1　工業(yè)控制系統(tǒng)之間的通信

   過去，自動化系統(tǒng)是單獨的、封閉的系統(tǒng)，也被稱之為自動化的孤島，隨著對控制實時響應(yīng)速度的不斷提高，以及企業(yè)內(nèi)部對數(shù)據(jù)互通等的需要，便增加了很多網(wǎng)絡(luò)，使得控制系統(tǒng)中各個設(shè)備之間可以進行網(wǎng)絡(luò)通信。通信方式的增多也就引發(fā)了黑客的攻擊和病毒的入侵。
 
                        

   2　信息安全的實施

   沒有任何一種方法可以阻止所有的系統(tǒng)攻擊和病毒入侵，于是，我們需要使用縱深防御的方法增加防護等級。

     （1）  在企業(yè)網(wǎng)與控制網(wǎng)之間加防火墻
 
                         

   （2）在企業(yè)網(wǎng)與控制網(wǎng)之間加帶隔離區(qū)防火墻
 
                     

   （3）在企業(yè)網(wǎng)與控制網(wǎng)之間加雙防火墻
 
                   

   （4） 按用戶要求定制信息安全方案
  
                  

  3　縱深防御的實施步驟

   （1）使用標(biāo)準(zhǔn)企業(yè)遠程訪問方案，基于客戶機的形式，使用IP安保（IPsec）加密的虛擬個人網(wǎng)絡(luò)（VPN）技術(shù)，通過因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對遠程個人進行遠程驗證撥入用戶服務(wù)（RADIUS），這通常是由IT部門組織實施和管理。

   （ 2 ） 使用隔離區(qū)（DMZ） / 防火墻中的訪問控制列表（ACL），限制遠程伙伴通過IPsec到工廠現(xiàn)場的訪問。通過隔離區(qū)連接到工廠現(xiàn)場，只能使用一種安全瀏覽器（HTTPS）。

   （3）訪問一個安全瀏覽器（HTTPS）門戶應(yīng)用，它運行于隔離區(qū)/防火墻上。這要求再次登錄/驗證。

   （4）在遠程客戶機和工廠的隔離區(qū)防火墻之間，使用一種安全套接字層（SSL）的虛擬個人網(wǎng)絡(luò)（VPN）會話，并且限制通過HTTPS使用遠程終端會話（比如，遠程桌面協(xié)議）。

   （5）利用在防火墻上的侵入保護和檢測系統(tǒng)（IPS/IDS），檢查進出遠程訪問服務(wù)器的數(shù)據(jù)流，防止攻擊和威脅，并適當(dāng)?shù)亟o予阻截。這對防止來自遠程設(shè)備穿越防火墻和影響遠程訪問服務(wù)器的病毒和其他威脅是非常重要的。

   （6）允許遠程用戶執(zhí)行終端會話，訪問駐留在遠程訪問服務(wù)器中的自動化和控制應(yīng)用。需要應(yīng)用級的登錄/驗證。

  （7）執(zhí)行應(yīng)用安保功能，對訪問遠程訪問服務(wù)器的用戶，限制其應(yīng)用功能（諸如只讀，非在線功能）。

   （ 8 ） 把遠程訪問服務(wù)器分配到不同的虛擬局域網(wǎng)（VLAN），并且讓所有在遠程訪問服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過防火墻。對這個數(shù)據(jù)流使用侵入檢測和保護服務(wù)，保護制造區(qū)域免受攻擊、蠕蟲和病毒的破壞。

   4　信息安全相關(guān)責(zé)任的劃分
 
             

   5　結(jié)束語

   • 工業(yè)控制系統(tǒng)的信息安全及應(yīng)用是工業(yè)安全的大事，為此國家和工信部已經(jīng)發(fā)出了相關(guān)文件，責(zé)令工業(yè)企業(yè)以及關(guān)鍵性基礎(chǔ)設(shè)施要對信息安全給予高度重視。

   • 希望自動化業(yè)界同仁能夠一起努力，確保國民經(jīng)濟的平穩(wěn)增長，確保我們的人身健康、企業(yè)資產(chǎn)、自然環(huán)境能夠可持續(xù)、和諧地發(fā)展。