新鄭卷煙廠的控制系統(tǒng)現(xiàn)狀及安全分析

1.  生產(chǎn)控制網(wǎng)絡(luò)現(xiàn)狀

新鄭煙草集團管理信息系統(tǒng)作為公司統(tǒng)一的數(shù)據(jù)應(yīng)用平臺和數(shù)據(jù)庫，已經(jīng)可以做到物流、信息流、價值流的互通和集成，實現(xiàn)了業(yè)務(wù)運作流程的高度集成與簡化，實現(xiàn)集成、高效、精細的企業(yè)管理。針對整個工業(yè)集團當前的管理層次和業(yè)務(wù)需要可將整個信息系統(tǒng)劃分為工廠生產(chǎn)自動控制層、生產(chǎn)指揮調(diào)度層、工廠經(jīng)營管理層、工業(yè)集團公司經(jīng)營管理層，通過相應(yīng)的信息系統(tǒng)實現(xiàn)其信息化管理，各層信息系統(tǒng)的目標、功能以及定位明確、清晰，同時各層信息系統(tǒng)之間高度集成。

其中，各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、可編程邏輯控制器（PLC）、遠程終端（RTU）、人機操作界面（HMI），以及確保各組件通信的接口技術(shù)。

生產(chǎn)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)分為三層，底層是工業(yè)控制層網(wǎng)絡(luò)，主要由工業(yè)以太網(wǎng)和現(xiàn)場總線組成，工業(yè)以太網(wǎng)采用星型結(jié)構(gòu)將上位機（操作員站）、PLC  等組成工業(yè)現(xiàn)場的一個小型局域網(wǎng)；中間層采用環(huán)形網(wǎng)絡(luò)將各個工業(yè)現(xiàn)場的小型工業(yè)局域網(wǎng)連接起來，與中控室相連； 上層采用星型結(jié)構(gòu)的工業(yè)以太網(wǎng)由采集服務(wù)器、IH 服務(wù)器、關(guān)系數(shù)據(jù)庫服務(wù)器、操作員站、 網(wǎng)絡(luò)發(fā)布服務(wù)器等組成小型局域網(wǎng)，由 WEB 發(fā)布服務(wù)器與外界網(wǎng)絡(luò)相連。

2.  控制系統(tǒng)安全分析

目前，安全問題已經(jīng)在關(guān)系民計民生的基礎(chǔ)設(shè)施行業(yè)得到重視，如工業(yè)、能源、交通、水利以及市政等領(lǐng)域等。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。

2010 年 10 月，一種名為“震網(wǎng)”（Stuxnet）的蠕蟲病毒導(dǎo)致全球有超過 4.5 萬個網(wǎng)絡(luò)受 到感染，伊朗、印尼、印度、美國等均有發(fā)生，其中伊朗布什爾核電站因此而推遲發(fā)電。據(jù) 稱，該病毒是當前首例專門針對工業(yè)控制系統(tǒng)編寫的破壞性程序，也被稱為“超級工廠病毒”， 目前監(jiān)測發(fā)現(xiàn)該病毒已開始在我國互聯(lián)網(wǎng)上傳播。經(jīng)國家網(wǎng)絡(luò)與信息安全信息通報中心組織國家計算機病毒應(yīng)急處理中心及瑞星、江民、360、安天等國內(nèi)防病毒廠商研判，目前該病毒僅針對西門子公司的工業(yè)控制系統(tǒng)進行破壞，對互聯(lián)網(wǎng)用戶尚未構(gòu)成實質(zhì)威脅。

在煙草工業(yè)系統(tǒng)中，隨著西門子公司的工業(yè)控制網(wǎng)絡(luò)在卷煙生產(chǎn)企業(yè)的廣泛應(yīng)用，其安全問題成為影響卷煙企業(yè)正常生產(chǎn)的關(guān)鍵因素。新鄭卷煙廠制絲車間工業(yè)控制網(wǎng)絡(luò)運行四年期間共發(fā)生通訊中斷、網(wǎng)絡(luò)阻塞、實時數(shù)據(jù)庫數(shù)據(jù)采集丟失、控制失靈等網(wǎng)絡(luò)安全事件二十 余起，曾造成整條制絲生產(chǎn)線無法啟動和中斷等嚴重影響生產(chǎn)事件。

與傳統(tǒng)的信息系統(tǒng)安全需求不同，工業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。

