行業(yè)背景

化工行業(yè)作為國家重要的支柱產(chǎn)業(yè)，其行業(yè)具有高溫、高壓、易燃、易爆、易腐蝕等特殊性，屬于典型的技術(shù)密集型企業(yè)，生產(chǎn)連續(xù)性很強(qiáng)，裝置和重要設(shè)備的意外停產(chǎn)都會導(dǎo)致巨大的經(jīng)濟(jì)損失，因此生產(chǎn)過程控制大多采用 DCS 等先進(jìn)的控制系統(tǒng)，為此化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全的重要性更顯得尤為突出。

在2019年發(fā)布的等保2.0（第二級和第三級）基本要求中“工業(yè)控制系統(tǒng)安全擴(kuò)展要求”第7.5.2.1及8.5.2.1條“網(wǎng)絡(luò)架構(gòu)”分別提出要求“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用技術(shù)隔離手段”，“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段”。工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第“三、 邊界安全防護(hù)”中“（三）通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)”。

綜合上述要求，工業(yè)企業(yè)的工業(yè)控制系統(tǒng)在與其他系統(tǒng)進(jìn)行連接時需要采用技術(shù)隔離手段，以保護(hù)工業(yè)控制系統(tǒng)的邊界安全。從IEC 62264-1層次模型進(jìn)行分析，網(wǎng)絡(luò)安全邊界在生產(chǎn)管理層與過程監(jiān)控層之間，我們暫時稱之為生產(chǎn)管理層的層級邊界。

需求分析

隨著國家“兩化融合”“數(shù)字化轉(zhuǎn)型”“化工云”等相關(guān)政策、指導(dǎo)文件的發(fā)布，化工企業(yè)開始根據(jù)自身情況進(jìn)行生產(chǎn)技術(shù)改革，生產(chǎn)裝置優(yōu)化系統(tǒng)、專家系統(tǒng)已不能滿足對整體化工生產(chǎn)工藝綜合優(yōu)化、提質(zhì)的需求。MES系統(tǒng)、行業(yè)云等智能制造解決方案逐漸在化工企業(yè)中擴(kuò)大，解決生產(chǎn)環(huán)節(jié)綜合調(diào)度、信息對稱、精細(xì)化管理、能耗優(yōu)化等問題。

安盟信息依據(jù)對化工企業(yè)豐富的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗和大量的實踐經(jīng)驗，對化工行業(yè)MES系統(tǒng)、行業(yè)云等智能制造解決方案綜合分析，化工企業(yè)的生產(chǎn)裝置（DCS系統(tǒng)）工業(yè)段存在與MES系統(tǒng)、化工云等上層平臺進(jìn)行密切的數(shù)據(jù)交換過程。生產(chǎn)裝置工藝段有完整的DCS系統(tǒng)，且有SIS系統(tǒng)、CCS系統(tǒng)與之相輔相成，屬于相對獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，對上層平臺多采用OPC 的標(biāo)準(zhǔn)接口提供生產(chǎn)及告警信息。針對生產(chǎn)管理層級邊界的網(wǎng)絡(luò)安全防護(hù)即可實現(xiàn)對化工行業(yè)生產(chǎn)裝置工藝段的防護(hù)，又可對MES系統(tǒng)、化工云等上層平臺帶來可靠的、穩(wěn)定的數(shù)據(jù)源。

解決方案

1.建設(shè)目標(biāo)

依照此次解決方案設(shè)計，可使企業(yè)工控系統(tǒng)實現(xiàn)對黑客、病毒、惡意代碼等高風(fēng)險抵御，阻止內(nèi)部/外部人員的非法訪問，工控系統(tǒng)中的關(guān)鍵生產(chǎn)數(shù)據(jù)信息單向上傳到生產(chǎn)管理網(wǎng)絡(luò)的MES系統(tǒng)、化工云中，防范來自生產(chǎn)管理網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)（互聯(lián)網(wǎng)）的非法入侵和攻擊。

 建設(shè)目標(biāo)和主要任務(wù)如下：

• 抵御生產(chǎn)管理網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)（互聯(lián)網(wǎng)）發(fā)起的惡意攻擊和破壞。

• 防止勒索病毒、木馬等惡意程序從邊界傳播，對工控關(guān)鍵系統(tǒng)造成不利影響和破壞。

• 實現(xiàn)數(shù)據(jù)采集鏈路間的高安全隔離與訪問控制。

• 做好邊界安全防護(hù)，保障工控系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行。

2.技術(shù)路線

解決方案主要實現(xiàn)企業(yè)工控系統(tǒng)（生產(chǎn)裝置）的關(guān)鍵工業(yè)數(shù)據(jù)信息采集，單向上傳到生產(chǎn)管理網(wǎng)絡(luò)MES系統(tǒng)、化工云的功能，同時又要做到各生產(chǎn)控制系統(tǒng)安全域與生產(chǎn)管理網(wǎng)絡(luò)邊界的安全隔離與訪問控制，因此有如下三種方案可以實現(xiàn)安全防護(hù)功能。

