3.5 网络隔离

公司管理网络（简称公司网）与工业控制系统网络（简称控制网）之间通过采用不同的架构进行网络隔离，加强网络信息安全。下面详细介绍几种可能用到的架构，并分析各种架构的优缺点。注意：各种架构图采用防火墙进行网络隔离，只是示意防火墙的位置，并非示意公司管理网络或工业控制系统网络中的所有设备。

3.5.1 双宿主计算机

双宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其中任何一台计算机不配置安全控制，都将带来威胁。为防止这种威胁，除防火墙外，任何系统均不可以延伸公司管理网络与工业控制系统网络。公司管理网络与工业控制系统网络之间必须通过防火墙连接。

3.5.2 防火墙位于公司网与控制网之间

在控制网和公司网之间增加一个简单的两个口防火墙，如图3-5所示，极大地提高了控制系统的信息安全。进行合理配置后，防火墙就可以进一步减少控制网被外来攻击的机会。

但是这种设计也会带来以下问题：

（1）数据历史服务器放在公司网，防火墙必须允许数据历史服务器与控制网的控制设备进行通信。来自公司网带有恶意的或配置不当的主机的一个数据包将发送到PLC或DCS。如果数据历史服务器放在控制网，那么防火墙规则必须允许公司网的所有主机与数据历史服务器进行通信。这种典型通信通过SQL或HTTP请求发生在应用层，数据历史服务器应用层代码的缺陷将导致数据历史服务器损伤。一旦数据历史服务器损伤，控制网的其他节点就易于蠕虫传播或相互攻击。

（2）在两个网络之间采用简单防火墙，欺骗的数据包能够形成并影响控制网，潜在地允许转换数据在允许协议中打开通道。例如，若HTTP包允许穿过防火墙，则木马软件会无意中进入HMI，或者控制网的计算机将被远程机构控制并发送数据给这个机构，伪装成合法的流量。

总之，这种架构比没有隔离的网络更安全，采用防火墙规则允许两个网络间的设备直接通信，但是如果没有精心设计和监视，有可能出现安全漏洞。

3.5.3 防火墙与路由器位于公司网与控制网之间

更成熟的架构设计是采用路由器与防火墙组合，如图3-6所示。路由器安装在防火墙前面，进行基本的包过滤，而防火墙将采用状态包检测技术或代理网关技术处理较复杂的问题。这种设计针对面向互联网的防火墙，允许较快地路由处理大量进入的数据包，尤其是拒绝服务（DoS）攻击，从而降低防火墙的负荷。同时，这种设计提供纵深防护，即对方需穿过两个不同设备。

3.5.4 带DMZ的防火墙位于公司网与控制网之间

1.架构说明

更进一步的设计架构是使用的防火墙能在控制网和公司网之间建立非军事区（DMZ）。每个DMZ装有一台或多台关键设备，如数据历史服务器、无线访问点、远程和第三方访问系统。实际上，采用带DMZ功能的防火墙允许创建一个中间网络。

建立一个DMZ，要求防火墙提供3个或4个接口，其中，一个接口接入公司网，第二个接口接入控制网，余下的接口接入DMZ内的数据历史服务器、无线访问点等，其架构图如图3-7所示。

公司级需要访问的设备放置在DMZ，那么公司网与控制网就没有直接的通信途径。如图3-7所示，防火墙能够阻止任意来自公司网的数据包进入控制网，同时也能控制来自其他区的流量。通过计划好的规则集，就能在控制网和其他网之间维持一个明确的界限。

若控制网要用代理服务器、防病毒服务器或其他安全服务器，则这些服务器必须放在DMZ中。

这种架构的主要风险是，如果DMZ的一台计算机遭到损坏，那么它就能够通过允许的应用程序对控制网发起攻击。通过努力加固和修复这些服务器，这种风险可以降低，另外这种架构会增加复杂程度和成本，但是对于较关键的系统，提高安全性能可以弥补这些缺点。

