什么是工業(yè)隔離區(qū)( IDMZ)?

　　工業(yè)區(qū)包含了所有工業(yè)自動化控制系統(tǒng)(IACS)網(wǎng)絡(luò)及自動化設(shè)備，這些設(shè)備對控制和監(jiān)視全廠的運行至關(guān)重要。按照功能分層，工業(yè)區(qū)包括現(xiàn)場運行(3級)和多個工位/地域區(qū)(0-2級)。

　　為了保持全廠平滑地運行以及IACS應(yīng)用和IACS網(wǎng)絡(luò)的功能，工業(yè)區(qū)需要明確的分段以及通過安保設(shè)備、復(fù)制服務(wù)和應(yīng)用與企業(yè)區(qū)分開。這個分開工業(yè)區(qū)與企業(yè)區(qū)的區(qū)域被稱為工業(yè)隔離區(qū)(IDMZ)。這種隔離不僅增強(qiáng)了企業(yè)和工業(yè)區(qū)之間的安全分段，而且也代表了一個組織邊界，這里是信息技術(shù)(IT)和運營技術(shù)(OT)的職責(zé)界面。

　　隔離區(qū)(DMZ)，有時也被稱為非軍事區(qū)，是一種邊界網(wǎng)絡(luò)，揭示了一個組織受信的外部服務(wù)和數(shù)據(jù)到一個不受信的網(wǎng)絡(luò)。在多數(shù)時間中，DMZ被理解為從互聯(lián)網(wǎng)保護(hù)一家公司的企業(yè)資產(chǎn)。 DMZ是一種行之有效的方法，可以保護(hù)受信的網(wǎng)絡(luò)，像企業(yè)網(wǎng)絡(luò)到不受信的網(wǎng)絡(luò)，如互聯(lián)網(wǎng)。

　　為了在企業(yè)環(huán)境中保護(hù)工業(yè)區(qū)的安全，IDMZ放在了一個受信網(wǎng)絡(luò)(工業(yè)區(qū))和一個不受信網(wǎng)絡(luò)(企業(yè)區(qū))之間。這個IDMZ采用了與傳統(tǒng)DMZ一樣的功能，所有區(qū)域之間的通信在DMZ內(nèi)終止，并且進(jìn)入和離開IDMZ都要被檢查。

　　該IDMZ包括了：

　　● 邊界或“邊緣”的安保設(shè)備如防火墻，可以檢查進(jìn)入和離開每個安全區(qū)域的信息流;

　　● 從事復(fù)制服務(wù)的設(shè)備和服務(wù)器，如網(wǎng)站代理服務(wù)器、數(shù)據(jù)代理服務(wù)器、文件傳送代理服務(wù)器，應(yīng)用和操作系統(tǒng)補(bǔ)丁代理服務(wù)器，以及應(yīng)用程序代理服務(wù)器。

　　從最基本的層面來說，IDMZ是來自非受信企業(yè)網(wǎng)絡(luò)通信的終結(jié)端點。來自企業(yè)去往工業(yè)區(qū)的信息流終止在IDMZ內(nèi)的服務(wù)器或應(yīng)用代理上。當(dāng)通信進(jìn)入或離開IDMZ時，這些防火墻可以檢查該信息流。防火墻可以配置為允許遠(yuǎn)程訪問或來自特定用戶的文件請求，但要阻止“非受信”用戶或進(jìn)入或離開IDMZ的設(shè)備(見圖1)。

　　圖1：IDMZ概念

　　這種方法允許工業(yè)區(qū)完全依靠自己實現(xiàn)功能，不用考慮到更高級的連接狀態(tài)。應(yīng)該部署一種方法和規(guī)程，緩沖IACS發(fā)送和接收企業(yè)區(qū)的數(shù)據(jù)，防止發(fā)生IDMZ連接中斷的情況。作為最佳實踐，思科與羅克韋爾自動化建議：所有需要用于工業(yè)區(qū)運行的IACS資產(chǎn)應(yīng)該留在工業(yè)區(qū)。

