《軌道交通自動化信息安全面臨的挑戰與應對》（節選）

上海申通地鐵集團有限公司技術中心 洪翔

《軌道交通自動化信息安全面臨的挑戰與應對》（節選）

上海申通地鐵集團有限公司技術中心 洪翔

3.2 工控網信息安全的考慮

建議從硬件以及軟件兩個方面實現工業以太網的信息安全。

（1）硬件實現多層次網絡信息安全防護

針對軌道交通自動化系統構成特征，將現場級系統分解成多層結構（如圖1所示），在各層網絡中根據不同情況（如連接設備數目、帶寬以及性能要求等），設置合適的工業級網絡安全產品。以Moxa公司的EDR-810系列為例，隨著集成技術發展，在市場上推出了一體化的防火墻交換機，主要面對最底層需連接多個終端設備，必須放置一臺交換機的情況；該集成設備集合了二層網管交換功能以及防火墻/NAT/VPN的功能，具有千兆上聯口以及多個快速以太網口，在滿足現場設備接入的同時，還可利用網管的功能，有效防止由于現場設備故障導致的廣播風暴對于其它關鍵設備的影響；對于現場不被使用的端口，在物理封存的同時系統可以將其關閉，從而防止利用現場設備接入交換機進行的惡意篡改以及非法入侵。另外，該設備的防火墻策略控制不同信任區域之間的網絡流量以及網絡地址轉換（NAT）防御內部局域網免受未經授權從外部主機傳來的活動，能夠執行深度的Modbus TCP數據包檢測，從而有效地防止對于現場PLC等關鍵設備的非法控制，確保關鍵設備的可靠性。

在最上層對接辦公網絡時，宜選擇設置工業級千兆防火墻/VPN安全路由器設備，同時應考慮滿足帶寬需求高、對外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例，其具備冗余的WAN接口，千兆的寬帶性能，吞吐量能夠達到500Mbps，能夠建立的Firewall/ NAT規則數為512/256以上，從而確保企業信息網與自動化網絡之間的安全通信；同時，支持VPN三層隧道協議IPSec可達100條，能夠滿足遠端的多通道安全通訊。

（2）在網管軟件中設置信息安全的選項

工業網絡管理套件可以實現簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除，將整個網絡生命周期都結合到了一個工具包內。為了回應工業網絡對于信息安全的重視，須基于ISA與IEC共同制定的針對工業網絡分隔的工業自動化系統和控制信息系統的標準IEC 62443標準，分別在安裝、運行和診斷三個階段來確保網絡安全。

在安裝階段，要從軟件上可以批量部署設備的安全功能，可選擇不同的設備安全級別，規范不同的安全條款，以滿足不同的應用需要。

在運行階段，軟件可在可視化的網絡拓撲結構中，用不同顏色來標注設備的不同安全等級，方便進行設備管理。在偵測到安全異常情況后，有相應的界面輸出警告，通知操作人員，進行及時處理。