２、工業控制SCADA系統的安全防護體系。

工業控制SCADA系統的信息安全防護體系包含：在總體安全策略指導下，建立SCADA系統的安全技術體系，進行SCADA系統控制中心、通信網絡和現場設備的安全防護，確?？刂浦行臄祿踩?、網絡傳輸數據的完整性、保密性和可用性以及站控設備的安全防護能力。２.１總體安全策略

SCADA系統的總體安全策略主要包含以下幾個方面：

１）安全分區，隔離防護。安全分區是SCADA安全的基礎，主要包括對控制中心和站控系統進行安全區域的劃分，應根據系統的安全性、實時性、控制與非控制等方面的特點，將安全需求類似的系統、計算機、網絡設備等劃分在同一安全區域中，實行統一安全防護；應主要進行控制中心和站控系統生產相關系統與對外web應用服務系統的隔離、生產相關系統中控制系統與非控制系統的隔離等。采用工業防火墻對各安全區中的業務系統進行隔離保護，加強不同安全區域間的訪問控制措施。

２）專用通道。認證加密。在控制中心和站控系統的縱向專用通道上建立生產控制專用數據網絡。在數據網絡中添加工業防火墻實現與對外服務網絡的物理隔離。實現多層次的保護；同時應在縱向通信時對控制中心和站控中心實現雙向身份認證，確保通信雙方的合法身份,并根據縱向傳輸通道中數據的保密性要求，選擇不同的安全策略。實現不同安全策略的防護機制。

3）實時報警。報警的首要問題是把網絡安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為企業網絡解決部分已發生過的安全事件提供分析依據，告別主觀經驗推斷的模式。怎樣才能及時發現網絡中存在的感染及其它問題，準確找到故障的發生點，是維護控制網絡安全的前提。

2.2安全技術體系

SCADA系統安全解決方案在技術上系統性地考慮了控制中心和各站控系統之間的網絡縱向互聯、橫向互聯和數據通信等安全性問題，通過劃分安全區、專用網絡、區域隔離和通訊檢查等多項技術從多個層次構筑縱深防線，抵御網絡黑客和惡意代碼攻擊。

1）邊界安全防護。如圖2所示

在SCADA系統邊界控制中心與站控系統之間增加工業防火墻并安裝Firewall插件。通過Friewall插件的組態對控制中心與站控系統之間的縱向邊界進行認證、加密、訪問控制等措施實現安全防護，數據傳輸的機密性、完整性。

2）站控系統網絡安全防護。

如圖3所示，對操作站和PLC控制器與站控控制網絡隔離。操作站較多接觸移動介質，感染病毒機率較大，增加防火墻后與控制網絡進行隔離，即使感染病毒不至于擴散。

當控制系統通過以太網與RTU或其它第三方系統連接時，在兩者之間添加防火墻。

并安裝Firewall和Modbus Enforcer插件（操作站、RTU和PLC防護）；

通過對Firewall及Modbus Enforcer插件的組態，通信規則只允許DCS制造商的通訊協議以及正確的Modbus協議功能碼訪問對應的寄存器地址才能通過，其它任何病毒或其它非法訪問都被阻止，這樣來自防護區域內的病毒感染不會擴散到外面的網絡中去，來自外部的攻擊也不會影響到防護區域內的設備，提供防火墻及網絡交通控制功能的軟插件，符合 ANSI/ISA-99.00.02 的網絡分段要求，達到區域隔離目標。

3） SCADA信息數采安全防護解決方案

采用工業防火墻解決方案，在OPC Server和控制中心之間增加工業防火墻。并安裝Firewall插件和OPC Enforcer插件；

通過對Firewall及OPC Enforcer插件的組態管控OPC服務器及授權客戶端之間的數據通信，并且應用專有技術動態跟蹤OPC通信所需端口，同時工業防火墻的 Sanity Check檢查功能能夠阻擋任何不符合OPC標準格式的DCE/RPC 訪問。同樣也對OPC授權客戶端發往OPC服務器的OPC對象請求進行檢查，以提高OPC服務的安全性。

4） 中央管理平臺和安全管理平臺

中央管理平臺通過一臺工作站來配置和管理控制網絡安全。中央管理平臺的專用軟件能夠通過一個工作站進行配置、管理和監測網絡上的所有安全設備?？梢暤耐戏攀骄庉嫻ぞ呖梢暂p松地創建、編輯和測試安全設備。

安全管理平臺，可以集成所有來自中央管理平臺的所有事件報警信息，并可劃分等級進行報警，通過采用手機短信及電子郵件等方式進行實時通知相關主管人員。該平臺能夠準確捕獲現場所有安裝防火墻的通訊信道中的攻擊，并且詳細顯示攻擊源、通訊協議和攻擊目標，以總攬大局的方式為SCADA網絡故障的及時排查與分析提供可靠依據。

３結束語

隨著我國基礎產業“兩化融合”進程的不斷加快，SCADA系統的應用日益廣泛，其安全防護已納入國家戰略，建立工控SCADA的信息安全防護體系，確保SCADA系統的安全、穩定和優質運行，能更好地為國民經濟高速發展和滿足人民生活需要服務。