EDPF-NT+分散控制系统的风险识别与所要实现的目标方案

根据调研，EDPF-NT+分散的网络通信系统分为三层：

1、数据高速公路管控网层MCN（Management and Control Net），

2、扩展输入输出层EIO（Extended Input/Output），

3、现场输入输出层FIO（Field Input/Output）。

MCN层是EDPF-NT+系统的上层信息网络，采用工业交换式以太网。MCN可以是通过智能网络交换机连接起来的多个交换式以太网，域间的智能网络连接设备可以为各个子网之间提供进一步的安全隔离。在MCN层主要分布的节点为分布式过程控制站(DPU)、工程师站(ENG)、操作员站(OPR)、历史数据记录站（HSR）、制表站（LOG）、性能计算站（CAC）、功能接口工作站（GATEWAY）等

扩展输入输出层EIO网是国电智深公司开发的基于工业实时以太网的IO总线平台，是EDPF-NT+过程控制站的控制器与I/O子系统信息交互网络。

现场输入输出层FIO协议由接入系统的现场层I/O子系统设备提供。支持各种标准和私有的传输协议，如PROFIBUS DP，FIELDBUS、HART、MODBUS RTU和EDPF-NT+的IO总线IOBUS等

系统网络结构示意图如下：

EDPF-NT分散控制系统图

风险识别：

1、工程师站是系统组态和系统维护的核心。工程师站负责规划系统规模，创建工程、完成建域、建站、生成系统数据库、生成监视操作画面、生成控制算法、生成报警功能、生成报表功能等。同时具有对过程控制站控制应用软件的下载和上装等功能。工程师站安装有工程管理器、工程服务器、安全策略生成器、工程组态和管理软件包、点记录批量操作工具、站管理工具、虚拟控制器以及时间同步工具等功能软件。作为人机交互最为频繁的节点，且同时具备对控制站进行下装的关键节点，工程师站是整个系统中的高风险点，一旦受到人为或非人为的病毒感染或攻击，都会对整个系统的运行安全造成威胁。

2、鉴于系统信息安全特殊性，各操作员站、历史记录站、制表站等基于Windows系统的节点都存在环境限制所不可修复的漏洞，这些节点都都存在被病毒感染和恶意代码攻击的危险。

3、多功能接口站担负着与第三方计算机系统的大型数据双向通信的功能，也是与信息网进行数据交换的关键接口，为保证数据和系统的安全性，工业防火墙的区域隔离是必不可少的。

4、在热控电气一体化的EDPF-NT+分散控制系统等含有多个域的控制系统中，域间没有遵循国际ANSI/ISA-99区域防护理念进行域间隔离，以确保即使一个域受到安全威胁，也不会影响到其他域的正常运转。虽然ACL技术可以实现子系统的隔离，但MCN网络仍有域间威胁传播的风险，应采取专业的域间隔离设备进行隔离以降低安全风险。

5、第三方辅控装置将数据采集信息汇聚到主控制网中，对主控网络的信息安全造成威胁，应针对OPC通讯的特点进行适当的网络防护

3.2针对EDPF-NT+分散控制系统风险点的安全解决方案

1、在工程师连接MCN网络间安装工业防火墙

2、在MCN网络中的操作员站，历史站，制表站等节点使用工控可信计算平台，对各节点进行基于底层的安全防护

3、在多功能接口站向第三方计算机系统提供接口的部位安装工业防火墙

4、在第三方辅控装置控制器与MCN网络连接的节点处安装安全数采网关

示意图如下：

5、在火力发电厂分散控制系统中有多个域的系统，使用工业防火墙进行域间隔离，确保MCN网络的安全威胁控制在有限的范围内

6、在MCN网络中添加一台服务器作为可信计算授权服务器和对工业防火墙进行管理和监控的安全管理平台。

解决方案整体网络拓扑示意图（火力发电厂分散控制系统）

图：含现场总线的EDPF-NT+分散控制系统单元一体化系统结构图

安全解决方案的所实现的目标：

1、 对工程师站进行重点的安全风险管控，在不影响系统正常运行的情况下，对所有与工程师站的通信进行安全检测及防护，降低高风险点对整个系统的影响

2、对操作员站，历史站等MCN网络节点进行细胞级单体防护，依赖可信计算核心芯片保证各网络节点自身系统和应用的安全，从而降低对整个系统的安全风险

3、确保第三方控制系统不会对本系统造成信息数据泄露的风险，凭借特有的通讯数据检测机制保证信息网不会对本系统的信息安全造成危害。

4、对关键设备的重点防护能够确保作为保证控制系统正常运转的最后一道屏障。

5、以区域隔离的理念对域间进行安全防护，保证单一车间或区域系统所出现的安全威胁不会影响到整个控制系统

6、以可信计算授权服务器和工业防火墙安全管理平台组成的服务器将实时对网络内的安全设备进行管理和监控，及时发现潜在的威胁风险点，及时查找网络中的故障点，并为系统的安全防护机制和改进措施提供有利依据