　　這種分段是必要的，因為實時的可用性和安全性是IACS網(wǎng)絡(luò)通信中的關(guān)鍵要素。在IACS網(wǎng)絡(luò)中的停機(jī)成本要遠(yuǎn)遠(yuǎn)超過同等規(guī)模企業(yè)環(huán)境的停機(jī)成本。資本成本、產(chǎn)品和材料的損失，錯過的日程和工廠人員的時間浪費，執(zhí)行都對企業(yè)的營收和效率造成了非常大地影響。因此，思科與羅克韋爾自動化推薦：在工業(yè)區(qū)部署防火墻，在工業(yè)區(qū)和企業(yè)區(qū)之間部署IDMZ，這能安全地管理這些網(wǎng)絡(luò)之間的通信流量。

　　IDMZ 的目標(biāo)

　　數(shù)據(jù)和服務(wù)能夠在工業(yè)和企業(yè)區(qū)之間共享。融合的工業(yè)和企業(yè)網(wǎng)絡(luò)的許多收益依靠實時通信和這些區(qū)域之間的數(shù)據(jù)傳輸。沒有工業(yè)區(qū)的防火墻和IDMZ，數(shù)據(jù)就不能被共享，同時還保持IACS網(wǎng)絡(luò)及其IACS系統(tǒng)的安全。

　　該工業(yè)區(qū)的防火墻：

　　● 強(qiáng)制執(zhí)行和嚴(yán)格控制從主機(jī)或網(wǎng)絡(luò)進(jìn)入和離開每個安全區(qū)域的流量;

　　● 執(zhí)行狀態(tài)數(shù)據(jù)包檢測;

　　● 提供入侵檢測系統(tǒng)(IDS)/入侵防御系統(tǒng)(IPS)可選項;

　　● 提供信息安全和網(wǎng)絡(luò)管理支持;

　　● 可對外部或內(nèi)部用戶終止VPN會話;

　　● 提供網(wǎng)站門戶服務(wù)，如代理服務(wù);

　　● 在工業(yè)區(qū)的服務(wù)器可啟用遠(yuǎn)程桌面連接服務(wù)。

　　IDMZ在企業(yè)和工業(yè)區(qū)之間提供了共享數(shù)據(jù)和服務(wù)的網(wǎng)絡(luò)。該IDMZ不允許在工業(yè)和企業(yè)區(qū)之間直接通信，但能滿足數(shù)據(jù)和服務(wù)的共享需求。有了IDMZ和工業(yè)區(qū)防火墻的部署，出現(xiàn)在一個區(qū)中的攻擊和問題，不會輕易地影響到其他區(qū)。事實上，通過暫時禁用IDMZ和防火墻， IACS或IT網(wǎng)絡(luò)管理員可以幫助保護(hù)某個區(qū)，直到其他區(qū)的情況得到解決。

　　融合的全廠以太網(wǎng)隔離區(qū)概述

　　工業(yè)自動化和控制系統(tǒng)(IACS)網(wǎng)絡(luò)在默認(rèn)時通常是開放的;開放有利于技術(shù)的共存和IACS設(shè)備的互操作。開放還要求通過配置和架構(gòu)，保證IACS網(wǎng)絡(luò)的安全 – 也就是說，保護(hù)邊緣。許多組織和標(biāo)準(zhǔn)制定機(jī)構(gòu)建議對全廠范圍網(wǎng)絡(luò)，通過使用工業(yè)隔離區(qū)(IDMZ)，分割業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)。

　　該IDMZ存在于工業(yè)區(qū)和企業(yè)區(qū)之間，作為一個層，把兩個網(wǎng)絡(luò)分開，通常被稱為3.5層。一個IDMZ環(huán)境包括眾多的基礎(chǔ)設(shè)施設(shè)備，包括防火墻、VPN服務(wù)器、IACS應(yīng)用鏡像和反向代理服務(wù)器，除了網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，還有諸如交換機(jī)、路由器和虛擬服務(wù)。

　　融合的全廠以太網(wǎng)(CPWE)是基礎(chǔ)架構(gòu)，為控制和信息學(xué)科、現(xiàn)代IACS應(yīng)用中的設(shè)備和裝置提供標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)。該CPWE架構(gòu)提供了設(shè)計和實施指南，可以實現(xiàn)IACS的實時通信、可靠性、可擴(kuò)展性、安全性和靈活性要求。

