工业控制网络纵深防御解决方案

工业控制网络纵深防御解决方案编制青岛海天炜业自动化控制系统有限公司 经理 刘安正Byres Security inc.Tofino 亚太区经理 Thomas Ou1工业控制网络安全概述 31.1 本报告编制原则 31.2 工业控制网络安全概述 32.西门子STUXNET控制系统病毒的新警示43目前工厂控制系统网络防护分析 53.1工厂网络情况概述 53.2 目前工业控制网络安全存在的问题 53.2.1操作系统安全漏洞 53.2.2 病毒与恶意代码 63.2.3 拒绝服务攻击-网络风暴 63.2.4黑客入侵与应用软件安全漏洞 63.3目前的防护措施 73.4保证控制网络安全必须达到的两个目标 83.5 ANSI/ISA-99区域防护概念解析94. TOFINO工业网络安全解决方案104.1Tofino 安全解决方案构成 114.2 Tofino安全解决方案达到的目标124.3过程控制系统DCS区域安全分析134.4针对石化企业的Tofino解决方案134.4.1工业OPC通信防护144.4.1.1方案架构图 164.4.1.2 OPC Classic Enforcer 防护原理 164.4.1.3 Tofino OPC通讯防护配置清单（单个OPC连接）184.4.2 操作站层面防护 194.4.2.1 方案架构图 204.4.2.2 操作站层防护部署及原理 214.4.2.3 操作站层通讯防护配置清单（单个防护区域）215. 项目费用概算 错误!未定义书签。1工业控制网络安全概述1.1 本报告编制原则本报告编制依据中华人民共和国计算机信息系统安全保护条例、信息 安全技术指南以及国际ANSI/ISA-99控制系统网络安全指引面向石化企业 信息化的特点，结合MES以及现场控制系统的实际应用，针对控制网络安全问 题进行分析与阐述，并提供适合企业特点的安全方案。1.2 工业控制网络安全概述过去十年间，世界范围内的过程控制系统（DCS/PLC/PCS等）及SCADA 系统广泛采用信息技术，Win dows , Ether net及TCP/IP，现场总线技术， OPC等技术的应用使工业设备接口越来越开放，减弱了控制系统及SCADA系 统等与外界的隔离。但是，越来越多的案例表明，来自商业网络、因特网以及其 它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散，直接影响 了工业稳定生产及人身安全。2003年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获， 人们依然认为系统是安全的。2005年8月 13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本 电脑感染病毒，虽然已安装了 IT防火墙，病毒就在几秒钟之内从一个車间感染 到另一个車间，从而最终导致停工。2006年10月一部被感染的笔记本电脑（维修用的）,让黑客入侵访问了在美 国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。2010年10月，肆虐伊朗国内的“超级工厂病毒” Stuxnet病毒已经造成伊 朗布什尔核电站推迟发电，并对伊朗国内工业造成大面积影响。通过专家对大量工业网络安全案例的分析证明，网络攻击频发的原因正在于 此 不完善的网络安全设计，配置不当的防火墙以及VPN tunnels、双网卡服 务器及网络共享等。2 西门子Stuxnet控制系统病毒的新警示Stuxnet 是一种计算机蠕虫病毒，通过 Windows 操作系统此前不为人知的 的漏洞感染计算机，同时该病毒针对具有西门子WINCC平台的控制系统以及 Step7文件进行攻击，由于该病毒能够修改WINCC平台数据库变量，在Step7 程序中插入代码以及功能块，即能够对控制系统发动攻击，故部分专家定义 Stuxnet 为“超级工厂病毒”。这是目前第一个针对工控系统展开攻击的计算机 病毒，目前已经对伊朗国内工业控制系统产生极大影响，Stuxnet可以说是计算 机病毒界革命性创新，给我们控制系统网络安全带来新警示。控制系统网络是可以被攻击的越来越多的控制系统操作站平台是基于Windows平台，U盘，维修人员的 笔记本接入，信息网络的病毒感染等都可以实现对控制网络的攻击；控制系统网络需要有病毒及黑客入侵防护；需要实施一个纵深防御策略来保证控制系统的稳定运行；3目前工厂控制系统网络防护分析3.1 工厂网络情况概述伴随国家工业化、信息化的两化融合，石化企业提出管控一体化规划，基于 实时数据库应用的 MES 系统在各大企业得到大力推广。