EDPF-NT+分散控制系統網(wǎng)絡(luò )防護解決方案

根據調研，EDPF-NT+分散的網(wǎng)絡(luò )通信系統分為三層：

1、數據高速公路管控網(wǎng)層MCN(Management and Control Net)，

2、擴展輸入輸出層EIO(Extended Input/Output)，

3、現場(chǎng)輸入輸出層FIO(Field Input/Output)。

MCN層是EDPF-NT+系統的上層信息網(wǎng)絡(luò )，采用工業(yè)交換式以太網(wǎng)。MCN可以是通過(guò)智能網(wǎng)絡(luò )交換機連接起來(lái)的多個(gè)交換式以太網(wǎng)，域間的智能網(wǎng)絡(luò )連接設備可以為各個(gè)子網(wǎng)之間提供進(jìn)一步的安全隔離。在MCN層主要分布的節點(diǎn)為分布式過(guò)程控制站(DPU)、工程師站(ENG)、操作員站(OPR)、歷史數據記錄站(HSR)、制表站(LOG)、性能計算站(CAC)、功能接口工作站(GATEWAY)等

擴展輸入輸出層EIO網(wǎng)是國電智深公司開(kāi)發(fā)的基于工業(yè)實(shí)時(shí)以太網(wǎng)的IO總線(xiàn)平臺，是EDPF-NT+過(guò)程控制站的控制器與I/O子系統信息交互網(wǎng)絡(luò )。

現場(chǎng)輸入輸出層FIO協(xié)議由接入系統的現場(chǎng)層I/O子系統設備提供。支持各種標準和私有的傳輸協(xié)議，如PROFIBUS DP，FIELDBUS、HART、MODBUS RTU和EDPF-NT+的IO總線(xiàn)IOBUS等

系統網(wǎng)絡(luò )結構示意圖如下：

EDPF-NT分散控制系統圖

風(fēng)險識別：

1、工程師站是系統組態(tài)和系統維護的核心。工程師站負責規劃系統規模，創(chuàng )建工程、完成建域、建站、生成系統數據庫、生成監視操作畫(huà)面、生成控制算法、生成報警功能、生成報表功能等。同時(shí)具有對過(guò)程控制站控制應用軟件的下載和上裝等功能。工程師站安裝有工程管理器、工程服務(wù)器、安全策略生成器、工程組態(tài)和管理軟件包、點(diǎn)記錄批量操作工具、站管理工具、虛擬控制器以及時(shí)間同步工具等功能軟件。作為人機交互最為頻繁的節點(diǎn)，且同時(shí)具備對控制站進(jìn)行下裝的關(guān)鍵節點(diǎn)，工程師站是整個(gè)系統中的高風(fēng)險點(diǎn)，一旦受到人為或非人為的病毒感染或攻擊，都會(huì )對整個(gè)系統的運行安全造成威脅。

2、鑒于系統信息安全特殊性，各操作員站、歷史記錄站、制表站等基于Windows系統的節點(diǎn)都存在環(huán)境限制所不可修復的漏洞，這些節點(diǎn)都都存在被病毒感染和惡意代碼攻擊的危險。

3、多功能接口站擔負著(zhù)與第三方計算機系統的大型數據雙向通信的功能，也是與信息網(wǎng)進(jìn)行數據交換的關(guān)鍵接口，為保證數據和系統的安全性，工業(yè)防火墻的區域隔離是必不可少的。

4、在熱控電氣一體化的EDPF-NT+分散控制系統等含有多個(gè)域的控制系統中，域間沒(méi)有遵循國際ANSI/ISA-99區域防護理念進(jìn)行域間隔離，以確保即使一個(gè)域受到安全威脅，也不會(huì )影響到其他域的正常運轉。雖然ACL技術(shù)可以實(shí)現子系統的隔離，但MCN網(wǎng)絡(luò )仍有域間威脅傳播的風(fēng)險，應采取專(zhuān)業(yè)的域間隔離設備進(jìn)行隔離以降低安全風(fēng)險。

5、第三方輔控裝置將數據采集信息匯聚到主控制網(wǎng)中，對主控網(wǎng)絡(luò )的信息安全造成威脅，應針對OPC通訊的特點(diǎn)進(jìn)行適當的網(wǎng)絡(luò )防護

3.2針對EDPF-NT+分散控制系統風(fēng)險點(diǎn)的安全解決方案

1、在工程師連接MCN網(wǎng)絡(luò )間安裝工業(yè)防火墻

2、在MCN網(wǎng)絡(luò )中的操作員站，歷史站，制表站等節點(diǎn)使用工控可信計算平臺，對各節點(diǎn)進(jìn)行基于底層的安全防護

3、在多功能接口站向第三方計算機系統提供接口的部位安裝工業(yè)防火墻

4、在第三方輔控裝置控制器與MCN網(wǎng)絡(luò )連接的節點(diǎn)處安裝安全數采網(wǎng)關(guān)

示意圖如下：

5、在火力發(fā)電廠(chǎng)分散控制系統中有多個(gè)域的系統，使用工業(yè)防火墻進(jìn)行域間隔離，確保MCN網(wǎng)絡(luò )的安全威脅控制在有限的范圍內

6、在MCN網(wǎng)絡(luò )中添加一臺服務(wù)器作為可信計算授權服務(wù)器和對工業(yè)防火墻進(jìn)行管理和監控的安全管理平臺。

解決方案整體網(wǎng)絡(luò )拓撲示意圖(火力發(fā)電廠(chǎng)分散控制系統)

圖：含現場(chǎng)總線(xiàn)的EDPF-NT+分散控制系統單元一體化系統結構圖

安全解決方案的所實(shí)現的目標：

1、 對工程師站進(jìn)行重點(diǎn)的安全風(fēng)險管控，在不影響系統正常運行的情況下，對所有與工程師站的通信進(jìn)行安全檢測及防護，降低高風(fēng)險點(diǎn)對整個(gè)系統的影響

2、對操作員站，歷史站等MCN網(wǎng)絡(luò )節點(diǎn)進(jìn)行細胞級單體防護，依賴(lài)可信計算核心芯片保證各網(wǎng)絡(luò )節點(diǎn)自身系統和應用的安全，從而降低對整個(gè)系統的安全風(fēng)險

3、確保第三方控制系統不會(huì )對本系統造成信息數據泄露的風(fēng)險，憑借特有的通訊數據檢測機制保證信息網(wǎng)不會(huì )對本系統的信息安全造成危害。

4、對關(guān)鍵設備的重點(diǎn)防護能夠確保作為保證控制系統正常運轉的最后一道屏障。

5、以區域隔離的理念對域間進(jìn)行安全防護，保證單一車(chē)間或區域系統所出現的安全威脅不會(huì )影響到整個(gè)控制系統

6、以可信計算授權服務(wù)器和工業(yè)防火墻安全管理平臺組成的服務(wù)器將實(shí)時(shí)對網(wǎng)絡(luò )內的安全設備進(jìn)行管理和監控，及時(shí)發(fā)現潛在的威脅風(fēng)險點(diǎn)，及時(shí)查找網(wǎng)絡(luò )中的故障點(diǎn)，并為系統的安全防護機制和改進(jìn)措施提供有利依據