2. 应用举例—远程访问系统（RAS）

1）系统简介

远程访问系统（Remote Access System，RAS）有时也称为远程维修系统（Remote Maintenance System，RMS），是一个提供先进远程连接、允许技术支持团队通过实时信息处理的系统。远程访问系统通过双方都接入Internet的手段连接目标工业控制系统或所需维护管理的工业控制系统，通过工业控制系统供应商或本地集成商对远程系统进行配置、安装、维护、监控与管理，解决以往服务工程师必须亲临现场才能解决的问题。这种连接能够使技术专家进行远程分析，提供及时的技术支持，给控制系统用户更多的时间，大大降低了工业控制系统的维护成本，最大限度地减少了用户损失，实现了高效率、低成本的服务方式。

远程访问系统的对象是工业控制系统，可以是全厂DCS，也可以是部分大型工艺设备的控制系统，如PLC系统，但不可以是SIS。因为SIS的安全等级要求很高，不允许接入Internet，在《石油化工安全仪表系统设计规范》GB/T50770—2013相关条文中已明确规定。

远程访问系统是工业控制系统与信息技术系统相结合的系统，是新型工厂维修的完美解决方案。它能够实现对目标系统的远程分析、远程监视、远程故障探测和远程故障处理。通过远程监视和诊断，许多产品开发错误可以在早期被发现，许多产品故障可以提前被发现和处理，也意味着在需要时可进行维修，而不用等到固定的维修周期。它使得生产现场和供应商或集成商的信息沟通变得方便快捷，是公司维修不可缺少的组成部分。

经过多年的开发应用，远程访问系统已广泛应用于电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药，以及大型制造等行业。

目前市场上出现的远程访问系统产品比较多，并且都是由知名品牌的工业控制系统供应商或大型机组设备供应商提供的，如Honeywell公司的DCS远程访问系统，Siemens公司的远程访问系统、ABB公司的DCS远程访问系统等。

远程访问系统用户可以获得以下支持：

（1）快速响应（24小时）。

（2）加速双向交流。

（3）通过在线访问系统数据实现远程故障探测。

（4）大多数情况下不需要一个现场服务工程师。

（5）减少停工时间。

（6）减少维修成本。

2）方案部署

远程访问系统的架构一般由公司区域、非军事区域和工厂控制区域组成。

生产运营公司对公司的工业控制系统和特殊设备要有一个明确的维修策略，例如，如何组织维修，哪些控制系统部分需要维修支持，需要哪种维修支持，如何建立这些维修等。因此，基于公司的维修策略，有的公司需要远程访问系统，而有的公司则不需要远程访问系统。目前，常见的用于生产装置的远程访问有两种：一种是针对DCS的控制系统；另一种是针对特殊设备的远程访问系统，如PLC系统等。

（1）DCS远程访问系统

DCS作为基本的控制系统，已广泛应用于电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药，以及大型制造等行业中，在生产运营中起着非常关键的作用，而DCS的运行和维护是一项专业要求很高的技术工作，所以DCS的系统供应商都会建立其产品售后技术支持。随着信息技术的发展，传统的由技术服务工程师到现场服务的模式已演变为由技术专家进行远程访问系统技术支持的模式，为用户节省了时间和成本，极大地提高了维修效率和质量。因此，DCS远程访问系统逐渐发展起来，其典型方案部署如图3-8所示。

这种典型的DCS远程访问系统包括4个信息安全区域，分别是公司区域、非军事区域、工厂控制区域和供应商区域。供应商区域是供应商提供远程访问和维修服务的平台，一般由应用服务器、工作站、相关设备组成。工厂控制区域是用户正在运行的系统，是远程访问和维修的目标系统，由所有控制网络设备组成，包括工程师站、操作员站、OPC服务器、数据历史服务器、控制器、维修服务器等组成。非军事区域是远程访问的中间网络，负责远程访问的管理，通常包括中继服务器。公司区域是用户DCS远程访问系统对外联系的必经网络。