实时数据库的建立是以 采集过程控制系统的数据为前提，这就需要 MES 的信息网络必须要实现与控制 网络之间的数据交换，控制网络不再以一个独立的网络运行，而要与信息网络互 通、互联，基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。过程控制系统在近十年的发展中呈现出整体开放的趋势，计算机技术在工控 领域的应用使得现代DCS操作站完全是一种PC+Windows的模式，控制系统 网络也基本都向工业以太网结构发展，开放性越来越强。3.2 目前工业控制网络安全存在的问题开放性为用户带来的好处毋庸置疑，但由此引发的各种安全漏洞与传统的封 闭系统相比却大大增加。对于一个控制网络系统，产生安全漏洞的因素是多方面 的。3.2.1 操作系统安全漏洞PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流，任何一个 版本的 Windows 自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相 对的独立性，现场工程师通常在系统开车后不会对 Windows 平台打任何补丁， 更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。但 是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒 也会遭受感染，可能造成 Windows 平台乃至控制网络的瘫痪。3.2.2 病毒与恶意代码基于 Windows 平台的 PC 广泛应用，病毒也随之而泛滥。全球范围内，每年 都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天 数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。例如蠕虫， 从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。 它能够通过端口扫描等操作过程自动和被攻击对象建立连接，如 Telnet 连接等， 自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。基于工控软件与杀毒软件的兼容性，在操作站（HMI）上通常不安装杀毒软 件（美国有因为安装杀毒软件导致安全系统运行故障的案例），即使是有防病毒 产品，其基于病毒库查杀的机制在工控领域使用也有局限性，主要是对新病毒的 处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。3.2.3 拒绝服务攻击-网络风暴拒绝服务攻击是一种危害极大的安全隐患，它可以认为操纵也可以由病毒自 动执行，常见的流量型攻击如Ping Flooding、UDP Flooding等，以及常见的连接 型攻击如SYN Flooding、ACK Flooding等，通过消耗系统的资源，如网络带宽、 连接数、 CPU 处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务 攻击非常难以防范，原因是它的攻击对象非常普遍，从服务器到各种网络设备如 路由器、交换机、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重 的拒绝服务攻击就会导致严重后果，轻则控制系统的通信完全中断，重则可导致 控制器死机等。目前这种现象已经在多家工业控制系统中已经出现，并且造成严 重后果。可以想像，一套失控的控制系统可能导致的后果是非常严重的。而传统 的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。3.2.4 黑客入侵与应用软件安全漏洞最后要提到的两点目前发生概率较小，分别是黑客入侵和工控应用软件的自 身漏洞，这些事情通常发生在远程SCADA控制系统的应用上，在此不做详述。3.3 目前的防护措施石化企业随着信息化的不断深入，大量IT技术被引入，同时也包括各种IT 网络安全技术，主要有IT商业防火墙、IDS、VPN、防病毒等，这些技术目前 也基本集中在工厂MES系统企业信息层面。