２、工業(yè)控制SCADA系統(tǒng)的安全防護(hù)體系。

工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系包含：在總體安全策略指導(dǎo)下，建立SCADA系統(tǒng)的安全技術(shù)體系，進(jìn)行SCADA系統(tǒng)控制中心、通信網(wǎng)絡(luò)和現(xiàn)場設(shè)備的安全防護(hù)，確保控制中心數(shù)據(jù)安全、網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性、保密性和可用性以及站控設(shè)備的安全防護(hù)能力。２.１總體安全策略

SCADA系統(tǒng)的總體安全策略主要包含以下幾個方面：

１）安全分區(qū)，隔離防護(hù)。安全分區(qū)是SCADA安全的基礎(chǔ)，主要包括對控制中心和站控系統(tǒng)進(jìn)行安全區(qū)域的劃分，應(yīng)根據(jù)系統(tǒng)的安全性、實時性、控制與非控制等方面的特點(diǎn)，將安全需求類似的系統(tǒng)、計算機(jī)、網(wǎng)絡(luò)設(shè)備等劃分在同一安全區(qū)域中，實行統(tǒng)一安全防護(hù)；應(yīng)主要進(jìn)行控制中心和站控系統(tǒng)生產(chǎn)相關(guān)系統(tǒng)與對外web應(yīng)用服務(wù)系統(tǒng)的隔離、生產(chǎn)相關(guān)系統(tǒng)中控制系統(tǒng)與非控制系統(tǒng)的隔離等。采用工業(yè)防火墻對各安全區(qū)中的業(yè)務(wù)系統(tǒng)進(jìn)行隔離保護(hù)，加強(qiáng)不同安全區(qū)域間的訪問控制措施。

２）專用通道。認(rèn)證加密。在控制中心和站控系統(tǒng)的縱向?qū)Ｓ猛ǖ郎辖⑸a(chǎn)控制專用數(shù)據(jù)網(wǎng)絡(luò)。在數(shù)據(jù)網(wǎng)絡(luò)中添加工業(yè)防火墻實現(xiàn)與對外服務(wù)網(wǎng)絡(luò)的物理隔離。實現(xiàn)多層次的保護(hù)；同時應(yīng)在縱向通信時對控制中心和站控中心實現(xiàn)雙向身份認(rèn)證，確保通信雙方的合法身份,并根據(jù)縱向傳輸通道中數(shù)據(jù)的保密性要求，選擇不同的安全策略。實現(xiàn)不同安全策略的防護(hù)機(jī)制。

3）實時報警。報警的首要問題是把網(wǎng)絡(luò)安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為企業(yè)網(wǎng)絡(luò)解決部分已發(fā)生過的安全事件提供分析依據(jù)，告別主觀經(jīng)驗推斷的模式。怎樣才能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)安全的前提。

2.2安全技術(shù)體系

SCADA系統(tǒng)安全解決方案在技術(shù)上系統(tǒng)性地考慮了控制中心和各站控系統(tǒng)之間的網(wǎng)絡(luò)縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信等安全性問題，通過劃分安全區(qū)、專用網(wǎng)絡(luò)、區(qū)域隔離和通訊檢查等多項技術(shù)從多個層次構(gòu)筑縱深防線，抵御網(wǎng)絡(luò)黑客和惡意代碼攻擊。

1）邊界安全防護(hù)。如圖2所示

在SCADA系統(tǒng)邊界控制中心與站控系統(tǒng)之間增加工業(yè)防火墻并安裝Firewall插件。通過Friewall插件的組態(tài)對控制中心與站控系統(tǒng)之間的縱向邊界進(jìn)行認(rèn)證、加密、訪問控制等措施實現(xiàn)安全防護(hù)，數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性。

2）站控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)。

如圖3所示，對操作站和PLC控制器與站控控制網(wǎng)絡(luò)隔離。操作站較多接觸移動介質(zhì)，感染病毒機(jī)率較大，增加防火墻后與控制網(wǎng)絡(luò)進(jìn)行隔離，即使感染病毒不至于擴(kuò)散。

當(dāng)控制系統(tǒng)通過以太網(wǎng)與RTU或其它第三方系統(tǒng)連接時，在兩者之間添加防火墻。

并安裝Firewall和Modbus Enforcer插件（操作站、RTU和PLC防護(hù)）；

通過對Firewall及Modbus Enforcer插件的組態(tài)，通信規(guī)則只允許DCS制造商的通訊協(xié)議以及正確的Modbus協(xié)議功能碼訪問對應(yīng)的寄存器地址才能通過，其它任何病毒或其它非法訪問都被阻止，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染不會擴(kuò)散到外面的網(wǎng)絡(luò)中去，來自外部的攻擊也不會影響到防護(hù)區(qū)域內(nèi)的設(shè)備，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件，符合 ANSI/ISA-99.00.02 的網(wǎng)絡(luò)分段要求，達(dá)到區(qū)域隔離目標(biāo)。

3） SCADA信息數(shù)采安全防護(hù)解決方案

采用工業(yè)防火墻解決方案，在OPC Server和控制中心之間增加工業(yè)防火墻。并安裝Firewall插件和OPC Enforcer插件；

通過對Firewall及OPC Enforcer插件的組態(tài)管控OPC服務(wù)器及授權(quán)客戶端之間的數(shù)據(jù)通信，并且應(yīng)用專有技術(shù)動態(tài)跟蹤OPC通信所需端口，同時工業(yè)防火墻的 Sanity Check檢查功能能夠阻擋任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC 訪問。同樣也對OPC授權(quán)客戶端發(fā)往OPC服務(wù)器的OPC對象請求進(jìn)行檢查，以提高OPC服務(wù)的安全性。

4） 中央管理平臺和安全管理平臺

中央管理平臺通過一臺工作站來配置和管理控制網(wǎng)絡(luò)安全。中央管理平臺的專用軟件能夠通過一個工作站進(jìn)行配置、管理和監(jiān)測網(wǎng)絡(luò)上的所有安全設(shè)備。可視的拖放式編輯工具可以輕松地創(chuàng)建、編輯和測試安全設(shè)備。

安全管理平臺，可以集成所有來自中央管理平臺的所有事件報警信息，并可劃分等級進(jìn)行報警，通過采用手機(jī)短信及電子郵件等方式進(jìn)行實時通知相關(guān)主管人員。該平臺能夠準(zhǔn)確捕獲現(xiàn)場所有安裝防火墻的通訊信道中的攻擊，并且詳細(xì)顯示攻擊源、通訊協(xié)議和攻擊目標(biāo)，以總攬大局的方式為SCADA網(wǎng)絡(luò)故障的及時排查與分析提供可靠依據(jù)。

３結(jié)束語

隨著我國基礎(chǔ)產(chǎn)業(yè)“兩化融合”進(jìn)程的不斷加快，SCADA系統(tǒng)的應(yīng)用日益廣泛，其安全防護(hù)已納入國家戰(zhàn)略，建立工控SCADA的信息安全防護(hù)體系，確保SCADA系統(tǒng)的安全、穩(wěn)定和優(yōu)質(zhì)運(yùn)行，能更好地為國民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)。