據(jù)權(quán)威工業(yè)安全事件信息庫RISI（Repository of Security Incidents）統(tǒng)計，截止2011 年10 月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001 年后，通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對ICS系統(tǒng)的攻擊行為出現(xiàn)大幅度增長，ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。

圖3：1982-2009工業(yè)系統(tǒng)攻擊事件

參考工信部協(xié)[2011]451號《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，綜合工業(yè)控制網(wǎng)絡(luò)特點以及工業(yè)環(huán)境業(yè)務(wù)類型、組織職能、位置、資產(chǎn)、技術(shù)等客觀因素，必須對工業(yè) 控制系統(tǒng)構(gòu)建信息安全管理體系，才能確保工業(yè)控制系統(tǒng)高效穩(wěn)定的運行。

需求分析

新鄭卷煙廠工業(yè)控制網(wǎng)目前是一個相對獨立的網(wǎng)絡(luò)，僅有一條線與新鄭卷煙廠的企業(yè)信息網(wǎng)相連，以便于車間領(lǐng)導(dǎo)上報數(shù)據(jù)、卷煙廠領(lǐng)導(dǎo)查閱生產(chǎn)數(shù)據(jù)。企業(yè)信息網(wǎng)是和互聯(lián)網(wǎng)相連的。在工業(yè)控制網(wǎng)中，通過 PLC 收集生產(chǎn)系統(tǒng)的數(shù)據(jù)，并通過光纖環(huán)網(wǎng)上傳至數(shù)據(jù)采集服務(wù)器，整個網(wǎng)絡(luò)結(jié)構(gòu)大致如下圖所示：

據(jù)統(tǒng)計，新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)在運行四年期間共發(fā)生通信中斷、網(wǎng)絡(luò)阻塞、實時 數(shù)據(jù)庫采集丟失、控制失靈等網(wǎng)絡(luò)安全事件二十余起，曾造成整體制絲生產(chǎn)線無法啟動和中斷等嚴重影響生產(chǎn)的安全事件。經(jīng)過事后的分析，發(fā)生上述安全事件的原因是因為工業(yè)控制 網(wǎng)絡(luò)系統(tǒng)感染了計算機病毒，感染了病毒的計算機大量發(fā)布數(shù)據(jù)包造成了網(wǎng)絡(luò)阻塞、通信中斷等安全事件。

1.  控制網(wǎng)絡(luò)的安全漏洞

根據(jù)國家反計算機病毒中心的最新統(tǒng)計截止到 2011 年“震網(wǎng)”病毒(Worm/Stuxnet.x)已經(jīng)悄無聲息的侵入我國，已經(jīng)導(dǎo)致了部分企業(yè)用戶遭受其侵害，承受了一定的經(jīng)濟損失。 “震網(wǎng)”病毒(Stuxnet 蠕蟲病毒)能夠利用對 windows 系統(tǒng)和西門子 SIMATIC WinCC 系統(tǒng)的 7 個漏洞進行攻擊。特別是針對西門子公司的 SIMATIC WinCC 監(jiān)控與數(shù)據(jù)采集 (SCADA)  系統(tǒng)進行攻擊。 開放性為用戶帶來的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加。對于一個控制網(wǎng)絡(luò)系統(tǒng)，產(chǎn)生安全漏洞的因素是多方面的。

網(wǎng)絡(luò)通信協(xié)議安全漏洞

隨著 TCP(UDP)/IP 協(xié)議被控制網(wǎng)絡(luò)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP 協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當其推廣到社會的應(yīng)用環(huán)境后，安全問題發(fā)生了。所以說，TCP/IP 在先天上就存在著致命的安全漏洞。

TCP/IP 協(xié)議簇規(guī)定了 TCP/UDP 是基于 IP 協(xié)議上的傳輸協(xié)議，TCP 分段和 UDP 數(shù)據(jù)包是封裝在 IP 包在網(wǎng)上傳輸?shù)?，除了可能面臨 IP 層所遇到的安全威脅外，還存在 TCP/UDP 實現(xiàn)中的安全隱患。例如，TCP 建立連接時在客戶機/服務(wù)器模式的“三次握手”中，假如客 戶的 IP 地址是假的，是不可達的，那么 TCP 無法完成該次連接并處于“半開”狀態(tài)，攻擊者利用這個弱點就可以實施如 SYN Flooding 的拒絕服務(wù)攻擊；TCP 提供可靠連接是通過初始序列號和鑒別機制來實現(xiàn)的。一個合法的 TCP 連接都有一個客戶機/服務(wù)器雙方共享的唯一 序列號作為標識和鑒別。初始序列號一般由隨機數(shù)發(fā)生器產(chǎn)生，但問題出在很多操作系統(tǒng)在 實現(xiàn) TCP 連接初始序列號的方法中，它所產(chǎn)生的序列號并不是真正的隨機，而是一個具有一定規(guī)律、可猜測或計算的數(shù)字。對攻擊者來說，猜出了初始序列號并掌握了 IP 地址后， 就可以對目標實施 IP Spoofing 攻擊，而且極難檢測，危害巨大；而 UDP 是一個無連接的控制協(xié)議，極易受 IP 源路由和拒絕服務(wù)型攻擊。