　　為IACS應(yīng)用的CPWE IDMZ是通過思科公司和羅克韋爾自動化公司的戰(zhàn)略聯(lián)盟來推向市場。該CPWE IDMZ詳細(xì)設(shè)計考慮，能幫助用戶成功地進(jìn)行IDMZ的設(shè)計和實施，跨越IDMZ安全地共享IACS數(shù)據(jù)。

　　整體工業(yè)安全

　　沒有任何單一產(chǎn)品、技術(shù)或方法可以完全保護(hù)IACS應(yīng)用。保護(hù)IACS資產(chǎn)需要一種縱深防御的安全方法，從而解決內(nèi)部和外部的安全威脅。這種方法使用多層防御(物理、規(guī)程和電子)，在不同的IACS層防御不同類型的威脅。

　　物理IDMZ安全的要求必須識別IACS應(yīng)用的需求，因為數(shù)據(jù)必須安全地從工業(yè)區(qū)傳遞到企業(yè)區(qū)。另外，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和身份識別服務(wù)是CPWE整體安全架構(gòu)的一部分。每個都要分別可用，這樣就完成了CPWE整體工業(yè)安全的方法。

　　該CPWE工業(yè)網(wǎng)絡(luò)安全框架見圖1，它采用了縱深防御的方法，遵從工業(yè)的安全標(biāo)準(zhǔn)，如ISA / IEC -- 62443(原ISA-99)：工業(yè)自動化和控制系統(tǒng)(IACS)的安全和NIST 800-82：工業(yè)控制系統(tǒng)(ICS)的安全。

　　設(shè)計和實施一個全面的IACS網(wǎng)絡(luò)安全框架應(yīng)該作為IACS一個自然延伸的服務(wù)。網(wǎng)絡(luò)安全不應(yīng)該作為一種事后的實現(xiàn)。工業(yè)網(wǎng)絡(luò)安全框架對于IACS應(yīng)該是普遍的與核心的。不過，現(xiàn)有的IACS部署，可以逐步應(yīng)用同樣的縱深防御層，幫助用戶提高IACS的安全性。

　　CPWE縱深防御層(圖2)包括：

　　● 控制系統(tǒng)工程師(棕褐色高亮顯示) -- IACS設(shè)備的硬化(例如，物理和電子)，基礎(chǔ)設(shè)施設(shè)備的硬化(例如，端口安全)，網(wǎng)絡(luò)分段，IACS應(yīng)用認(rèn)證、授權(quán)和計費(AAA);

　　● 控制系統(tǒng)工程師與IT網(wǎng)絡(luò)工程師的協(xié)同(藍(lán)色高亮顯示) -- 在IACS應(yīng)用基于區(qū)域的政策防火墻、操作系統(tǒng)的硬化、網(wǎng)絡(luò)設(shè)備的硬化(例如，訪問控制，彈性)、無線局域網(wǎng)接入策略;

　　● IT安全架構(gòu)師與控制系統(tǒng)工程師的協(xié)同(紫色高亮) -- 身份識別服務(wù)(有線和無線)，活動目錄(AD)，遠(yuǎn)程訪問服務(wù)器，工廠防火墻，工業(yè)隔離區(qū)(IDMZ)設(shè)計的最佳實踐。

　　圖2 CPWE工業(yè)網(wǎng)絡(luò)安全框架

　　工業(yè)隔離區(qū)

　　有時被稱為邊界網(wǎng)絡(luò)，IDMZ(圖2)是一個緩沖區(qū)，在受信網(wǎng)絡(luò)(工業(yè)區(qū))和非受信網(wǎng)絡(luò)(企業(yè)區(qū))之間強(qiáng)制實施數(shù)據(jù)安全策略。該IDMZ是縱深防御的附加層，在工業(yè)區(qū)和企業(yè)區(qū)之間安全地共享IACS數(shù)據(jù)和網(wǎng)絡(luò)服務(wù)。隔離區(qū)的概念在傳統(tǒng)的IT網(wǎng)絡(luò)中是司空見慣的，但對IACS應(yīng)用仍處于早期階段。