针对控制网络的防护，也进行了一 些积极有效地措施，基本如下（参考下面工厂 MES 网络示意图）：（1）信息层网络与控制层网络之间采用双网卡接口机（Buffer机）；（2）安装病毒监控软件，保证病毒库随时升级（病毒库服务器）；（3）就操作系统发现的漏洞及时打补丁（补丁服务器）；（4）OPC 数据采集客户端采取只读数据的单向策略；（5）OPC数据采集服务器与客户端之间增加普通IT防火墙；（6）参与过程控制高级应用的先控站（APC Node）单独放置；（7）面向项目编程组态的工程师站（ENG Node）单独放置；（8）操作员站主机机柜上锁，或USB 口屏蔽，防止操作工任意使用U盘;（9）加强管理，对不按照规程操作的工程师进行处罚；署可逐7 LJ - 1 = - 一，iwrniiiiiiiiirUDTIS倍思皆理网moreGPCCiteniBurreiSL 具电希网t：的務尋 可邁冗命配宦PC Serrnr H程那站高银壺用葩站工厂MES网络示意图由于石化生产过程的重要性和特殊性，严格要求每一生产环节都不允许产生 纰漏。数采系统的采集站直接与现场装置 DCS 相连，对于（1），虽然考虑了 双网卡配置，管理信息网与控制网通过采集站进行了隔离，病毒等破坏性程序不 能直接攻击到控制网络，但对于能够利用 Windows 系统本身缺陷的网络蠕虫病 毒，这种配置几乎没有作用，除非能够把采集站的 Windows 系统的系统漏洞消 除在利用该漏洞的蠕虫病毒攻击之前，使得蠕虫病毒无法攻入采集站系统，从而 无法利用采集站作为进一步攻击的基地；对于（2）和（3），病毒库及系统补 丁的升级总是存在滞后效应，对于新型入侵及攻击无法抵御，因此还不能完全阻 止攻击；对于（4）（5）项是用户一直非常头痛的部分，缺乏有效的解决方案 来实施；对于（6）（7）（8）（9）项，基本都是管理方面的内容，其作用在 于防止非计算机的人为破坏因素。常规的IT网络安全技术没有专门针对控制网络需求进行规划设计，以上所 列安全措施只是对控制网络入侵的一种限制手段，但无法达到网络安全的要求， 需要通过专业网络安全设备，去限定并且管控有限的连接，来满足化工装置对网 络安全的要求。3.4 保证控制网络安全必须达到的两个目标虽然各个工厂在针对控制网络安全都采取了在本文档3.2章中描述的防护措 施（或者其它更高级的措施），但我们相信，要保证控制网络中基于 PC+Windows 方式的操作站（HMI） 100%免受病毒感染或者其它攻击是根本不可能的。这些 感染或攻击的途径可能来自：来自上层信息网对控制网的攻击或病毒感染；工程师使用U盘、光盘导致的病毒传播；设备维修时笔记本电脑接入而来； 总结以上列举的种种问题，我们认为要保证控制网络的安全运行必须达到两 个目标：（1）即使在控制网单点出现问题，也能保证装置或工厂的安全稳定运行对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整 个网络瘫痪，该防护目标在于当控制网络的某个局部存在病毒感染或者其它不安 全因素时，不会向其它设备或网络扩散，从而保证装置或工厂的安全稳定运行。（2）能够及时准确的确认故障点，并排解决问题 怎样能够及时发现网络中存在的感染及其它问题，准确找到故障的发生点， 是维护控制网络安全的前提。3.5ANSI/ISA-99 区域防护概念解析目前国内针对工业控制网络的防护标准尚不成形，公安部会同有关部门也在 制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法，在国际 上，美国在 2007 年颁布的 Chemical Facility Anti-Terrorism Standards （CFATS）标 准（该标准由美国国土安全部颁布）以及 2008 年颁布的 US Chemical Anti-Terrorism Act （美国化学反恐怖主义法）针对化工设备安全做了强制要求， 目前，石油，水处理以及制造业都还没有必须按照以上立法规定作业，但是为了 避免重大的风险，基本都遵守ANSI/ISA-99 Standards的要求进行规划。