卞正岗：信息安全成为工业自动化领域当务之急(2)

（ACL），限制远程伙伴通过Epsec到工厂现场的访问。通过隔离区连接到工厂现场，只能使用一种安全浏览器（HTTPS）。3，访问一个安全浏览器（HTTPS）门户应用，它运行于隔离区/防火墙上。这要求再次登录/验证。4，在远程客户机和工厂的隔离区HTTPS使用远程终端会话（如远程单方协议）。5，利用在防火墙上的侵入保护和检测系统（IPS/IDS），检查进出远程访问服务器的数据流，防止攻击和威胁，并适当地给予阻截。这对防止来自远程访问设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。6，允许远程用户执行招待终端会话，访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。7，执行应用安保功能，对访问远程访问服务器的用户，限制其应用功能（诸如只读，非在线功能）。8，把远程访问服务器分配到不同的虚拟局域网（VLAN），并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙，对这个数据流使用侵入检测和保护服务，保护制造区域免受攻击、免受蠕虫   和病毒的破坏。

并指出1~5步骤与IT部门关系密切，4~8步骤与生产部门关系密切。会上，其它家也提出信息安全纵深防御的技术，如施耐德提出浓度防御方法为与关键步骤：安全计划、网络分隔、边界保护、网段分离、设备“淬火”、监视更新，并且介绍了Conne Xium工业以太网防火墙。支持VPN等，还介绍了受保护的自动化系统如何防御威胁，做到“Cyber Security”(网络安全)。

北京东土科技股份有限公司薛百华就“测控网络安全与工业以太网” 为题，详细介绍了该公司在工程实践中如何实现网络安全的经验和体会，指出测控网络的发展趋势：1、从局域网、城域网到广域网；2、各种测控网络互连成为趋势。指出物理层面临威胁，来自嵌入式智能装置的功能缺陷，没有设备认证防范能力，来自应用层软件及操作系统的漏洞、恶意代码等、POE面临的安全威胁，链路层的安全威胁（MAC泛洪变异）等等。介绍了工业以太网面对威胁解决策略，如ACL-MAC地址白名单认证；ACL-IP地址白名单认证；基于白名单的组插数据传输做到自学习和冻结组播地址表；查地认证的方式，做到加密认证确认报文；系统服务器认证模式（IEEE802.1x+RADIUS）；被IEEE 802.1AE阻止的Shadow Hosts模式；Linksec模型；受IEEE 802.1AE保护的帧格式等。还对工业网络设备选择提出了建议：选择具有管理功能的工业以太网交换机；选择具有ACL访问控制列表的功能；选择具有组播控制的功能的交换机；选择具有本地认证功能；选择具有远程服务认证功能等。

三、一个切实可行的工业网络安全产品

在会上，青岛多芬诺（TOFINO）是针对工业控制系统安全设计的防火墙，它是为了建立纵深防御的目标应运而生动安全产品。他解释纵深防御策略时说，发现病毒，为时已晚即系统已遭受破坏了，只有防止病毒控制工程网版权所有，蠕虫等非法入侵，才是解决方法，也就是：即使在某一点发生网络安全事故，也能保证工厂正常运行；让工厂操作人员能够很迅速的找到问题，并进行处理。TOFINO基于ANSI/ISA-99区域与管道防护，模型基础上，做到每一个服务管道控制工程网版权所有，防火墙只允许正确设备操作所必需的通信，即只允许特定的通信协议流通过，其它数据全部被过滤掉。它采用区域隔离、通信管控、实时报警三个措施，TOF/NO解决方案包含的组件为多芬诺安全设备模块TSA、组态软件一中央管理平台CMP、可装载安全软播件LSM。TSA为硬件模块、设计使用寿命27年，外形类似I/0模块和隔离器，环境温度可0~60℃（TSA-220）或-40~70℃（TSA-100），双电源供电可为2-48V或9-32VDC。继电器开关输出，有铜和/或光纤网络接口，有MUSIC 2008-1或2009-1安全认证。CMP功能如下：组态TSA硬件，管理网络配置，实时监控报