1、  背景

      &‌∑₹♥nbsp;  随著(zhe)工(gōng)業(yè)信息化(huà)、工(gōng)β≥ 業(yè)物(wù)聯網的(de)快(kuα≤π±ài)速發展以及工(gōng)業(yè)4.0>Ωδ時(shí)代的(de)到(dào)來(lái)，現(xià÷↕n)代工(gōng)控系統的(de)技(jì)術(shù)進步主要(yào)表現(xià☆$♦€n)在兩大(dà)方面：一(yī)是(shì)為(wèi)了(leδ‌)保證生(shēng)産高(gāo)效運行(xíng)、提高(g←÷āo)生(shēng)産管理(lǐ)效率，國(guó)內(nèi)衆多(duō)行(x™≤×íng)業(yè)大(dà)力推進工(gōng)控系統自(zì)身σπ←(shēn)的(de)集成化(huà)、集中化(huà)管理(lǐ)。二€¶是(shì)系統的(de)互聯互通(tōng)性逐步加強，工(gōng)控網絡與辦¥ ®公網、互聯網也(yě)存在千絲萬縷的(de)聯系。

德國(guó)的(de)工(gōng)業(yè)↑₽4.0标準、美(měi)國(guó)的(de)“工(gōng)業(yè)→γ♠ 互聯網”和(hé)“先進制(zhì)造業(yè)國(guó)家≈♠(jiā)戰略計(jì)劃”、日(rì)本的(de)“→σ→科(kē)技(jì)工(gōng)業(y&☆è)聯盟”、英國(guó)的(de)“工(gōng)業(yè♣&​€)2050戰略”、中國(guó)“互聯網+”和(hé)“中國(g•"★€uó)制(zhì)造2025”等相(xiàng)繼出台，對(duì)工(gōβ♥∑σng)控系統的(de)通(tōng)用(yòng)性與開(kāi)放(fàng)性提出了(∏ ‍≥le)更高(gāo)的(de)要(yào)求。未來(lái)工¥β≥←(gōng)控系統将會(huì)有(yǒu)§​‌一(yī)個(gè)長(cháng)足發展，工(gōng)業(yè)趨向于自(Ω¥₽zì)動化(huà)、智能(néng)化(huà)，系統之間(jiān  )的(de)互聯互通(tōng)也(yě)更加緊密，面臨的(de)安全威脅↓∞✘也(yě)會(huì)越來(lái)越多(duō)。近(jìn)年(nián)來(lái)• ，國(guó)際國(guó)內(nèi)針對(§≠₽duì)工(gōng)控系統的(de)攻擊事(shì)件(jiàn)層出不(♦↕₽bù)窮，“震網”病毒事(shì)件(jiàn)更是(shì)為(wèi)‍•¥≥全球工(gōng)控系統敲響了(le)警鐘(α≠×zhōng)，促使國(guó)家(jiā)和(hé)社會(hu♥"ì)逐漸重視(shì)工(gōng)控系統的(de)信息安全問(wèn)題。

2、解決方案

方案原則

分(fēn)域防護、綜合防範的(de)原則：任何安全措施都(dōu)不(bù)是(shì)絕對(duì)安全的(de)，都(★₩<dōu)可(kě)能(néng)被攻破。為(wèi)預防攻破一(yī)層或一(yī)類保護的(•¶de)攻擊行(xíng)為(wèi)無法破壞整個(gè₽σ✔↓)信息系統，需要(yào)合理(lǐ)劃分(fēn)安×‌全域和(hé)綜合采用(yòng)多(d÷¥αεuō)種有(yǒu)效措施，進行(xíng)多(duō)層和(hé)多(duō)重保¶₽護。

需求、風(fēng)險、代價平衡的(de)原則：對(duì)任何類型網絡，絕對(duì)安全Ωγ難以達到(dào)，也(yě)不(bù)✘§一(yī)定是(shì)必須的(de)，需正确處理(lǐ)需求、風✘ ÷(fēng)險與代價的(de)關系，等級保護，适度防護，做(zuò)≥₽到(dào)安全性與可(kě)用(yòng)性相(xiàn→€♥εg)容，做(zuò)到(dào)技(jì  )術(shù)上(shàng)可(kě)實現(xiàn)，經濟上(shàngΩ♦)可(kě)執行(xíng)。