操作系統(tǒng)安全漏洞

PC+Windows 的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機/操作站的主流。而在控制網(wǎng)絡(luò)中， 上位機/操作站是實現(xiàn)與 SCADA 通信的主要網(wǎng)絡(luò)結(jié)點，因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個短板。

應(yīng)用軟件安全漏洞

處于應(yīng)用層的應(yīng)用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面這是因為應(yīng)用軟件形式多樣，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題；另一方面最嚴重的是，當應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時，就必須開放其應(yīng)用端口。例如，要想實現(xiàn)與操作站 OPC 服務(wù)器軟件的網(wǎng)絡(luò)通信， 控制網(wǎng)絡(luò)就必須完全開放 135 端口，這時防火墻等安全設(shè)備已經(jīng)無能為力了。而實際上， 不同應(yīng)用軟件的安全漏洞還不止于此。

目前黑客攻擊應(yīng)用軟件漏洞常用的方法是“緩沖區(qū)溢出”，它通過向控制終端發(fā)送惡意數(shù)據(jù)包來獲取控制權(quán)。一旦獲取控制權(quán)，攻擊者就可以如在本地一樣去操控遠程操作站上的監(jiān)控軟件，修改控制參數(shù)。

2.  控制網(wǎng)絡(luò)安全隱患

控制網(wǎng)絡(luò)的安全漏洞暴露了整個控制系統(tǒng)安全的脆弱性。由于網(wǎng)絡(luò)通信協(xié)議、操作系統(tǒng)、應(yīng)用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問和操控控制網(wǎng)絡(luò)系統(tǒng)，形成了巨大的安全隱患?？刂凭W(wǎng)絡(luò)系統(tǒng)的安全性同樣符合“木桶原 則”，其整體安全性不在于其最強處，而取決于系統(tǒng)最薄弱之處，即安全漏洞所決定。只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。

安全漏洞對控制網(wǎng)絡(luò)的隱患體現(xiàn)在惡意攻擊行為對系統(tǒng)的威脅。隨著越來越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)上，這種威脅就越來越大。目前互聯(lián)網(wǎng)上已有幾萬個黑客站點，黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已達上千種。這些攻擊技術(shù)一旦被不法之徒掌握， 將產(chǎn)生不良的后果。

對于控制網(wǎng)絡(luò)系統(tǒng)，由于安全漏洞可能帶來的直接安全隱患有以下幾種。

入侵

系統(tǒng)被入侵是系統(tǒng)常見的一種安全隱患。黑客侵入計算機和網(wǎng)絡(luò)可以非法使用計算機和 網(wǎng)絡(luò)資源，甚至是完全掌控計算機和網(wǎng)絡(luò)?？刂凭W(wǎng)絡(luò)的計算機終端和網(wǎng)絡(luò)往往可以控制諸如大型化工裝置、公用工程設(shè)備，甚至核電站安全系統(tǒng)等大型工程化設(shè)備。黑客一旦控制該系統(tǒng)，對系統(tǒng)造成一些參數(shù)的修改，就可 能導(dǎo)致生產(chǎn)運行的癱瘓，就意味著可能利用被感染的控制中心系統(tǒng)破壞生產(chǎn)過程、切斷整個 城市的供電系統(tǒng)、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的 控制網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)當中，這種可能就越來越大。

拒絕服務(wù)攻擊

受到拒絕服務(wù)攻擊是一種危害很大的安全隱患。常見的流量型攻擊如 Ping Flooding、 UDP Flooding 等，以及常見的連接型攻擊如 SYN Flooding、ACK Flooding 等，通過消耗 系統(tǒng)的資源，如網(wǎng)絡(luò)帶寬、連接數(shù)、CPU 處理能力等使得正常的服務(wù)功能無法進行。拒絕 服務(wù)攻擊難以防范的原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備如路由器、交 換機、防火墻等都可以被拒絕服務(wù)攻擊。