来自国际的行业标准，如ANSI/ISA-99指出过程控制系统或SCADA控制网 络的控制网络安全要点：要点名称要点描述达到目标区域划分具备相同功能和安全要求的设备在同一区域内安全等级分区管道建立实现区域间执行管道通信易于控制通信管控通过控制区域间管道中通信管理控制来实现设备保护数据通信可控想要满足这一安全要求，Tofino是一种经济高效的方式。Tofino能够用来分 离信息系统网络与过程系统网络，分隔不同供应商的控制系统，并隔离关键系统 与非关键系统，保护控制系统底层边缘设备（例如操作站、控制器等）。4. Tofino工业网络安全解决方案Tofino工业网络安全解决方案针对SCADA和过程控制系统特别设计，旨在 为其提供一种分区的安全解决方案。Tofino拥有极高的性价比，它能够在工厂车 间中建立深层防护架构，因此，即使有黑客或病毒通过主要的企业防火墙，他们 也将面对基于控制网络特点而设计的专业安全设备，只有穿过这些设备才能进而 造成损害。Tofino 模块采用 Tofino Central Management Platform （CMP，中央管理平台） 进行集中配置、组态和管理（可远程甚至跨国使用），控制网或企业网均可以在 适当位置安装CMP。使用CMP，并装载各种必要的Loadable Security Modules （LSMs，可装载安全软件插件），就可以实时在线调整Tofino模块，使之满足所 保护区域及设备的安全要求。TofinoCorporateTofino CentralFW ModuleManagementPlatformTofinoDCS StationsTrafficSCADA RTUCluster of DCSControllersTofino安全解决方案系统配置示意Being Loaded to.Appliance Firewalling Control SystemtMonitoring DCSNetworkTofinoStatusBeing Sentto CMPHMI StationPLC ControllersAppliance ng PLC二 iNetwork71 Xno1 11 1&11 rTelcoLSM能够为工厂用户量身定制的加密，入侵检测及控制协议识别等安全解 决方案。例如，可以将其中一个Tofino模块作为专有PLC网络的防火墙，将另 外一个Tofino模块作为网络RTU通讯的加密系统。当然，单个Tofino模块可以 同时装载多个LSM，同时提供多重安全防护。Tofino Security System 一方面是一个完整的分布式的安全解决方案，另一方 面又可以简单、安全地进行集中管理，这些特性使得它成为一款独一无二的产品。 对大型工业企业来说，Tofino Security System更意味着最佳的安全效益和技术支 持，并不只是简单满足了独立的关键控制设备的安全需求。不同于传统的IT防火墙，Tofino专为工业环境控制网络通信安全要求而设 计。现场技术人员只需简单为 Tofino 接入电源，并连接两个网络的电缆即可， 无需其他任何操作。一旦安装成功，安全/技术人员即可毫不费力地管理任何系 统，以总揽公司大局的方式对网络威胁作出反应。最重要的是，Tofino既可以灵 活运用在单纯由PLC构成的小型工厂中，又能够满足那些拥有成千上万个设备 并且分布全球各地的大型跨国公司的使用要求。4.1Tofino 安全解决方案构成一个完整的 Tofino 安全解决方案包含以下三部分：Tofino安全模块（TSA）增强型工业环境要求设计，应用于受保护的区 域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。Tofino可装载安全软插件（LSM）专为TSA设计的安全软插件，提供安 全服务，如工业通信防火墙、事件与报警管理， OPC/Modbus TCP 通信深度检查、 安全设备资产管理、VPN加密等。LSM可以直接装载到Tofino安全模块中，并 根据系统需求提供各种定制安全服务。Tofino中央管理平台（CMP） 窗口化的中央管理平台系统及数据库， 用于 Tofino 安全模块的配置、组态和管理Tofino 安全模块（TSA-100）Tofino 安全模块（TSA-220）Tofino 中央管理平台界面截图4.2Tofino 安全解决方案达到的目标区域隔离：Tofino工业防火墙插件能够过滤两个区域网络间的通信，这样意味着网络故障会被控制在最初发生的区域内，而不会影响到其它部分。 通信管控：通信规则是可以在线通过 CPM 进行预先组态和测试的。