技(jì)術(shù)與管理(lǐ)相(xiàng)結合原則：信息安全涉及人(rén)、技(jì)術(shù)、操作(zuò ♥§↑)等各方面要(yào)素，單靠技(jì)術(shù‌φ↓)或單靠管理(lǐ)都(dōu)不(bù)可(kě)能(néng)實現(xiàn)。因此在考慮✔ 信息系統信息安全時(shí)，必須将各種安全技(jì)術(shù)與運行(xíng)↑Ω管理(lǐ)機(jī)制(zhì)、人(rén)員(yuán)思想教育、技≤®±Ω(jì)術(shù)培訓、安全規章(zhāng)制(zhì)度建設相(Ω​Ω∏xiàng)結合。

動态發展和(hé)可(kě)擴展原則：随著(zhe)網絡攻防技(jì)術(shù)的(de)進一(yī)步發展∏σ，網絡安全需求會(huì)不(bù)斷變化(huà)，以及環境、條件(ji↔↑àn)、時(shí)間(jiān)的(de)限制(™®zhì)，安全防護一(yī)步到(dào)位€♦✘©，一(yī)勞永逸地(dì)解決信息安全問(wèn)題•π是(shì)不(bù)現(xiàn)實的(de)。信息安全保障建設可(kě)先保證基本的(dλ™→φe)、必須的(de)安全性和(hé)良好(hǎo)的(de)±​安全可(kě)擴展性，今後随著(zhe)應用(yòng)↕π↑★和(hé)網絡安全技(jì)術(shù)的(de)發展，不(bù)斷調整安全•♣↕策略，加強安全防護力度，以适應新的(de)網絡安全環境，滿足新的(d$δ≥÷e)信息安全需求。

3、 産品選型原則

針對(duì)本項目的(de)現(xiàn)有(yǒu)網絡♣δ狀況，在滿足本項目應用(yòng)系統基本功能(n>×↓φéng)實現(xiàn)的(de)基礎上(shàng)整←Ω合已有(yǒu)資源和(hé)系統，并采用(yòng)先進、成熟的(de)技(jì)術(s‌≥hù)手段和(hé)措施建設一(yī)個(gè)安全、穩定、÷✘♣ 可(kě)管理(lǐ)的(de)安全平台，滿足π÷£：

高(gāo)可(kě)用(yòng)性：在現(xiàn)有(yσ↔☆ǒu)的(de)工(gōng)控系統的(d☆→φ✔e)網絡基礎上(shàng)，增加的(de)軟硬件€↓↕★(jiàn)能(néng)充分(fēn)保障網÷ ♠絡性能(néng)無瓶頸和(hé)安全可(kě)靠，同時(shí)避免$÷​在網絡出口發生(shēng)擁塞，保證整體(tǐ)網絡的(de)運行(xíng)速度π♥∏。

高(gāo)可(kě)靠性：我們的(de)工(gōng)業(yè)操作(zσ ☆uò)站(zhàn)安全系統能(néng)保證網絡能(néng)适用(yòng)各種流量突發情況÷₹★≤，安全系統不(bù)會(huì)由于設備或鏈路•↑(lù)的(de)單點故障而癱瘓，并能(néng)抵禦各種攻擊行(xíng≠↕♥)為(wèi)。

高(gāo)質量：支持高(gāo)性能(néng)、高(gāo)靈活度的(de)QoS，精确保證不(bù)同業(yè)務的(de)帶寬、延遲、抖動或丢包率；支持網絡流量分(fēn)析，¥÷ε方便開(kāi)展網絡規劃、安全監控、優化(σΩhuà)升級；支持各種業(yè)務帶寬限制(zhì)，防™Ω止帶寬濫用(yòng)。

高(gāo)擴展性：安全系統具有(yǒu)可(kě)擴展能(néng) α♦Ω力，便于增加業(yè)務模塊，便于部署新業‍<‍↑(yè)務系統，便于增加新的(de)功能(néng$‌)，設備上(shàng)支持高(gāo)性能(néng)、多(duō)插槽β>、豐富的(de)業(yè)務特性，同時(shí)在網絡設計(jì)上(shàng)采用(y∑÷&£òng)結構化(huà)、模塊化(huà)、↓π标準化(huà)的(de)設計(jì)理(lǐ)念εγ。

