15、工业协议与标准的应用及实践

工业协议与标准的应用及实践

1. 工业网络安全架构

工业网络的安全对于保障工业设备的稳定运行至关重要。以下是几种常见的工业设备安全架构及相应的安全措施。

1.1 现场总线边缘安全

在现场总线场景中，边缘设备通过现场总线协议直接连接到分布式控制系统（DCS）或可编程逻辑控制器（PLC）。为确保此设置的安全，可将边缘设备置于非军事区（DMZ），使用两个防火墙。第一个防火墙控制面向外部的接口，第二个防火墙控制面向控制网络（CN）的接口。为隔离CN和边缘设备，需在两者之间插入深度包检测（DPI）防火墙。例如，对于Modbus CN，可部署支持Modbus协议的DPI防火墙，仅允许读取命令通过，阻止任何写入控制设备的尝试。但这种设置存在两个主要困难：
- DPI防火墙可用性 ：管理和过滤特定工业协议流量的DPI防火墙可能不可用，或无法实现保障所需场景安全的所有规则。
- 客户政策 ：内部客户政策可能不允许使用同一设备从CN拉取数据并同时将其推送到互联网。

1.2 OPC DCOM边缘安全

在OPC DCOM设置中，边缘设备通过OPC Classic客户端连接到OPC Classic服务器。为保障安全，需将边缘设备置于DMZ，使用两个防火墙分别控制面向外部和OPC Classic的接口。然而，DCOM通信基于动态TCP端口的开放，使得使用防火墙管理DCOM流量变得困难。为有效控制DCOM流量，有以下两种选择：
- 遵循微软建议 ：限制动态分配的端口号范围，修改运行OPC Classic服务器的Windo