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備諸如交換機(jī)和路由器中，部署訪問(wèn)控制列表(ACL)和端口安全。

　　? 端點(diǎn)加固-限制訪問(wèn)，防止“過(guò)來(lái)，插入”訪問(wèn)，并使用變化管理跟蹤訪問(wèn)和變化。

　　? 信任域-用戶應(yīng)該按照功能或訪問(wèn)的需求，把網(wǎng)絡(luò)劃分成若干個(gè)小網(wǎng)絡(luò)。

　　? 物理信息安全-限制對(duì)制造資產(chǎn)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備的物理訪問(wèn)。

　　? 信息安全、管理、分析和響應(yīng)系統(tǒng)-監(jiān)視、識(shí)別、隔離和記錄對(duì)網(wǎng)絡(luò)安全的威脅。

　　?遠(yuǎn)程訪問(wèn)策略-對(duì)于雇員和伙伴的遠(yuǎn)程訪問(wèn)，實(shí)施相關(guān)的策略、規(guī)程和基礎(chǔ)結(jié)構(gòu)。

　　二、基本的網(wǎng)絡(luò)信息安全考慮

　　網(wǎng)絡(luò)信息安全的觀念是關(guān)于保護(hù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身;保護(hù)用于建立和管理網(wǎng)絡(luò)功能的網(wǎng)絡(luò)協(xié)議。這些關(guān)鍵概念用于解決方案的所有層次和區(qū)域。這些步驟幫助用戶保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用，防止多種方式的攻擊。下面內(nèi)容是信息安全基線的關(guān)鍵區(qū)域：

　　? 基礎(chǔ)設(shè)備架構(gòu)—對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)訪問(wèn)的信息安全管理;

　　? 交換基礎(chǔ)架構(gòu)—網(wǎng)絡(luò)訪問(wèn)和第2層設(shè)計(jì)考慮;

　　? 路由基礎(chǔ)架構(gòu)—保護(hù)網(wǎng)絡(luò)第3層路由功能，防止攻擊或誤用;

　　? 設(shè)備的彈性和可存性—保護(hù)網(wǎng)絡(luò)的彈性和可用性;

　　? 網(wǎng)絡(luò)遙測(cè)—監(jiān)視和分析網(wǎng)絡(luò)行為和狀態(tài)，對(duì)問(wèn)題和攻擊做出識(shí)別和反應(yīng)。

　　這些實(shí)踐可應(yīng)用于不同的層、區(qū)域和相關(guān)的網(wǎng)絡(luò)架構(gòu)。

　　三、IACS 網(wǎng)絡(luò)設(shè)備的保護(hù)

　　這個(gè)概念描述了保護(hù)關(guān)鍵IACS端點(diǎn)設(shè)備本身的實(shí)踐，特別是控制器和計(jì)算機(jī)。因?yàn)檫@些設(shè)備在IACS中扮演著重要的角色，他們的信息安全是要給予特殊關(guān)照。這些概念包括下面內(nèi)容：

　　? 物理安全-這個(gè)層限制區(qū)域、控制屏、IACS設(shè)備、電纜、控制室和其他位置的授權(quán)人的訪問(wèn)，以及跟蹤訪問(wèn)者和伙伴;

　　? 計(jì)算機(jī)加固-這包括補(bǔ)丁程序管理和防病毒軟件，以及能夠刪除不使用的應(yīng)用程序、協(xié)議和服務(wù)等;

　　? 應(yīng)用信息安全-這包含鑒定、授權(quán)和審核軟件，諸如用于IACS應(yīng)用的FactoryTalk的安;

　　? 控制器加固-這里指處理變更管理和限制訪問(wèn)。

　　四、單元/區(qū)域 IACS 網(wǎng)絡(luò)信息安全

　　應(yīng)用于單元/區(qū)域的關(guān)鍵信息安全觀念包括下面的部分：

　　? 端口信息安全，密碼維護(hù)，管理訪問(wèn)單元/區(qū)域網(wǎng)絡(luò)基礎(chǔ)架構(gòu);

　　? 冗余和不需要服務(wù)的禁用;

　　? 網(wǎng)絡(luò)系統(tǒng)信息登錄，使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)和網(wǎng)絡(luò)信息監(jiān)視;

　　? 限制廣播信息區(qū)域，虛擬局域網(wǎng)( VLAN)和網(wǎng)絡(luò)協(xié)議的種類;

　　? 計(jì)算機(jī)和控制器的加固。

　　五、制造 IACS 網(wǎng)絡(luò)的信息安全

　　制造區(qū)域的設(shè)計(jì)考慮和實(shí)施要在早期階段討論，特別要考慮關(guān)鍵的單元/區(qū)域。另外，應(yīng)用這些考慮，用于制造區(qū)的關(guān)鍵信息安全考慮包括下面內(nèi)容：

　　? 路由架構(gòu)的最佳實(shí)踐，覆蓋路由協(xié)議成員和路由信息保護(hù)，以及路由狀態(tài)變化記錄;

　　? 網(wǎng)絡(luò)和信息安全監(jiān)視;

　　? 服務(wù)器信息安全覆蓋端點(diǎn)信息安全;

　　? FactoryTalk應(yīng)用信息安全。

　　六、隔離區(qū)和 IACS防火墻

　　DMZ和工廠防火墻是一個(gè)保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用的基本措施。結(jié)合防火墻和DMZ的概念是用于IACS網(wǎng)絡(luò)信息安全的關(guān)鍵的縱深防御的方法。DMZ和工廠防火墻的設(shè)計(jì)和實(shí)施指南的關(guān)鍵特性和功能包括以下方面：

　　? 部署工廠防火墻管理在企業(yè)和制造區(qū)之間的信息流。 一個(gè)工廠防火墻提供了下面的功能：

　　– 在網(wǎng)絡(luò)區(qū)之間，通過(guò)指定的信息安全層建立的通信模式，比如建立隔離區(qū) DMZ;

　　– 在不同區(qū)域之間所有通信狀態(tài)包的檢查，如果在上面允許的情況下;

　　–從一個(gè)區(qū)域企圖訪問(wèn)另一個(gè)區(qū)域的資源時(shí)，強(qiáng)制執(zhí)行用戶鑒定，比如從企業(yè)層企圖訪問(wèn)DMZ的服務(wù);

　　–侵入保護(hù)服務(wù)(IPS)檢查在區(qū)域之間的通信流，設(shè)計(jì)成能夠識(shí)別和阻止各種潛在的攻擊。

　　?不同區(qū)域之間的DMZ中的數(shù)據(jù)和服務(wù)能夠安全地共享。

　　防火墻和DMZ概念在允許遠(yuǎn)程訪問(wèn)IACS網(wǎng)絡(luò)中，也扮演一個(gè)重要的角色。

（羅克韋爾自動(dòng)化（中國(guó)）有限公司 華镕）