　　對于安全的IACS數(shù)據(jù)共享，該IDMZ包含多種資產(chǎn)，充當(dāng)不同區(qū)域間的經(jīng)紀(jì)人。多種方法促成IACS數(shù)據(jù)跨越存在的IDMZ：

　　● 使用一種應(yīng)用鏡像，如FactoryTalk? Historian(歷史數(shù)據(jù)庫)的PI到PI接口;

　　● 使用Microsoft?遠(yuǎn)程桌面網(wǎng)關(guān)(RD網(wǎng)關(guān))服務(wù);

　　● 使用反向代理服務(wù)器。

　　這些經(jīng)紀(jì)人方法，有助于隱藏和保護(hù)工業(yè)區(qū)服務(wù)器的存在和特性，防止來自企業(yè)區(qū)客戶端和服務(wù)器的打擾，在圖3中加亮顯示，并覆蓋CPWE IDMZ。

　　圖3 CPWE邏輯模型

　　高級別IDMZ設(shè)計原理(圖4)包括：

　　● 來自IDMZ兩邊的所有IACS網(wǎng)絡(luò)流量終止于IDMZ;沒有IACS流量直接穿越IDMZ：

　　-- 工業(yè)區(qū)和企業(yè)區(qū)之間沒有直接的路徑;

　　-- 在每個邏輯防火墻中沒有共同的協(xié)議。

　　● EtherNet/ IP?IACS流量不會進(jìn)入IDMZ;它仍然在工業(yè)園區(qū)內(nèi);

　　● 主要的服務(wù)不會永久保存在IDMZ中;

　　● 所有的數(shù)據(jù)都是暫時的;該IDMZ不會永久存儲數(shù)據(jù);

　　● 在IDMZ內(nèi)建立功能子區(qū)，分割訪問IACS數(shù)據(jù)和網(wǎng)絡(luò)服務(wù)(例如，IT運營和可信的伙伴區(qū));

　　● 如果出問題，設(shè)計合理的IDMZ將支持被拔出的能力，同時還允許工業(yè)區(qū)不受干擾地工作;

　　圖4工業(yè)隔離區(qū)的高級概念

　　融合的全廠以太網(wǎng)IDMZ

　　該CPWE IDMZ思科驗證設(shè)計(CVD)概述了關(guān)鍵要求和設(shè)計考慮，可以幫助用戶成功設(shè)計和部署IDMZ。在工業(yè)區(qū)和企業(yè)區(qū)之間的IACS數(shù)據(jù)和網(wǎng)絡(luò)服務(wù)內(nèi)容包括：

　　● 一個IDMZ概述和關(guān)鍵設(shè)計考慮;

　　● 一個彈性的CPWE體系框架：

　　-- 冗余IDMZ防火墻;

　　-- 冗余分布/聚合以太網(wǎng)交換機(jī)。

　　● IACS數(shù)據(jù)安全穿越IDMZ的方法：

　　-- 應(yīng)用鏡像;

　　-- 反向代理;

　　-- 遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)。

　　● 網(wǎng)絡(luò)服務(wù)安全穿越IDMZ的方法。

　　● CPWE IDMZ的用例：

　　-- IACS應(yīng)用，例如，安全文件傳輸，F(xiàn)actoryTalk應(yīng)用(FactoryTalk Historian， FactoryTalk VantagePoint?， FactoryTalk View Site Edition(SE)，F(xiàn)actoryTalk ViewPoint，F(xiàn)actoryTalk AssetCentre，Studio 5000?);

　　-- 網(wǎng)絡(luò)服務(wù)， 例如，活動目錄(AD)，身份識別服務(wù)引擎(ISE)，無線局域網(wǎng)控制器(WLC)的控制和無線接入點配置(CAPWAP)，網(wǎng)絡(luò)時間協(xié)議;

　　-- 安全遠(yuǎn)程訪問。

　　● IDMZ實施和配置的重要步驟和設(shè)計注意事項。