1、  背景

         随着工业信息化、工业物联网的快速发展以及工业4.0时代的到来，现代工控系统的技术进步主要表现在两大方面：一是为了保证生产高效运行、提高生产管理效率，国内众多行业大力推进工控系统自身的集成化、集中化管理。二是系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。

德国的工业4.0标准、美国的“工业互联网”和“先进制造业国家战略计划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国“互联网+”和“中国制造2025”等相继出台，对工控系统的通用性与开放性提出了更高的要求。未来工控系统将会有一个长足发展，工业趋向于自动化、智能化，系统之间的互联互通也更加紧密，面临的安全威胁也会越来越多。近年来，国际国内针对工控系统的攻击事件层出不穷，“震网”病毒事件更是为全球工控系统敲响了警钟，促使国家和社会逐渐重视工控系统的信息安全问题。

2、解决方案

方案原则

分域防护、综合防范的原则：任何安全措施都不是绝对安全的，都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统，需要合理划分安全域和综合采用多种有效措施，进行多层和多重保护。

需求、风险、代价平衡的原则：对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到安全性与可用性相容，做到技术上可实现，经济上可执行。

技术与管理相结合原则：信息安全涉及人、技术、操作等各方面要素，单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

动态发展和可扩展原则：随着网络攻防技术的进一步发展，网络安全需求会不断变化，以及环境、条件、时间的限制，安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性，今后随着应用和网络安全技术的发展，不断调整安全策略，加强安全防护力度，以适应新的网络安全环境，满足新的信息安全需求。

3、 产品选型原则

针对本项目的现有网络状况，在满足本项目应用系统基本功能实现的基础上整合已有资源和系统，并采用先进、成熟的技术手段和措施建设一个安全、稳定、可管理的安全平台，满足：

高可用性：在现有的工控系统的网络基础上，增加的软硬件能充分保障网络性能无瓶颈和安全可靠，同时避免在网络出口发生拥塞，保证整体网络的运行速度。

高可靠性：我们的工业操作站安全系统能保证网络能适用各种流量突发情况，安全系统不会由于设备或链路的单点故障而瘫痪，并能抵御各种攻击行为。

高质量：支持高性能、高灵活度的QoS，精确保证不同业务的带宽、延迟、抖动或丢包率；支持网络流量分析，方便开展网络规划、安全监控、优化升级；支持各种业务带宽限制，防止带宽滥用。

高扩展性：安全系统具有可扩展能力，便于增加业务模块，便于部署新业务系统，便于增加新的功能，设备上支持高性能、多插槽、丰富的业务特性，同时在网络设计上采用结构化、模块化、标准化的设计理念。

防护产品部署思路原则

按照工控安全的“纵向分层、横向分区”的主导思想将整体工业控制网络参考标准的自动化模型层次及结合实际情况，分为现场设备层、生产控制和管理执行层。

围绕以机床为核心的DNC网络进行区域划分，包括与其关联的技术中心网络及管理网，依据各生产线的业务类型、数据安全级别、相关联的系统等因素进行分区分域，并按照“纵向分层、横向分区”原则进行划分，以便明确区域间的边界。

网络区域划分完成后的成果是在原有网络基础上进行改造，网络区域大的区域划分为内网、外网，其中内网中又分管理网和生产网，由内网的ERP系统产生订单后，直接到生产环节的工艺设计，此区域单独划分为技术中心，然后下发程序文件给DNC服务器，DNC服务器在内网服务器区域内，单独划分一个区域。

生产控制层主要是编程工作站和DNC统一管理系统。编程工作站的人员通过DNC服务器下发NC程序文件给机床，横向分多个车间。

最下层现场设备层主要是接收从上层下发的NC程序的机床，横向也如同生产控制层分多个车间。

网络拓扑图

   网络防护拓扑图

1、针对企业信息网MES系统与生产管理DNC网络系统之间防护风险在网络边界部署机架式工业防火墙来完成隔离。工业防火墙为硬件设备，部署在生产网和信息网的网络边界，串接在中央级核心交换机和下层交换机之间进行访问控制，对工控协议包括OPC和MODBUS深度协议解析,在信息网中也需要工业防火墙来隔离MES、PDM等服务器。

2、针对生产网各子系统的区域隔离，采用导轨式工业防火墙，布置在各生产区PLC出口端，完成生产区域的隔离，串接在环网交换机进行访问控制，对工控协议深度解析。

3、数据采集服务器等涉及核心数据，需要串接工业网闸，将信息网与生产管理网之间实现数据摆渡，隔离危险。

4、工程师站部署工控漏洞扫描系统，面向网络可达自动化系统中软硬件设备，深度扫描设备存在的漏洞，上线及检修期间进行正常扫描，避免由软硬件存在的漏洞造成设备停机，对生产造成损失。

5、对各操作站布置操作站安全管理系统，完成对非法入侵的隔离和违规操作的规避，实现生产安全。安装在windows系统的操作员站和监控主机上。

6、工控异常监测系统部署在网络的边界，在核心交换机上做镜像配置，将网络流量镜像给入侵检测设备进行分析，检测网络中业务操作异常、针对工业控制系统的病毒木马等攻击行为。

7、针对工控网络里面无线环境采用无线安全引擎对现场的无线网络进行管控和防护，防止无线网络入侵和信号劫持/干扰。无线解决方案的主要功能包括：无线接入、无线认证、无线防火墙、无线入侵防御、无线加密、无线定位等。

8、工控运维审计系统：对通过网络进行的各类远程运维行为进行安全审计，详细记录各类运维操作行为，防止非法操作。

9、工控信息安全管理系统：建立工控信息安全管理系统，主要用于对工业控制环境的统一安全管理，在实现网络进行可用性与性能的监控、事件的分析审计预警、风险与态势的度量与评估、流行为的合规分析的同时，还承载着对工控安全设备统一管理的职能，是工业控制网络信息安全管理的统一平台。