上海申通地铁集团有限公司技术中心 洪翔
《轨道交通自动化信息安全面临的挑战与应对》(节选)
上海申通地铁集团有限公司技术中心 洪翔
3.2 工控网信息安全的考虑
建议从硬件以及软件两个方面实现工业以太网的信息安全。
(1)硬件实现多层次网络信息安全防护
针对轨道交通自动化系统构成特征,将现场级系统分解成多层结构(如图1所示),在各层网络中根据不同情况(如连接设备数目、带宽以及性能要求等),设置合适的工业级网络安全产品。以Moxa公司的EDR-810系列为例,随着集成技术发展,在市场上推出了一体化的防火墙交换机,主要面对最底层需连接多个终端设备,必须放置一台交换机的情况;该集成设备集合了二层网管交换功能以及防火墙/NAT/VPN的功能,具有千兆上联口以及多个快速以太网口,在满足现场设备接入的同时,还可利用网管的功能,有效防止由于现场设备故障导致的广播风暴对于其它关键设备的影响;对于现场不被使用的端口,在物理封存的同时系统可以将其关闭,从而防止利用现场设备接入交换机进行的恶意篡改以及非法入侵。另外,该设备的防火墙策略控制不同信任区域之间的网络流量以及网络地址转换(NAT)防御内部局域网免受未经授权从外部主机传来的活动,能够执行深度的Modbus TCP数据包检测,从而有效地防止对于现场PLC等关键设备的非法控制,确保关键设备的可靠性。
在最上层对接办公网络时,宜选择设置工业级千兆防火墙/VPN安全路由器设备,同时应考虑满足带宽需求高、对外连线需要有备份链路的要求。以Moxa公司的EDR-G903系列为例,其具备冗余的WAN接口,千兆的宽带性能,吞吐量能够达到500Mbps,能够建立的Firewall/ NAT规则数为512/256以上,从而确保企业信息网与自动化网络之间的安全通信;同时,支持VPN三层隧道协议IPSec可达100条,能够满足远端的多通道安全通讯。
(2)在网管软件中设置信息安全的选项
工业网络管理套件可以实现简易配置、智能可视化管理、简便的备份管理以及快速故障排除,将整个网络生命周期都结合到了一个工具包内。为了回应工业网络对于信息安全的重视,须基于ISA与IEC共同制定的针对工业网络分隔的工业自动化系统和控制信息系统的标准IEC 62443标准,分别在安装、运行和诊断三个阶段来确保网络安全。
在安装阶段,要从软件上可以批量部署设备的安全功能,可选择不同的设备安全级别,规范不同的安全条款,以满足不同的应用需要。
在运行阶段,软件可在可视化的网络拓扑结构中,用不同颜色来标注设备的不同安全等级,方便进行设备管理。在侦测到安全异常情况后,有相应的界面输出警告,通知操作人员,进行及时处理。