防護産品部署思路(lù)原則

按照(zhào)工(gōng)控安全的(de)“縱向分(fēn)層、★♦橫向分(fēn)區(qū)”的(de)主導思想将整體(tǐ)工§€ ™(gōng)業(yè)控制(zhì)網絡參考标準的(de)自(zì)動化(huà)模型層次及結≈∑合實際情況，分(fēn)為(wèi)現(xiàn)場(chǎng)設備層、生(s₽σ♥γhēng)産控制(zhì)和(hé)管理(lǐ)執行(xíng↕↑ε♠)層。

圍繞以機(jī)床為(wèi)核心的(de)DNC網絡進行(xíng)區(qū)域劃分(fēn)，包括±‌ππ與其關聯的(de)技(jì)術(shù)中心網絡及管理(lβ↓ǐ)網，依據各生(shēng)産線的(de)業(yè)務類型、數(shù)據安全級别、相( ‍✔xiàng)關聯的(de)系統等因素進行(xíng)分(fēn)區∏©(qū)分(fēn)域，并按照(zhào)“縱↓♣向分(fēn)層、橫向分(fēn)區(qū)”原則進行(xíng)劃分(fēn)，以®λ便明(míng)确區(qū)域間(jiān)的(de)邊界。

網絡區(qū)域劃分(fēn)完成後的(de)成果是(s×↓hì)在原有(yǒu)網絡基礎上(shàng)進行(xíng)改造，網絡區(q♥​≈ū)域大(dà)的(de)區(qū)域劃分(fēn)為(wèi)內(nèi)網、外(ε₹←↕wài)網，其中內(nèi)網中又(yòu)分(f™§ēn)管理(lǐ)網和(hé)生(shēng)産網，由內(nèi γ£ )網的(de)ERP系統産生(shēng)訂單後，直接到(dào)生(shēng)産環節的(d↔™↕&e)工(gōng)藝設計(jì)，此區(qū)域單獨劃分(fēn)為(wèi)技(≈ jì)術(shù)中心，然後下(xià)發程序文(wε$→♠én)件(jiàn)給DNC服務器(qì)，DNC服務器(qì)在內(nèi)網服務器(qì)區(qū)域內(nèi)，單獨劃分(ε↓"♥fēn)一(yī)個(gè)區(qū)域。

生(shēng)産控制(zhì)層主要(yào)是(shì)編程工(gōng)作(zu≈©ò)站(zhàn)和(hé)DNC統一(yī)管理(lǐ)系統。編程工(gōng)作(zuò)站(zhàn)的(de)人(rén)€φ↑員(yuán)通(tōng)過DNC服務器(qì)下(xià)發NC程序文(wén)件(jiàn)給機(jī)床，橫向★¶₹®分(fēn)多(duō)個(gè)車(chē)間(÷≠jiān)。

最下(xià)層現(xiàn)場(chǎng)設備層主要(yào)是(shì)←§<"接收從(cóng)上(shàng)層下(xià)發的(de)NC程序的(de)機(jī)床，橫向也(yě)如(rú)同生(shēng)産控制(zhì)層分(f&®λ↔ēn)多(duō)個(gè)車(chē)間(jiān)。

網絡拓撲圖

   網絡防護拓撲圖

1、針對(duì)企業(yè)信息網MES系統與生(shēng)産管理(lǐ)DNC網絡系統之間(jiān)防護風(fēng)險在網絡邊界部署機(jī)架式工(gōng)業★∏ ←(yè)防火(huǒ)牆來(lái)完成隔離(lí)。工(gōng)業(yè)防火(hu←≈ǒ)牆為(wèi)硬件(jiàn)設備，部署在生(shēng)産網和(hé)信λ•息網的(de)網絡邊界，串接在中央級核心交換機(jī)和(hé)下(xià)層交換機(j‌©γī)之間(jiān)進行(xíng)訪問(wèn)控制(zhì)，對(duì)Ω™工(gōng)控協議(yì)包括OPC和(hé)MODBUS深度協議(yì)解析,在信息網中也(yě)需要(yào)工(gōng)業(yè)防火(huǒ)牆來∏γσ(lái)隔離(lí)MES、PDM等服務器(qì)。