控制網(wǎng)絡(luò)一旦遭受嚴重的拒絕服務(wù)攻擊就會導(dǎo)致操作站的服務(wù)癱瘓，與控制系統(tǒng)的通信完全中斷等?？梢韵胂瘢艿骄芙^服務(wù)攻擊后的控制網(wǎng)絡(luò)可能導(dǎo)致網(wǎng)絡(luò)中所有操作站和監(jiān)控終端無法進行實時監(jiān)控，其后果是非常嚴重的。而傳統(tǒng)的安全技術(shù)對拒絕服務(wù)攻擊幾乎不可避免，缺乏有效的手段來解決。

病毒與惡意代碼

病毒的泛濫是大家有目共睹的。全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。除了傳統(tǒng)意義上的具有自我復(fù)制能力但必須寄生在其它實用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie 等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過程。傳統(tǒng)病毒的自我復(fù)制過程需要人工干預(yù)，無論運行感染病毒的實用程序，或者是打開包含宏病毒的郵件等，沒有人工干預(yù)病毒無法自我完成復(fù)制、傳播。但蠕蟲卻可以自我獨立完成以下過程：

● 查找遠程系統(tǒng)：能夠通過檢索已被攻陷的系統(tǒng)的網(wǎng)絡(luò)鄰居列表或其它遠程系統(tǒng)地址列表找出下一個攻擊對象。

● 建立連接：能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如 Telnet連接等。

● 實施攻擊：能夠自動將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠程系統(tǒng)，并運行它。一旦計算機和網(wǎng)絡(luò)染上了惡意代碼，安全問題就不可避免。

3.  系統(tǒng)高可用性

對于新鄭卷煙廠工業(yè)控制網(wǎng)來說，直接影響到卷煙廠的生產(chǎn)效率和生產(chǎn)成績，僅僅對病毒防治是遠遠不夠的。我們從新鄭卷煙廠網(wǎng)絡(luò)拓撲圖上，可以看到，目前數(shù)據(jù)采集服務(wù)器存在單點故障的可能， 而控制網(wǎng)絡(luò)又采用環(huán)形光纖網(wǎng)絡(luò)，各子系統(tǒng)之間互相影響的風(fēng)險極大。若服務(wù)器的數(shù)據(jù)庫或操作系統(tǒng)或服務(wù)器硬件發(fā)生故障，更會嚴重影響整個工業(yè)控制生產(chǎn)網(wǎng)的正常運轉(zhuǎn)。所以，應(yīng)該考慮構(gòu)建一個高可靠性、獨立性網(wǎng)絡(luò)，來保障新鄭卷煙廠工業(yè)控制系統(tǒng)的可持續(xù)運行。

方案設(shè)計

1.  建設(shè)目標

通過上述對新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的分析，我們進行歸納總結(jié)，可以發(fā)現(xiàn)，若要實現(xiàn)新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的可持續(xù)性運行，需要從技術(shù)和管理兩個方面同時來進行完善和加強， 構(gòu)建一套新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的信息安全體系。

2.  系統(tǒng)設(shè)計方案

分布式管理規(guī)劃

目前新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)，沒有明確的進行分域分級管理，整個網(wǎng)絡(luò)區(qū)域邊界不明確， 缺乏必要的網(wǎng)絡(luò)隔離手段，我們首先應(yīng)將網(wǎng)絡(luò)進行網(wǎng)絡(luò)邊界的劃分，以明確保護對象，進行訪問控制，構(gòu)建網(wǎng)絡(luò)基本防線。

我們建議在每個不同的區(qū)域之間物理隔離，實現(xiàn)不同區(qū)域之間最基本的網(wǎng)絡(luò)安全防御， 可以有效避免單個區(qū)域感染病毒，其它子系統(tǒng)受到攻擊。如下圖所示：

劃分為4個安全區(qū)域，在各個安全區(qū)域之間放置進行物理隔離和數(shù)據(jù)過濾。

最上層為企業(yè)信息網(wǎng)，在企業(yè)信息網(wǎng)和工控網(wǎng)之間放置隔離網(wǎng)關(guān)，在兩個不同安全區(qū)域之間進行物理隔離。對企業(yè)信息網(wǎng)的合法用戶對車間工控網(wǎng)的訪問進行嚴格的訪問控制， 并防止非法用戶對車間工控網(wǎng)的訪問。

