２、工業(yè)控制SCADA系統(tǒng)的安全防護體系。

工業(yè)控制SCADA系統(tǒng)的信息安全防護體系包含：在總體安全策略指導下，建立SCADA系統(tǒng)的安全技術體系，進行SCADA系統(tǒng)控制中心、通信網(wǎng)絡和現(xiàn)場設備的安全防護，確保控制中心數(shù)據(jù)安全、網(wǎng)絡傳輸數(shù)據(jù)的完整性、保密性和可用性以及站控設備的安全防護能力。２.１總體安全策略

SCADA系統(tǒng)的總體安全策略主要包含以下幾個方面：

１）安全分區(qū)，隔離防護。安全分區(qū)是SCADA安全的基礎，主要包括對控制中心和站控系統(tǒng)進行安全區(qū)域的劃分，應根據(jù)系統(tǒng)的安全性、實時性、控制與非控制等方面的特點，將安全需求類似的系統(tǒng)、計算機、網(wǎng)絡設備等劃分在同一安全區(qū)域中，實行統(tǒng)一安全防護；應主要進行控制中心和站控系統(tǒng)生產(chǎn)相關系統(tǒng)與對外web應用服務系統(tǒng)的隔離、生產(chǎn)相關系統(tǒng)中控制系統(tǒng)與非控制系統(tǒng)的隔離等。采用工業(yè)防火墻對各安全區(qū)中的業(yè)務系統(tǒng)進行隔離保護，加強不同安全區(qū)域間的訪問控制措施。

２）專用通道。認證加密。在控制中心和站控系統(tǒng)的縱向?qū)Ｓ猛ǖ郎辖⑸a(chǎn)控制專用數(shù)據(jù)網(wǎng)絡。在數(shù)據(jù)網(wǎng)絡中添加工業(yè)防火墻實現(xiàn)與對外服務網(wǎng)絡的物理隔離。實現(xiàn)多層次的保護；同時應在縱向通信時對控制中心和站控中心實現(xiàn)雙向身份認證，確保通信雙方的合法身份,并根據(jù)縱向傳輸通道中數(shù)據(jù)的保密性要求，選擇不同的安全策略。實現(xiàn)不同安全策略的防護機制。

3）實時報警。報警的首要問題是把網(wǎng)絡安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為企業(yè)網(wǎng)絡解決部分已發(fā)生過的安全事件提供分析依據(jù)，告別主觀經(jīng)驗推斷的模式。怎樣才能及時發(fā)現(xiàn)網(wǎng)絡中存在的感染及其它問題，準確找到故障的發(fā)生點，是維護控制網(wǎng)絡安全的前提。

2.2安全技術體系

SCADA系統(tǒng)安全解決方案在技術上系統(tǒng)性地考慮了控制中心和各站控系統(tǒng)之間的網(wǎng)絡縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信等安全性問題，通過劃分安全區(qū)、專用網(wǎng)絡、區(qū)域隔離和通訊檢查等多項技術從多個層次構(gòu)筑縱深防線，抵御網(wǎng)絡黑客和惡意代碼攻擊。

1）邊界安全防護。如圖2所示

在SCADA系統(tǒng)邊界控制中心與站控系統(tǒng)之間增加工業(yè)防火墻并安裝Firewall插件。通過Friewall插件的組態(tài)對控制中心與站控系統(tǒng)之間的縱向邊界進行認證、加密、訪問控制等措施實現(xiàn)安全防護，數(shù)據(jù)傳輸?shù)臋C密性、完整性。

2）站控系統(tǒng)網(wǎng)絡安全防護。

如圖3所示，對操作站和PLC控制器與站控控制網(wǎng)絡隔離。操作站較多接觸移動介質(zhì)，感染病毒機率較大，增加防火墻后與控制網(wǎng)絡進行隔離，即使感染病毒不至于擴散。

當控制系統(tǒng)通過以太網(wǎng)與RTU或其它第三方系統(tǒng)連接時，在兩者之間添加防火墻。

并安裝Firewall和Modbus Enforcer插件（操作站、RTU和PLC防護）；

通過對Firewall及Modbus Enforcer插件的組態(tài)，通信規(guī)則只允許DCS制造商的通訊協(xié)議以及正確的Modbus協(xié)議功能碼訪問對應的寄存器地址才能通過，其它任何病毒或其它非法訪問都被阻止，這樣來自防護區(qū)域內(nèi)的病毒感染不會擴散到外面的網(wǎng)絡中去，來自外部的攻擊也不會影響到防護區(qū)域內(nèi)的設備，提供防火墻及網(wǎng)絡交通控制功能的軟插件，符合 ANSI/ISA-99.00.02 的網(wǎng)絡分段要求，達到區(qū)域隔離目標。

3） SCADA信息數(shù)采安全防護解決方案

采用工業(yè)防火墻解決方案，在OPC Server和控制中心之間增加工業(yè)防火墻。并安裝Firewall插件和OPC Enforcer插件；

通過對Firewall及OPC Enforcer插件的組態(tài)管控OPC服務器及授權(quán)客戶端之間的數(shù)據(jù)通信，并且應用專有技術動態(tài)跟蹤OPC通信所需端口，同時工業(yè)防火墻的 Sanity Check檢查功能能夠阻擋任何不符合OPC標準格式的DCE/RPC 訪問。同樣也對OPC授權(quán)客戶端發(fā)往OPC服務器的OPC對象請求進行檢查，以提高OPC服務的安全性。

4） 中央管理平臺和安全管理平臺

中央管理平臺通過一臺工作站來配置和管理控制網(wǎng)絡安全。中央管理平臺的專用軟件能夠通過一個工作站進行配置、管理和監(jiān)測網(wǎng)絡上的所有安全設備。可視的拖放式編輯工具可以輕松地創(chuàng)建、編輯和測試安全設備。

安全管理平臺，可以集成所有來自中央管理平臺的所有事件報警信息，并可劃分等級進行報警，通過采用手機短信及電子郵件等方式進行實時通知相關主管人員。該平臺能夠準確捕獲現(xiàn)場所有安裝防火墻的通訊信道中的攻擊，并且詳細顯示攻擊源、通訊協(xié)議和攻擊目標，以總攬大局的方式為SCADA網(wǎng)絡故障的及時排查與分析提供可靠依據(jù)。

３結(jié)束語

隨著我國基礎產(chǎn)業(yè)“兩化融合”進程的不斷加快，SCADA系統(tǒng)的應用日益廣泛，其安全防護已納入國家戰(zhàn)略，建立工控SCADA的信息安全防護體系，確保SCADA系統(tǒng)的安全、穩(wěn)定和優(yōu)質(zhì)運行，能更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務。