在开始设计时，用户需要明确指出工厂控制系统的哪些设备需要进行DCS远程访问维护，与供应商一起搭建DCS远程访问系统。

维修服务器是一个提供访问和传送数据安全方式的数据采集和分析工具的服务器。维修服务器安装在用户集成、维护保养方便的DCS中，是一个可在DCS操作的工具，是DCS远程访问系统的一个关键设备。维修服务器的硬件和软件通常由DCS供应商提供，以满足后续的维修能力。

中继服务器是一个管理远程访问的服务器，是远程访问的桥梁。中继服务器安装在DMZ，也是DCS远程访问系统的一个关键设备。中继服务器的硬件和软件可以由DCS的系统供应商提供，也可以由用户自行采购和配置，以满足后续的远程维修管理。

（2）特殊设备远程访问系统

特殊设备在生产运营中起着关键的作用。特殊设备通常配置相应的控制系统，其运行和维护是一项专业要求很高的技术工作，所以特殊设备供应商均建立其产品售后技术支持。特殊设备远程访问系统的典型方案部署如图3-9所示。

这种典型特殊设备远程访问系统包括4个信息安全区域，分别是公司区域、非军事区域、工厂控制区域、供应商区域。供应商区域是供应商提供远程访问和维修服务的平台，一般由应用服务器、工作站和相关设备组成。工厂控制区域是用户正在运行的系统，是远程访问和维修的目标系统，由所有控制网络设备组成，包括工程师站、操作员站、PLC、现场操作终端等。非军事区域是远程访问的中间网络，负责远程访问的管理，通常为中继服务器。公司区域是用户特殊设备远程访问系统对外联系的必经网络。

在开始设计时，用户需要明确指出工厂控制系统的哪些设备需要进行特殊设备远程访问维护，与供应商一起搭建特殊设备远程访问系统。

中继服务器是一个管理远程访问的服务器，是远程访问的桥梁。中继服务器安装在DMZ中，是特殊设备远程访问系统的一个关键设备。中继服务器的硬件和软件一般由用户自行采购和配置，以满足后续的远程维修管理。

3.5.5 双防火墙位于公司网与控制网之间

1.架构说明

对前面架构稍加变化，就出现采用双防火墙的架构，如图3-10所示。数据历史服务器等公用服务器放置在类似DMZ的网络区，有时又称为生产制造系统（MES）层。如3.5.4节所述，第一道防火墙能够阻止任意来自公司网的数据包进入控制网或公用服务器；第二道防火墙能够阻止受损服务器中不必要的流量进入控制网，同时阻止控制网的流量冲击公用服务器。

如果这两个防火墙是两个不同的生产商，那么这种方案有优势。在一个公司组织内，这也对控制组和IT组有明确的职责界定。这种架构的主要缺点是成本增加且管理复杂。这对于有严格安全要求的场合或需要明确管理界限的情况来说是很好的优势。

2. 应用举例—工厂信息管理系统（PIMS）

1）系统简介

工厂信息管理系统是工业控制系统与信息技术系统相结合的系统，是新型的工业信息系统工程提供的完整解决方案，它能有效集成全厂生产信息，形成安全、可靠的实时数据库，填补了企业经营管理系统和工业控制系统之间的信息鸿沟，实现了企业网络环境下的实时数据采集、实时流程查看、实时趋势浏览、报警记录与查看、开关量变位记录与查看、报表数据存储、历史趋势存储与查看、生产过程报表生成、生产统计报表生成等功能，从而实现了企业过程控制系统与信息系统的网络集成、综合管理，使管理层能够及时、准确地了解生产情况，发现生产中的问题，并为先进控制软件提供应用平台，使得办公室和生产现场的信息沟通变得方便、快捷，是企业信息化建设中不可缺少的组成部分。

经过多年的开发应用，工厂信息管理系统已广泛应用于电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药及大型制造等行业。为了实现节能高效生产，同时加强公司内部管理，许多公司从建厂初期就十分注重企业信息化建设，准备组织实施多套计算机应用软件系统，包括生产信息管理、办公自动化（OA）、企业资源计划（ERP）等。在生产信息管理应用上要求实现生产实时数据采集与发布、能源计量管理、设备管理、库存管理等功能，从而达到生产信息的综合处理，构成公司的综合生产信息管理系统。