控制網(wǎng)又分為3個層次，集中監(jiān)控層，數(shù)據(jù)采集層和過程控制層。在集中監(jiān)控管理層和數(shù)據(jù)采集子系統(tǒng)之間放置工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)。

安全隔離網(wǎng)關(guān)主要起到控制層與信息層安全隔離作用，安全隔離網(wǎng)關(guān)采用物理隔離和安全通道隔離，將以太網(wǎng)進行物理級安全隔離，安全通道隔離即通過專用通信硬件和私有不可路由協(xié)議等安全機制來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。

系統(tǒng)提供多種工業(yè)通信協(xié)議驅(qū)動接口可供選擇，同時可提供對國內(nèi)外主流平臺軟件如： WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等產(chǎn)品的底層快速通 信接口。

信息網(wǎng)與控制網(wǎng)安全隔離

硬件系統(tǒng)“2+1”架構(gòu)：系統(tǒng)硬件平臺由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)、隔離交換系統(tǒng) 三部分組成。內(nèi)網(wǎng)/外網(wǎng)主機系統(tǒng)分別具有獨立的運算單元和存儲單元，隔離交換系統(tǒng)要求基于 PSL 技術(shù)及相應(yīng)的隔離加密電路，不受主機系統(tǒng)控制，獨立完成應(yīng)用數(shù)據(jù)的封包、擺 渡、拆包，從而實現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離交換。保證數(shù)據(jù)交換延遲時間低于 1ms，從而滿足用戶對高性能安全隔離的需求。

網(wǎng)絡(luò)化集中管理

智能管理平臺“PSL-Config”： PSL-Config 對網(wǎng)關(guān)提供 2 種管理方式：遠程管理方式和控制臺管理方式。遠程管理是通過網(wǎng)絡(luò)接口實現(xiàn)對網(wǎng)關(guān)的管理，包括：聯(lián)機及用戶登錄、查詢網(wǎng)關(guān) 狀態(tài)、上傳或下載工程、修改密碼、升級軟件等功能。另一種方式為控制臺管理方式，通過網(wǎng)關(guān)的控制臺端口（RS232）實現(xiàn)對網(wǎng)關(guān)的管理。2 種方式的操作方式完全相同。無論采用哪種方式，pSafetyLink 均提供了嚴格的身份認證來管理連接權(quán)限。

● 遠程管理和維護：配置軟件 PSL-Config 工具是專為 pSafetyLink 系列產(chǎn)品設(shè)計的通用智能化配置、管理與調(diào)試工具。它基于 Windows NT/2000/XP  平臺，提供基于 XP風(fēng)格的表格化交互式人機界面，采用基于向?qū)У牟僮髂Ｊ?，操作十分簡便?/p>

● 模板化測點管理：PSL-Config 對測點除了提供單點配置功能外，還提供了非常適用的模板功能。模板功能可以大大提供用戶工程組態(tài)的效率，減少組態(tài)的差錯率。對 于 OPC 服務(wù)器，PSL-Config 可自動遍歷服務(wù)器所有測點并生成模板。用戶也可以手工編輯模板然后導(dǎo)入到工程中。

● 斷線緩存：系統(tǒng)支持自動網(wǎng)絡(luò)通信負荷平衡功能和斷線數(shù)據(jù)緩沖功能。

● 在線升級：實現(xiàn)在大量使用網(wǎng)關(guān)的時候，能夠?qū)ζ溥M行統(tǒng)一的管理，升級和必要的運行狀態(tài)的查看。

● 在線監(jiān)視工具：功能包括：查詢網(wǎng)關(guān)狀態(tài)、查詢運行狀態(tài)、在線監(jiān)視測點數(shù)據(jù)、在線監(jiān)視通信報文信息、查詢授權(quán)狀態(tài)、查詢程序版本信息、查詢調(diào)試信息、查詢?nèi)罩拘畔⒌取?/p>

● 通道狀態(tài)報警：系統(tǒng)診斷子系統(tǒng)實時檢測系統(tǒng)內(nèi)各進程、線程的運行狀態(tài)，同時對關(guān)鍵的硬件模塊進行診斷，當發(fā)現(xiàn)異常時自動產(chǎn)生報警信息，并在符合條件的情況下啟動自動恢復(fù)邏輯。