实时报警：任何非法的（没有被组态允许的）访问，都会在CMP管理平台 产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解决一劳永逸：工业级硬件设计，保证模块的稳定性；特有的专有控制通讯协议 检查设计理念（白名单理念），告别了传统防火墙的病毒库升级等繁琐工作，在 防护的同时也不改变控制网原有应用软件的操作模式，大大降低网络维护量。4.3 过程控制系统 DCS 区域安全分析以在本文档3.2 节中描述的 MES 网络结构图为例，首先将网络划分成三大层，每一层作为一个独立的大区域，分别是信息层(Information zone)、操作站层(Station zone)和控制器层(Controller zone )，如下图基A h则川III.窦吁轴带曲駛盛用monei菩皿|1盼叽培OPC遇讯博追Slalion lone1造商咅育划做C &nirfl Iler zoneOPCCEienVBuhertfl 具有克网卡旳月扬器EnforrnsJtion zoneH厂丈时谢B库 可选)1金M粗servei工却师站高绩戍皿先控舛.rn qfe 匚去二防护区域划分示意图考虑到在操作站层(Station zone)中OPC Server，工程师站以及高级应用先控站这三个节点病毒感染概率较高，为防止病毒扩散，特别在大区中间增加一 个二级子分区，将这三个节点与其它操作站隔离。4.4针对石化企业的Tofino解决方案针对石化企业流程工业的特点，同时结合控制系统的网络结构， Tofino 产品 可以应用在以下两个方面：p _moreWrinIIEIIjllDC 5百怡卧说基TDMZ架构的部OPC Clie脚Buftw Bl砂送朮隶*盂GPr. iftifUfe 2jj1Eutfit Tj.-4 Ebon: Piicrtry Sdurc RJodAlj Nodt 沪 ifJ Wdu 口 |T-通 Ccmputar|i 辺 Cn-*iol- Ll Dcvdfe Nrtworic Networtc Equipmsrrt 注 Tdinpfl Prato D矗盘。匚睛3也UOh T也(LDf亠 jCNCP BETiniB即icmuHi上 斛口 GaV lfOKPaiurtUBi fiDHCPnw- LJCPEitiind-tc-5ejiallC*Oigi fkdPoft 斛口嵯 RPcftSL.TL5 POHM-TCPWons-uwORNrtvwrkEquip1NefiwkHdhwkNaMxlLTfflluNtixwb Equpr-QwnpuHi3r 州 IfiTConlrdlirNlKTkTnlinaContrdlirN 闵 M_T 辿 口 出 Fcrt Saib C-srporjIa * =Furt 立也比N Flwwd 矗 Feri Jink Ccrtinl C rA Fed iaiktodtroir i Ji2prr?ip(ihr4ctn 0 _3 .laspei Pump呷 Si- ddl JP.MTWKJM I JP_hM_0(r 址 ip_plcjwLJ 胆 iP_PLCJMC 胆 iP_PLCJW _申T负K of Asxi d kJ m 1 I c |kanTofino 中央管理平台界面截图4.4.1.1 方案架构图Tofino OPC通讯防护解决方案架构图4.4.1.2 OPC Classic Enforcer 防护原理OPC Classic Enforcer 一个可加载的软插件，具备 OPC 防火墙的功能，利用协议深层检测技术来幕后管理OPC的交连通讯OPC Claic Enforcer1)OPC Enforcer 接受从客户端发连接的请求，并检查：它是否发给经批准的服务器；它是否来自认可的客户端；它是否一个OPC正确的请求讯息格式;QOPC ClientInvhd Req，OPC Conn RbQPC ServerOPC Conn R&q2)OPC Enforcer 随后审查从服务器返回的讯息，并检查 它是否一个 OPC 正确的返回信息格式； 它是否返回给发出请求的客户端； 服务器告诉客户端去使用哪个 TCP 端口；(3 )OPC Enforcer仅针对正确的OPC连接开放TCP端口，并设定以下限制:只容许该客户端和这服务器之间的通信；只容许该客户端使用此指定的端口通信；只容许正确的TCP通讯发生在特定连接的时间内;Invalid Client/PortOPCClientData