隐患分析

       尽管工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施，但SCADA系统网络仍存在一些潜在的安全威胁。

       1、 SCADA系统与上层ERP信息网之间的OPC通讯安全隐患
       虽然考虑了双网卡配置，管理信息网与控制网通过该站进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。

       2、 SCADA内部各个站控系统间的互相感染隐患
所有的站控系统都在同一个网络中，如果仅仅从管理角度，采取通过规章制度限制移动介质接入而减少外部感染，不在网络内部采取有效防护措施的话，SCADA内部所有站控系统会相互感染，甚至导致系统停车。

       3、 SCADA系统厂商的远程维护接入带来的安全隐患

解决方案及实施

       1、 创建网络安全分区
       基于SCADA系统网络架构和存在的安全隐患，结合系统网络安全要求，将整个系统划分为站控系统、调控中心、管理信息以及远程接入等6个区域。

       2、 部署多芬诺安全模块TSA，根据各个区域的安全需求，确定所需的可装载安全软插件LSM
       a、将各个站控系统通过多芬诺工业防火墙（防火墙硬件TSA+Firewall LSM软插件）进行相互隔离，防止病毒扩散
       b、在SCADA系统和上层管理信息层之间部署专业的OPC通讯协议防火墙（防火墙硬件TSA+OPC Enforcer LSM软插件）防止来自上层信息网针对各条管线SCADA系统的攻击和病毒感染
       c、在第三方远程接入前端增加多芬诺工业防火墙（防火墙硬件TSA+ Firewall LSM软插件），防止来自第三方设备的病毒感染和攻击

       3、 在整个每条管线的SCADA控制网内部部署一台CMP中央组态管理平台，对所有的多芬诺工业防火墙硬件进行组态和管控

       4、 在信息管理层安装一台SMP安全管理平台，统一部署网络通讯监控策略，显示并记录每条管道SCADA的网络报警及设备状态