身份安全認證

對工業(yè)安全防護網(wǎng)關(guān)裝置進行各種操作（如：修改網(wǎng)關(guān)工程、升級程序、查詢?nèi)罩镜龋r，要求安全網(wǎng)關(guān)提供嚴格的身份認證來管理連接權(quán)限。工業(yè)安全防護網(wǎng)關(guān)具備兩種連接方式：網(wǎng)絡(luò)方式（以太網(wǎng)接口）和控制臺方式（RS232  接口）。兩種連接方式采用統(tǒng)一的連接權(quán)限管理，均需要使用系統(tǒng)管理員帳號登入。要求工業(yè)安全網(wǎng)關(guān)采用基于數(shù)字簽名技術(shù)的高安全性認證機制，保證系統(tǒng)的機密性、完整性和不可否認性。

數(shù)據(jù)測點訪問管理

防護網(wǎng)關(guān)內(nèi)部實現(xiàn)通信協(xié)議的接口服務(wù)，可以實現(xiàn)針對測點一級的訪問控制。例如：對 于 Modbus/TCP 標準可以控制到具體某個寄存器，對于 OPC 標準可以控制到 Item（項）一 級。

對測點的訪問，工業(yè)安全防護網(wǎng)關(guān)可以指定在控制端允許接入哪些測點，哪些不允許接 入；另一方面，如果信息端存在多個服務(wù)，可以指定哪些測點允許暴露給哪個服務(wù)，同時對哪些測點進行屏蔽（信息端無法訪問）。

應(yīng)急恢復(fù)處理機制

工業(yè)安全防護網(wǎng)關(guān)內(nèi)嵌高性能工業(yè)通信軟件提供完善的系統(tǒng)在線自診斷、故障自動恢 復(fù)、看門狗管理等系統(tǒng)功能。

系統(tǒng)診斷子系統(tǒng)實時檢測系統(tǒng)內(nèi)各進程、線程的運行狀態(tài)，同時對關(guān)鍵的硬件模塊進行診斷，當發(fā)現(xiàn)異常時自動產(chǎn)生報警信息，并在符合條件的情況下啟動自動恢復(fù)邏輯。

I/O 通信子系統(tǒng)具備完善的故障自動恢復(fù)功能。當發(fā)生網(wǎng)絡(luò)通信中斷的情況時，I/O 通 信子系統(tǒng)會立刻報告通信狀態(tài)位的變化，同時啟動通信重連機制，當網(wǎng)絡(luò)通信恢復(fù)后，能迅速重新建立網(wǎng)絡(luò)連接，恢復(fù)數(shù)據(jù)通信。

工業(yè)安全網(wǎng)關(guān)內(nèi)置軟件看門狗和硬件看門狗，時刻監(jiān)視系統(tǒng)狀態(tài)，保證裝置的穩(wěn)定、可靠運行，確保萬無一失并且反應(yīng)迅速。要求雙側(cè)主機均有獨立的看門狗，保障每側(cè)主機的穩(wěn)定運行。

可行性評估

通過上述對新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)從技術(shù)和管理兩個角度的分析和規(guī)劃，構(gòu)建了一套完整的信息安全體系，可以最大化的減少因病毒、漏洞等引起的工業(yè)生產(chǎn)網(wǎng)網(wǎng)絡(luò)故障，保障新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的持續(xù)性運行，實現(xiàn)信息安全建設(shè)目標。

1.  系統(tǒng)的安全性

控制系統(tǒng)的安全

通過安全通訊網(wǎng)關(guān)將信息采集層和過程控制層隔離開，所有從信息層下發(fā)的數(shù)據(jù)都要經(jīng)過安全通訊網(wǎng)關(guān)的過濾，確保安全以后才會提交給 PLC 處 理，防止了網(wǎng)絡(luò)風(fēng)暴對 PLC 不停的訪問和攻擊和由病毒引起的誤發(fā)指令，保證了控制系統(tǒng)的安全。

數(shù)據(jù)采集的安全

新的網(wǎng)絡(luò)結(jié)構(gòu)中將數(shù)據(jù)采集和處理的任務(wù)交給了各個子系統(tǒng)的安全通訊網(wǎng)關(guān)，因為通訊是安全通訊網(wǎng)關(guān)的強項，所以能夠保證數(shù)據(jù)采集和處理的快速穩(wěn)定的運行。一個子系統(tǒng)的通訊出現(xiàn)問題也不會影響到其他的系統(tǒng)。