目前市场上出现的工厂信息管理系统的产品比较多，有国外的产品，也有国内的产品。国外的产品主要有OSI公司的PI、Aspen公司的InfoPlus、Honeywell公司的PHD、Instep公司的eDNA等；国内的产品主要有力控公司的pSpace、中科院软件所的安捷（Agilor）、浙大中控的ESP-iSYS、紫金桥的RealDB等。

工厂信息管理系统不仅可用于连续生产工艺过程的生产装置，而且可用于批次生产工艺过程的生产装置。

2）方案部署

工厂信息管理系统的架构一般由公司区域、非军事区域和工厂控制区域组成，有实验室信息管理系统（LIMS）的公司会有实验室信息区域，工厂控制区域有时还包括安全控制区域。

每个公司都有一个或多个生产装置，每个生产装置采用DCS、PLC或SIS控制。DCS或PLC控制系统可作为生产过程控制或能源计量采集站；SIS可作为生产过程安全连锁控制。因此，每个公司的生产控制区域会有所不同。

当公司规模较大时，一般有多个生产现场或分公司。为了及时了解各分公司的运营情况，协调原材料供应、销售、维修等，通常会在总公司建立公司中心PIMS，实现各PIMS子系统的集中管理。

下面以Aspen公司的InfoPlus应用在一个有4个分厂的公司为例，来介绍该工厂信息管理系统的方案部署。公司有3个连续工艺过程分厂和一个批次生产工艺过程分厂，每个分厂的工厂控制系统均采用知名品牌的DCS，实验室采用实验室信息管理系统（LIMS）。根据公司的DCS、LIMS及办公室局域网（LAN），按照工业控制系统信息安全要求，合理配置工厂信息管理系统的系统结构，其方案部署如图3-11所示。

该工厂信息管理系统由公司区域、非军事区域、工厂控制区域和实验室信息区域组成。其中，工厂控制区域包括安全控制区域。公司区域是公司办公局域网，PIMS用户均分布在这个区域；非军事区域是PIMS主服务器（PIMS Main Server）和批量服务器（Batch.21 Server）放置的区域，将公司区域与工厂控制区域分隔；工厂控制区域是工厂控制系统的区域，包括DCS、PLC、SIS等，其中SIS是安全控制区域，通过通信与DCS进行信息交换，通过OPC将SIS的事件和报警记录送至DCS的OPC服务器；实验室信息区域是实验信息服务器与实验信息用户端的区域。

InfoPlus.21是一个用于采集与存储大量过程数据的实时数据库管理系统，支持各种类型的用户事务处理及生产方面的应用。这种系统的结构特点是模块化设计。InfoPlus.21实时数据库管理系统主要包括以下几个部分。

（1）PIMS主服务器：安装InfoPlus.21的实时数据库管理系统，InfoPlus.21通过OPC服务器（安装在DCS的一台应用站上）读取DCS中的过程变量。

（2）批量服务器：安装了批量数据管理系统Production Record Manager、Aspen Batch、Event Extractor，以及支撑Production Record Manager的关系型数据库Microsoft的SQL Server。Production Record Manager通过数据的抽取功能，直接从DCS的批量过程历史数据库中抽取相关批量信息数据。

（3）开发接口：在OPC服务器站，通过CIM-IO服务器与DCS通信读取DCS中的过程变量；利用ODBC协议把LIMS中的化验数据存放到InfoPlus.21系统中。

（4）防火墙：实现InfoPlus.21实时数据库管理系统与办公室局域网（LAN）、工厂控制网的安全隔离。

网络隔离小结如下：

总之，不带防火墙的架构将不能在公司网和控制网之间提供合适的隔离。不带DMZ的两个区的方案较少采用，并且方案部署要特别小心。最安全、易管理且好扩展的网络隔离方案至少基于三个区，并且有一个或多个DMZ的系统。