Req (5555)OPC gtaL34)OPC Enforcer 阻挡一切非 OPC 标准的通讯请求：阻止一切没有OPC标准格式的DCE/RPC访问请求;阻止尝试使用其它TCP端口号的通讯连接；试图“借用”其它客户端或服务器的端口号;阻止其它一切黑客、蠕虫、病毒等非法的访问OPC ClientOPC Serverinvalid Port # InviEid 爭吾irflr invaliei ClientOFC Da(d(4) Tofino OPC Enforcer 优势：在 OPC 工业协议上最先应用“连接跟踪技术” ；Tofino的Sanity Chee检查功能，可拦阻任何不符合OPC标准格式 的 DCE/RPC 访问；OPC通讯权限管理，OPC协议深度检查，管控通讯安全； 只在所跟踪的 TCP 端口有需要时，防火墙才短暂地打开； 可支持多个 OPC 客户端和服务器同时使用；简单易用，在OPC服务器或客户端上并不需要做任何变化和改动只是在通讯网线中间加入即可；可支持OPC DA, HDA和A&E标准；实现区域防护和病毒隔离，阻挡恶意攻击；得到OPC基金会的大力推荐。4.4.1.3 Tofino OPC通讯防护配置清单(单个OPC连接)1) Tofino TSA 硬件及插件方案所需软、硬件功能数量Tofino安全模块FA-TSA-220-TX/TX能够提供安全系统的工业平台，适宜温度-40 C to +70 C,防护等级IP20。1Firewall 插件LSM-FW-100提供防火墙及网络交通控制功能的软插件，符合ANSI/ISA-99.00.02的网络分段要求，达到区域隔离目标。1OPC En forcer 插件LSM-OPC-100管控OPC服务器及授权客户端之间的数据通信，并且应用 专有技术动态跟踪OPC通信所需端口，冋时Tofino的 Sani ty Checks查功能能够阻挡任何不符合OPC标准格 式的DCE/RPC访问。同样也对OPC授权客户端发往 OPC服务器的OPC对象请求进行检查，以提高OPC服务 的安全性。1PowerAdapterDC-24PA-TSA-01电源适配器DC-24VDC-24电源适配器，2台构成冗余结构。2Tofi no Argon Eve nt Logger LSM事件报警插件LSM-L OG-100Tofino事件记录可装载模块对您的安全事件提供了可靠的 监控功能和记录功能，它是一个专为工业控制网络设计的 日志记录系统。1Tofi no Argon Secure Asset Management LSM资产管理插件LSM-SAM-100像雷达一样，Tofino的安全设备资产管理（SAM）可装载 模块可以追踪每一个通过Tofino安全设备进行通讯的设 备。不过，为了避免引起进程干扰，它实现这一功能使用 的并不是传统的扫描技术1（2） Tofino 中央管理平台软件 CMP（Central Management Platform）：是一个基于Windows平台的软件，具备在线组态、在线监控、资产管理等多种功能，可以将全厂所有设备硬件都集中管理，对全厂控制网络状态一目了然CMP中央管理平台项目描述订货号单位数量1Tofino Argon Central Management Platform (Software License, CD, Quickstart) - unlimitedSAS中央管理平台软件-无限点FA-CMP-100套12Tofino CMP Users Guide CMP 用户手册DOC-UG-CMP-100册13Tofino CMP Software Installation GuideCMP安装指导手册DOC-IG-CMP-100册14Tofino CMP Quick Start Guide CMP 速配手册DOC-QS-CMP-100册14.4.2 操作站层面防护针对操作站层面(Station zone)各个节点之间的相互影响，杜绝由于部分 操作站的病毒传染整个网络，我们将工程师站，OPC Server以及高级应用先控站 或部分操作站进行分组，通过Tofino模块进行隔离一个完整的 Tofino OPC 安全解决方案包含以下五部分：Tofino安全模块(TSA)：硬件设计遵循增强型工业环境要求，应用于受保 护的区域或控制器等关键设备之前，设计使用寿命 27年，能够提供安全系统的工业平台，适宜温度-40 C to +70 C，防护等级IP20。