數(shù)據(jù)存儲的安全

由于實時數(shù)據(jù)庫 IH 服務(wù)器的數(shù)據(jù)通訊不再需要從監(jiān)控服務(wù)器中轉(zhuǎn)，而是直接與各個子系統(tǒng)的安全網(wǎng)關(guān)通訊，監(jiān)控系統(tǒng)異常時，實時數(shù)據(jù)庫系統(tǒng)仍然能夠正常運行，保存生產(chǎn)數(shù)據(jù)信息，起到黑匣子的作用。

2.  隔離網(wǎng)關(guān)對網(wǎng)絡(luò)通信速度的影響：

設(shè)備采用雙對稱的4個10/100/1000M自適應(yīng)以太網(wǎng)口，信息端和控制端的數(shù)據(jù)延遲 時間小于10ms。

● 單機額定容量：10,000～40,000點；

● 額定數(shù)據(jù)吞吐量：10,000 TPS；

● 峰值數(shù)據(jù)吞吐量：20,000 TPS；

● 單機額定連接數(shù)：控制端512個，信息端512個；

● 系統(tǒng)MTBF > 30000小時

3.  設(shè)備管理維護的便捷性：

系統(tǒng)采用遠程在線管理，可通過遠程管理方式對網(wǎng)關(guān)進行監(jiān)視和配置，提供嚴格的身份認證來管理連接權(quán)限。中心管理平臺軟件提供的監(jiān)視功能包括：查詢網(wǎng)關(guān)狀態(tài)、查詢運行狀 態(tài)、在線監(jiān)視測點數(shù)據(jù)、在線監(jiān)視通信報文信息、查詢授權(quán)狀態(tài)、查詢程序版本信息、查詢 調(diào)試信息、查詢?nèi)罩拘畔⒌取?/p>

配置功能按照工程方式進行配置管理，可以對不同網(wǎng)關(guān)設(shè)備的不同現(xiàn)場應(yīng)用案例分別按照不同的工程進行管理。每個工程包含了一種特定型號網(wǎng)關(guān)針對一個特定工程應(yīng)用的全部配 置文件，包括：內(nèi)嵌數(shù)據(jù)庫配置、I/O通信配置、網(wǎng)絡(luò)配置、系統(tǒng)參數(shù)配置等。每個工程的配置文件都存放在不同的目錄下。

4.  網(wǎng)絡(luò)隔離技術(shù)與通用防火墻技術(shù)的區(qū)別和優(yōu)勢

從數(shù)據(jù)安全角度來看，商用網(wǎng)絡(luò)往往對數(shù)據(jù)的私密性要求很高，要防止信息的泄露，而 控制網(wǎng)絡(luò)強調(diào)的是數(shù)據(jù)的可靠性。另外，商用網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型極其復(fù)雜，傳輸?shù)耐ㄐ艠?準多樣化，如 HTTP、SMTP、FTP、SOAP 等；而控制網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型相對單一，以 過程數(shù)據(jù)為主，傳輸?shù)耐ㄐ艠藴室怨I(yè)通信標準為主，如 OPC、Modbus 等。

通過比較商用網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的差異可以發(fā)現(xiàn)，常規(guī)的 IT 網(wǎng)絡(luò)安全技術(shù)都不是專門針對控制網(wǎng)絡(luò)需求設(shè)計的，用在控制網(wǎng)絡(luò)上就會存在很多局限性。 比如防火墻產(chǎn)品，目前基本是以包過濾技術(shù)為基礎(chǔ)的，它最大的局限性在于不能保證準許放行的數(shù)據(jù)的安全性。防火墻通過拒絕放行并丟棄數(shù)據(jù)包來實現(xiàn)自己的安全機制。但防火墻無法保證準許放行數(shù)據(jù)的安全性。從實際應(yīng)用來看，防火墻較為明顯的局限性包括以下幾方面：

● 防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò)四層以下 的控制，對于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。

● 防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。

● 防火墻不能防止由自身安全漏洞引起的威脅。

● 防火墻對用戶不完全透明，非專業(yè)用戶難于管理和配置，易造成安全漏洞。

● 防火墻很難為用戶在防火墻內(nèi)外提供一致的安全策略，不能防止利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊，也不能防止利用服務(wù)器系統(tǒng)漏洞所進行的攻擊。

