上海申通地鐵集團(tuán)有限公司技術(shù)中心 洪翔

《軌道交通自動(dòng)化信息安全面臨的挑戰(zhàn)與應(yīng)對(duì)》（節(jié)選）

上海申通地鐵集團(tuán)有限公司技術(shù)中心 洪翔

3.2 工控網(wǎng)信息安全的考慮

建議從硬件以及軟件兩個(gè)方面實(shí)現(xiàn)工業(yè)以太網(wǎng)的信息安全。

（1）硬件實(shí)現(xiàn)多層次網(wǎng)絡(luò)信息安全防護(hù)

針對(duì)軌道交通自動(dòng)化系統(tǒng)構(gòu)成特征，將現(xiàn)場級(jí)系統(tǒng)分解成多層結(jié)構(gòu)（如圖1所示），在各層網(wǎng)絡(luò)中根據(jù)不同情況（如連接設(shè)備數(shù)目、帶寬以及性能要求等），設(shè)置合適的工業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品。以Moxa公司的EDR-810系列為例，隨著集成技術(shù)發(fā)展，在市場上推出了一體化的防火墻交換機(jī)，主要面對(duì)最底層需連接多個(gè)終端設(shè)備，必須放置一臺(tái)交換機(jī)的情況；該集成設(shè)備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能，具有千兆上聯(lián)口以及多個(gè)快速以太網(wǎng)口，在滿足現(xiàn)場設(shè)備接入的同時(shí)，還可利用網(wǎng)管的功能，有效防止由于現(xiàn)場設(shè)備故障導(dǎo)致的廣播風(fēng)暴對(duì)于其它關(guān)鍵設(shè)備的影響；對(duì)于現(xiàn)場不被使用的端口，在物理封存的同時(shí)系統(tǒng)可以將其關(guān)閉，從而防止利用現(xiàn)場設(shè)備接入交換機(jī)進(jìn)行的惡意篡改以及非法入侵。另外，該設(shè)備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）防御內(nèi)部局域網(wǎng)免受未經(jīng)授權(quán)從外部主機(jī)傳來的活動(dòng)，能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測，從而有效地防止對(duì)于現(xiàn)場PLC等關(guān)鍵設(shè)備的非法控制，確保關(guān)鍵設(shè)備的可靠性。

在最上層對(duì)接辦公網(wǎng)絡(luò)時(shí)，宜選擇設(shè)置工業(yè)級(jí)千兆防火墻/VPN安全路由器設(shè)備，同時(shí)應(yīng)考慮滿足帶寬需求高、對(duì)外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例，其具備冗余的WAN接口，千兆的寬帶性能，吞吐量能夠達(dá)到500Mbps，能夠建立的Firewall/ NAT規(guī)則數(shù)為512/256以上，從而確保企業(yè)信息網(wǎng)與自動(dòng)化網(wǎng)絡(luò)之間的安全通信；同時(shí)，支持VPN三層隧道協(xié)議IPSec可達(dá)100條，能夠滿足遠(yuǎn)端的多通道安全通訊。

（2）在網(wǎng)管軟件中設(shè)置信息安全的選項(xiàng)

工業(yè)網(wǎng)絡(luò)管理套件可以實(shí)現(xiàn)簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除，將整個(gè)網(wǎng)絡(luò)生命周期都結(jié)合到了一個(gè)工具包內(nèi)。為了回應(yīng)工業(yè)網(wǎng)絡(luò)對(duì)于信息安全的重視，須基于ISA與IEC共同制定的針對(duì)工業(yè)網(wǎng)絡(luò)分隔的工業(yè)自動(dòng)化系統(tǒng)和控制信息系統(tǒng)的標(biāo)準(zhǔn)IEC 62443標(biāo)準(zhǔn)，分別在安裝、運(yùn)行和診斷三個(gè)階段來確保網(wǎng)絡(luò)安全。

在安裝階段，要從軟件上可以批量部署設(shè)備的安全功能，可選擇不同的設(shè)備安全級(jí)別，規(guī)范不同的安全條款，以滿足不同的應(yīng)用需要。

在運(yùn)行階段，軟件可在可視化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，用不同顏色來標(biāo)注設(shè)備的不同安全等級(jí)，方便進(jìn)行設(shè)備管理。在偵測到安全異常情況后，有相應(yīng)的界面輸出警告，通知操作人員，進(jìn)行及時(shí)處理。