力控华康隔离网关在化肥企业的应用_pSafetyLink?隔离网关_隔离网关

力控华康隔离网关在化肥企业的应用

2016/8/29 16:35:29

某生产氮肥的化肥厂，有一个联合控制室，有40多套DCS操作站，负责二期工程的生产控制。为了方便生产调度管理，2005年对全厂的DCS数据进行采集，上传到生产管理部门。由于当时网络威胁不是很严重，一切运行正常。当蠕虫病毒爆发后，这种平静被打破了。

2008年某个普普通通的工作日，当生产紧张而有序地进行着的时候。突然，联合控制室，有1套DCS操作站出现了死机的现象，然后几分钟之内，多个工段的操作站接二连三的出现相同的现象。对于易燃易爆的生产工艺来说，这种DCS失控的状态随时可能引发不可挽回的后果。

幸亏工厂的维护人员经验丰富，马上拔掉的数据采集的网线。然后，同时对每台操作站进行杀毒。成千上万的蠕虫病毒被发现，险情得到了控制。

需求分析

2008年国内做工业网络安全的公司很少，而力控华康也是刚刚推出第一款pSafetyLink®隔离网关。经过仔细分析，甲方认为力控隔离网关是解决DCS安全问题最有效的方法。于是先上一台看看。由于是第一次应用，隔离网关与DCS OPC Server的通讯会出现中断的现象。力控华康的开发人员经过分析，发现是DCS OPC Server的问题，于是请DCS厂家对OPC Server进行了改进。于是运行稳定了。

直到隔离网关正常运行后，该化肥厂才将生产数据采集调度系统恢复运行。由于该化肥厂还有2个分厂需要解决接入调度系统的安全问题，于是工厂又购买了几台pSafetyLink®隔离网关，并顺利投入运行。

工控网络安全解决方案

前面企业的需求并非个例，化肥企业是典型的资金和技术密集型企业，对信息系统依赖程度很高，生产的连续性很强，装置和设备的意外停产都会导致巨大的经济和财产损失。通过前面对化肥企业网络安全风险的分析，我们总结出化肥企业信息安全建设的需求主要是通过建设具备纵深防御能力的信息安全保障体系，抵御来自内部、外部的入侵和攻击，及时发现病毒、漏洞并抑制病毒在网络间的扩散，尤其要确保工业控制系统的安全，避免因为控制系统被入侵而出现生产事故。

参照ANSI/ISA-99标准，同时结合化肥行业的具体情况，我们将企业系统结构划分成不同的区域，以帮助企业有效地建立“纵深防御”体系：

1.横向分层，将企业的生产网络划分成企ERP、MES、PCS三层网络结构。在MES和PCS间部署了力控华康PSL系列工业隔离网关，主要实现了控制网络的物理隔离，有效屏蔽ERP和MES层面的网络威胁向生产控制系统传导，同时又实现了网络之间安全的数据交换。在管理网络和信息网络之间部署工业防火墙，主要用于弥补传统防火墙的不足，实现对工业协议的安全检测。

2.在生产控制网络层内纵向分区，每个生产区内包含离散控制系统（DCS）、OPC服务器和不同的生产车间。在OPC服务器与DCS控制系统之间采用力控华康ISG工业防火墙进行安全防护，通过对工业协议的深度过滤确保DCS系统及控制设备的安全，并抑制安全威胁在不同生产区之间的扩散。

3.在生产控制网络内布署工业漏洞扫描系统，定期对工业网络设备、系统及PLC等控制设备进行安全检测，让安全管理人员及时了解工业网络安全和运行的应用服务情况，及时发现安全漏洞，更新漏洞补丁，避免因此而带来的风险威胁。目前网络边界防御中最普遍应用的安全技术是通用防火墙。通用防火墙是在网络层对数据包作安全检查，并不切断网络连接，很多案例证明无论包过滤、状态检测还是代理防火墙技术都很难防止木马病毒的入侵内部网络。Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证。通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而PSL工业隔离网关从原理实现上就切断所有的T CP、UDP、ICMP等通用协议链接，使得蠕虫病毒和木马无法通过工业安全隔离网关进行通讯，从而可以防止已知和未知的木马攻击。

本方案中采用的力控华康PSL安全工业隔离网关内部特殊的2+1的双独立主机架构，控制端接入工业控制网络，通过采集接口完成各子系统数据的采集；信息接入到企业管理网络，完成数据到调度中心的传输。双主机之间通过专有的PSL网络隔离传输技术，截断TCP连接，彻底割断穿透性的TCP连接。PSL的物理层采用专用隔离硬件，链路层和应用层采用私有通信协议，数据流采用128位以上加密方式传输，更加充分保障数据安全。PSL技术实现了数据完全自我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根本上杜绝了非法数据的通过，确保子系统控制系统不会受到攻击、侵入及病毒感染。