● 由于防火墻設(shè)置在內(nèi)網(wǎng)與外網(wǎng)通信的信道上，并執(zhí)行規(guī)定的安全策略，所以防火墻在提供安全防護的同時，也變成了網(wǎng)絡(luò)通信的瓶頸，增加了網(wǎng)絡(luò)傳輸延時，如果防火墻出現(xiàn)問題，那么內(nèi)部網(wǎng)絡(luò)就會受到嚴重威脅。

● 防火墻僅提供粗粒度的訪問控制能力。它不能防止數(shù)據(jù)驅(qū)動式的攻擊。

另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：

● 由于防火墻本身是基于 TCP/IP 協(xié)議體系實現(xiàn)的，所以它無法解決 TCP/IP 協(xié)議體系中存在的漏洞。

● 防火墻只是一個策略執(zhí)行機構(gòu)，它并不區(qū)分所執(zhí)行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。從這點上看，防火墻一旦被攻擊者控制，由它保護的整個網(wǎng)絡(luò)就無安全可言了。

● 防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

● 防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數(shù)據(jù)包檢查的項目（即防火墻的功能）就越多越細，對 CPU 和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降，處理速度減慢。

● 防火墻準許某項服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應(yīng)用安全來解決。 防火墻正是由于這些缺陷與不足，導(dǎo)致目前被攻破的幾率已經(jīng)接近 50%。雖然目前最流行的安全架構(gòu)是以防火墻為核心的安全體系架構(gòu)。通過防火墻來實現(xiàn)網(wǎng)絡(luò)的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生網(wǎng)絡(luò)攻擊。僅有防火墻的安全架構(gòu)是遠遠不夠的。

其它安全技術(shù)如 IDS、VPN、防病毒產(chǎn)品等與產(chǎn)品與防火墻一樣，也都有很強的針對性， 只能管轄屬于自己管轄的事情，出了這個邊界就不再能發(fā)揮作用。IDS 作為可審查性產(chǎn)品最大的局限性是漏報和誤報嚴重，幾乎不是一個可以依賴的安全工具，而是一個參考工具。漏報等于沒有報，誤報則是報錯了，這兩個特點幾乎破壞了入侵檢測的可用性。VPN 作為一 種加密類技術(shù)，不管哪種 VPN 技術(shù)，在設(shè)計之初都是為了保證傳輸安全問題而設(shè)計的，而 沒有動態(tài)、實時的檢測接入的 VPN 主機的安全性，同時對其作“準入控制”。這樣有可能因 為一個 VPN 主機的不安全，導(dǎo)致其整個網(wǎng)絡(luò)不安全。防病毒產(chǎn)品也有局限性，主要是對新病毒的處理總是滯后的，這導(dǎo)致每年都會大規(guī)模地爆發(fā)病毒，特別是新病毒。 網(wǎng)絡(luò)隔離技術(shù)：

在防火墻的發(fā)展過程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構(gòu)在高安全性方面的缺陷，驅(qū)使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，網(wǎng)絡(luò)隔離技術(shù)應(yīng)運而生。

網(wǎng)絡(luò)隔離技術(shù)是安全市場上的一個分支。在經(jīng)過漫長的市場概念澄清和技術(shù)演變進步之 后，市場最終接受了網(wǎng)絡(luò)隔離具有最高的安全性。目前存在的安全問題，對網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在。這就是各國政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。

網(wǎng)絡(luò)隔離技術(shù)經(jīng)過了長時間的發(fā)展，目前已經(jīng)發(fā)展到了第五代技術(shù)。第一代隔離技術(shù)采 用完全的隔離技術(shù)，實際上是將網(wǎng)絡(luò)物理上的分開，形成信息孤島；第二代隔離技術(shù)采用硬件卡隔離技術(shù)；第三代隔離技術(shù)采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù)；第四代隔離技術(shù)采用空氣開關(guān)隔離 技術(shù)；第五代隔離技術(shù)采用安全通道隔離技術(shù)。

基于安全通道的最新隔離技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機制，來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當前隔離技術(shù)的發(fā)展方向。

網(wǎng)絡(luò)隔離的指導(dǎo)思想與防火墻也有很大的不同，體現(xiàn)在防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；而網(wǎng)絡(luò)隔離的思路是在必須保證安全的前提下，盡可能支持數(shù)據(jù)交換，如果不安全則斷開。

網(wǎng)絡(luò)隔離技術(shù)主要目標是解決目前信息安全中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP 漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離是目前唯一能解決上述問題的安全技術(shù)。