工业控制系统边界安全防护建议

随着工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与企业网或互联网互通，使得其他网络的安全风险很容易渗透到工控网络。与此同时，工业生产网内部各业务单元之间如果未采取边界防护措施，一旦某个业务单元遭受病毒感染和恶意公司，将可能蔓延至整个工业网络，造成严重后果。

工业网络一般分为控制系统、业务局域网以及在某些情况下处于两者之间的监管隔离区（DMZ），与管理网和互联网的连接一般受到控制，独立性较高，因此对于边界的防护分为以下三种情况：

(1) 工控网络与其他网络没有连接，则需要做好设备自身的安全防护，不需要新增边界防护的设备

(2) 工控网络与其他网有连接，则需要使用防火墙和网闸等防护设备进行边界防护

(3) 工控网络与其他网络由连接，且通信实时性要求非常高，则需要企业采取弥补措施或依托专业机构提供定制化的解决方案。

为了保护网络边界，企业一般采用如下措施来进行边界安全防护：

(1) 梳理网络拓扑结构，确定工控网络边界

在部署网络边界防护设备之前，要清晰梳理网络拓扑结构，确认工控网络的内外部边界。除了要对工控网与其他网络之间的边界进行安全防护以外，还需要对工控网络内部各业务单元（功能组）间的边界进行保护，以防止来自内部的攻击以及某些绕过边界防御的攻击（如使用物理设备把恶意软件引入控制系统中等）。

在识别、划分出工控网络的各个区域以后，还需要：(1)确定每个区域的边界，保障边界防御能够部署在正确的未知；(2)对网络做出必要的变更，以保证网络架构与所定义的区域一致；(3)对区域进行记录，保证策略的制定与执行以及安全配置边界、安全防护设备的准确性。

(2) 部署边界防护设备

为了有效地实现工控网络和其他网络之间的边界安全防护，在每个网络边界处部署一个或多个边界安全设备，包括工业防火墙、工业网闸、单向隔离设备或者企业定制的边界安全防护网关等。

生产网内部各业务单元的边界防护应采取工业防火墙，根据各业务单元的业务特点、业务需求、安全防护等级等制定不同的安全访问控制策略，保证只有授权的访问操作才能进入到各个区域。

生产网与其他网络的边界防护可采用网闸、工业防火墙以及结合其业务特点，采取定制化的解决方案。