右图为Tofino安全模块硬件图片。Tofino可装载安全软插件(LSM-Firewall)：工业网络交通警 察，提供防火墙及网络交通控制功能的软插件内置50多个工业专 用及商业IT通信协议，预先定义超过25个控制器类型(例如： 西门子 S7-300/S7-400, Honeywell PKS C200/C300/)，通过通讯 协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特 殊规则”。 符合 ANSI/ISA-99.00.02 的网络分段要求，达到区域 隔离目标。资产管理插件(LSM-Secure Asset Management)像雷达一样，Tofino的安全设备资产管理(SAM)可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过，为了避免引起进程干扰，它实现这一功能使用的并不是传统的扫描技术事件报警插件(LSM -Tofino Argon Event Logger)： Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的 日志记录系统。Tofino中央管理平台(CMP) 窗口化的中央管理平台系统及数据库, 用于 Tofino 安全模块的配置、组态和管理。4.4.2.1方案架构图操作站层防护解决方案架构图4.4.2.2 操作站层防护部署及原理（1）将所有操作站进行分组，例如可将工程师站、OPC Server站以及高级 应用先控站这三个节点独立分为一个区域，该区域所有通讯均由 Tofino 防火墙 进行过滤。（2）选择一台网络中的PC机或工程师站安装CMP中央管理平台（3）通过CMP对Firewall插件的组态，通讯规则只允许DCS制造商的通 讯协议才能通过，其它任何病毒或其它非法访问都被阻止，这样，来自防护区域 内的病毒感染不会扩散到外面的网络中去，来自外部的攻击也不会影响到防护区 域内的设备。（4）组态管控局部网络的通讯速率，防止网络风暴发生，避免所有操作站 在同一时间出现数据堵塞或者黑屏。4.4.2.3 操作站层通讯防护配置清单（单个防护区域）1) Tofino TSA 硬件及插件方案所需软、硬件功能数量Tofino安全模块FA-TSA-220-TX/TX能够提供安全系统的工业平台，适宜温度-40 C to +70 C,防护等级IP20。2Firewall 插件LSM-FW-100提供防火墙及网络交通控制功能的软插件，符合ANSI/ISA-99.00.02的网络分段要求，达到区域隔离目标。2PowerAdapterDC-24PA-TSA-01电源适配器DC-24VDC-24电源适配器，2台构成冗余结构。4Tofi no Argon Eve nt Logger LSM事件报警插件LSM-L OG-100Tofino事件记录可装载模块对您的安全事件提供了可靠的 监控功能和记录功能，它是一个专为工业控制网络设计的 日志记录系统。2Tofi no Argon Secure Asset Management LSM资产管理插件LSM-SAM-100像雷达一样，Tofino的安全设备资产管理（SAM）可装载 模块可以追踪每一个通过Tofino安全设备进行通讯的设 备。不过，为了避免引起进程干扰，它实现这一功能使用 的并不是传统的扫描技术2（2） Tofino 中央管理平台软件 CMP（Central Management Platform）：是一个基于Windows平台的软件，具备在线组态、在线监控、资产管理等多种功能，可以将全厂所有设备硬件都集中管理，对全厂控制网络状态一目了然CMP中央管理平台项目描述订货号单位数量1Tofino Argon Central Management Platform (Software License, CD, Quickstart) - unlimitedSAS中央管理平台软件-无限点FA-CMP-100套12Tofino CMP Users Guide CMP 用户手册DOC-UG-CMP-100册13Tofino CMP Software Installation GuideCMP安装指导手册DOC-IG-CMP-100册14Tofino CMP Quick Start Guide CMP 速配手册DOC-QS-CMP-100册1