2、針對(duì)生(shēng)産網各子(zǐ)系統的(♥≈de)區(qū)域隔離(lí)，采用(yòng)導軌式工β™(gōng)業(yè)防火(huǒ)牆，布置在'∏各生(shēng)産區(qū)PLC出口端，完成生(shēng)産區(qū)域的(de)隔離(lí)，串♠→₩接在環網交換機(jī)進行(xíng)訪α↑問(wèn)控制(zhì)，對(duì)工(gōng¶')控協議(yì)深度解析。

3、數(shù)據采集服務器(qì)等涉及核心數(shù)據，需要(yào)串接工(gōng)業(≤₩¶↓yè)網閘，将信息網與生(shēng)産管理(lǐ)網之間(ji £φān)實現(xiàn)數(shù)據擺渡，隔離(lí)危險。

4、工(gōng)程師(shī)站(zhàn)部署工(gōng)控漏洞掃描系統，面向網絡可π✔(kě)達自(zì)動化(huà)系統中軟硬件(jiàn)設備，深度掃描設備存在的Ω​(de)漏洞，上(shàng)線及檢修期間(jiān)進₩↔行(xíng)正常掃描，避免由軟硬件(jiàn)存在的(de)漏洞造成設備停機(jī)₩↑，對(duì)生(shēng)産造成損失。

5、對(duì)各操作(zuò)站(zhàn)布置操作(zuò)站(zhàn)安全管™♠¥理(lǐ)系統，完成對(duì)非法入侵的(deε↕)隔離(lí)和(hé)違規操作(zuò)的(de)規避，實現(★♥₽∏xiàn)生(shēng)産安全。安裝在windows系統的(de)操作(zuò)員(yuán)站(zh✘ε≠♥àn)和(hé)監控主機(jī)上(shàng)。

6、工(gōng)控異常監測系統部署在網絡的(de)邊界，在核心交換機(jī)上(shàδ±ng)做(zuò)鏡像配置，将網絡流量鏡像給入侵檢測設備進行(xíng)分(fēn)析，檢> ε測網絡中業(yè)務操作(zuò)異常、針對(duì)工(gōng)業(yè)控制(zhì)系統的Ωβ∞(de)病毒木(mù)馬等攻擊行(xíng)為(wèi)。

7、針對(duì)工(gōng)控網絡裡(lǐ)面無線環境采用(yòng)無線安全引擎對(du©>←ì)現(xiàn)場(chǎng)的(d‌λσe)無線網絡進行(xíng)管控和(hé)防護，防止無線網絡入侵和(hé)信号劫持/幹擾。無線解決方案的(de)主要(yào)功能(néng)包括：無線接入、無線認證、無線防火(hγγ​uǒ)牆、無線入侵防禦、無線加密、無線定位等。

8、工(gōng)控運維審計(jì)系統：對(duì)通(tōng)過網絡進行(xíng​₩)的(de)各類遠(yuǎn)程運維行(xíng)為(wèi)進行(xíng)安全審計("₹∏§jì)，詳細記錄各類運維操作(zuò)行γ"£↔(xíng)為(wèi)，防止非法操作(↔×£zuò)。

9、工(gōng)控信息安全管理(lǐ)系統：建立工(gōng)控♣→♠ε信息安全管理(lǐ)系統，主要(yào)用(> •€yòng)于對(duì)工(gōng)業(yè)控制(zhì)環境的(de)統一(yī)安全 ≤β管理(lǐ)，在實現(xiàn)網絡進行(xíng ± ‍)可(kě)用(yòng)性與性能(néng)的(de)監控、事(shì)件(jiàn)Ω≈的(de)分(fēn)析審計(jì)預警、風(fēng)₹'σ險與态勢的(de)度量與評估、流行(xíng)為(↓÷×wèi)的(de)合規分(fēn)析的(de)同時‌‌λ©(shí)，還(hái)承載著(zhe)對(duì)工(gōng)控安全設備統一(yī₽¶♠×)管理(lǐ)的(de)職能(néng)，是(shì)工(gōng)業≈÷§(yè)控制(zhì)網絡信息安全管理(lǐ)的(de)統一(yī)平台。