• 工業(yè)數(shù)采單向光閘：實現(xiàn)關(guān)鍵生產(chǎn)數(shù)據(jù)采集物理單向上傳到生產(chǎn)管理層MES系統(tǒng)（單向光信號，無反饋），同時保障邊界高安全隔離與兩網(wǎng)的訪問控制。

• 工業(yè)網(wǎng)閘：實現(xiàn)兩網(wǎng)邊界安全隔離與訪問控制，可針對工業(yè)協(xié)議進(jìn)行深度解析與信令級別管控，采用與傳統(tǒng)網(wǎng)閘“數(shù)據(jù)信息擺渡”的原理實現(xiàn)兩網(wǎng)邊界的高安全隔離。

• 工業(yè)防火墻：實現(xiàn)兩網(wǎng)邊界安全隔離與訪問控制，可針對工業(yè)協(xié)議進(jìn)行深度解析與信令級別管控，“白名單”機(jī)制實現(xiàn)兩網(wǎng)邊界的安全隔離。

3.方案設(shè)計

• 工業(yè)數(shù)采單向光閘方案

工業(yè)數(shù)采單向光閘利用發(fā)光和收光光器件的物理特性，可實現(xiàn)網(wǎng)間數(shù)據(jù)的物理單向上傳。工業(yè)數(shù)采單向光閘采用內(nèi)網(wǎng)單元+外網(wǎng)單元+光收發(fā)模塊的硬件物理結(jié)構(gòu)，內(nèi)網(wǎng)單元+外網(wǎng)單元均采用自主設(shè)計研發(fā)的多核多線程專用安全操作系統(tǒng)，完全杜絕WINDOWS系列系統(tǒng)由于環(huán)境因素造成的不打補(bǔ)丁、不升級等產(chǎn)生的安全風(fēng)險。

• 工業(yè)網(wǎng)閘方案

工業(yè)網(wǎng)閘采用“2+1”即內(nèi)網(wǎng)單元+外網(wǎng)單元+專用隔離卡（FPGA）的硬件物理結(jié)構(gòu)，結(jié)合“數(shù)據(jù)信息擺渡”的原理，實現(xiàn)邊界的高安全隔離。內(nèi)網(wǎng)單元+外網(wǎng)單元均采用自主設(shè)計研發(fā)的多核多線程專用安全操作系統(tǒng)，完全杜絕WINDOWS系列系統(tǒng)由于環(huán)境因素造成的不打補(bǔ)丁、不升級等產(chǎn)生的安全風(fēng)險。

• 1. 工業(yè)防火墻方案

工業(yè)防火墻基于應(yīng)用白名單策略、信令控制、參數(shù)控制、內(nèi)容過濾、智能識別等技術(shù)手段，實現(xiàn)對生產(chǎn)管理網(wǎng)絡(luò)與生產(chǎn)裝置區(qū)域邊界的安全防護(hù)。工業(yè)防火墻在OPC通訊過程中，工業(yè)生產(chǎn)關(guān)鍵數(shù)據(jù)包到達(dá)工業(yè)防火墻后，工業(yè)防火墻使用OPC專用通訊防護(hù)模塊進(jìn)行識別與深度解析，及時發(fā)現(xiàn)OPC通訊使用的動態(tài)端口，關(guān)閉不使用的端口，防止惡意程序的入侵與擴(kuò)散，同時檢測通訊包內(nèi)的不合法元素，摒棄不安全數(shù)據(jù)包，實現(xiàn)兩網(wǎng)之間的安全隔離。

4.三種設(shè)計方案對比

推薦方案

   經(jīng)過對三種解決方案的設(shè)計對比，推薦使用工業(yè)網(wǎng)閘方案應(yīng)用于生產(chǎn)管理層級邊界的安全隔離與防護(hù)。

 1.方案優(yōu)勢

• <span style="color: rgba(0, 0, 0, 0.9); font-family: system-ui, -apple-system, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;="" font-size:="" 14px;="" letter-spacing:="" 0.544px;="" text-align:="" justify;="" background-color:="" rgb(255,="" 255,="" 255);"="">工業(yè)網(wǎng)閘屬于工業(yè)專用隔離設(shè)備，內(nèi)網(wǎng)單元+外網(wǎng)單元均采用自主設(shè)計研發(fā)的多核多線程專用安全操作系統(tǒng)，出廠前已經(jīng)進(jìn)行安全加固，不允許安裝任何的程序或者插件，避免了外來文件或程序帶來的安全風(fēng)險。

安盟華御工業(yè)網(wǎng)閘

安盟華御工業(yè)安全隔離裝置采用滿足工業(yè)控制網(wǎng)的高穩(wěn)定性、低時延要求的專用“2+1”硬件平臺，適用于多塵、嘈雜的工業(yè)環(huán)境?？缮疃冉馕龊凸芸豋PC、Modbus、S7、IEC104等10余種工控協(xié)議，達(dá)到僅次于物理隔離下的信息擺渡與數(shù)據(jù)交互，被廣泛用于工業(yè)企業(yè)的工控網(wǎng)和MES系統(tǒng)（生產(chǎn)調(diào)度等生產(chǎn)管理系統(tǒng)）之間，保障生產(chǎn)控制網(wǎng)絡(luò)的環(huán)境安全、高效的運(yùn)行。