按照所完成主要功能的不同,一般将EPA系统分为现场级网络、车间级网络和管理级网络三个层次。
从系统的角度,EPA系统的通用安全模型描绘了完成该系统安全必须提供的服务和机制,建立了满足开放系统互联标准的体系结构。系统的整体安全是在信息安全与安全访问模型的基础上,结合应用密码技术、防火墙、口令等访问过滤技术及系统内部的安全扫描等来实现。
1.企业管理级
企业管理级网络一般有良好的计算能力,攻击者可用的资源丰富,易于实施攻击;另一方面,该级数据资源关乎全局,要求的安全性较高,因此可用严格的安全策略。该级的安全风险主要来自公司外部或企业管理级网络内部。
源于公司外部的风险一般有通过 Internet或PSTN两种途径。对于Internet的情况,有基于防火墙和VPN的两种解决方案。
(1)基于防火墙的方案
允许在内部网络传送的只有通过防火墙过滤的外部通信才可以。全部与防火墙配置规则相悖的通信量都会被阻止通行。
●服务控制:防火墙能借助IP地址和TCP端口号过滤通信量。
●方向控制:确定已定的服务请求许可流动的方向。
●用户控制:由用户企图访问的服务控制访问服务。典型地,控制防火墙内的用户。
●行为控制:控制特定服务的使用方式。
(2)基于VPN的方案
当公司业务必须通过Internet来实现,或建立全球化的虚拟工厂时,保护生产过程安全的另一个技术就是VPN技术。VPN在两个 intranet间,或两个连接设备和一个 Intranet间给了一条已经认证的、加密的连接通道。基本的做法就是利用IPSec技术,借助Internet提供一个加密的IP隧道,以许可分布式站点安全地通信。隧道封装协议的数据分组作为另一个协议数据分组的数据部分,即整个原始的分组通过一个“隧道”从IP网点传到另一点。通过PSTN的途径实现外部风险的情况,下面几条规则可降低被入侵的风险:
●不要公布相关的电话号码、登录用户和口令。
●使用 Modem的回呼功能呼叫主叫方的 Modem。
●将特定的路由器或防火墙与本连接相关。
●尽量用端到端的PSTN连接,而不是基于 Internet的连接。
●生成全部访问的日志记录。
●使用加密隧道建立安全连接。
●如果可能,用手工的方式来实现对自动化网络的远程访问连接。
2.车间级
主要任务是编程调试、建立人机接口、下达控制指令、进行远程维护等,因此可能受到的攻击主要为窃取信息、干扰传递正常指令或下达非法和破坏性指令。
车间级网络与企业管理级网络访问过滤安全功能可通过路由器实现。此时,它必须被配置成可以过滤客户或服务器IP地址、通信端口的“访问控制器”。一种方案是路由器过滤通信量,允许合法的数据分组通过而拒绝其他数据分组。这种过滤功能可让他们通过IP源地址/目标地址和TCP端口访问控制列表来保护计算机和别的网络构件避免非法或敌意的通信量的威胁。这种安全措施主要防范来源于车间级网络外部的安全风险。
通常主要通过身份认证、信息加密和安全扫描等方法实现对于车间级内部安全风险的防范。
3.现场控制级
现场控制级主要由一些自动化生产单元组成。其安全风险源自自动化生产单元内部或外部的车间级调度网络。由于现场级网络一般来说计算资源有限、实时性要求高。因此,规定把授权和访问控制机制作为EPA中现场级网络的基本安全要求,而其他安全措施则是可选的,如密码加速卡。
(1)源自自动化生产单元外部的风险
这种情形的风险主要来源于车间级的访问,为防御风险,可通过在车间级和现场级间的访问点上访问过滤的安全策略;此外分别在工程师站和PLC上安装密码加速卡,既可达到通信实时性的要求,又可实现信息的加密传输,提高通信的安全性。
(2)源自自动化生产单元内部的风险
在自动化生产单元内部,现场仪器仪表间需经常通信来实现生产信息的检测和控制信号的传递,如传感器与PLC之间、PLC与执行器之间、传感器与执行器之间等。就风险而言,主要的威胁为控制信号本身可能是一个“恶意”或错误的命令。可用的安全策略有通过设备ID号实施设备鉴别、建立危险命令“黑名单”库,由可能带来的破坏程度赋以不同的危险级别和对应的处置指令,来减小或消除安全风险。
