【深入解讀】安全儀表系統（SIS）的網絡安全

當企業開始實施安全儀表系統（SIS）項目時，利益相關者必須做出的第一個決策就是選擇系統架構。通過遵循國際網絡安全標準（例如IEC 62443（ANSI/ISA 62443系列標準）以及國際過程工業自動化用戶協會（NAMUR）指南等），使得采用接口或集成的SIS架構更好的強化系統成為可能。了解每種體系結構背后的獨特優勢和注意事項，對于做出明智決定，以便最大程度的滿足企業需求來說至關重要。

了解標準

網絡安全標準提供了區分安全關鍵和非安全關鍵部件的指南。根據ISA準則，必須將安全關鍵資產與非安全關鍵資產，從邏輯或物理上劃分為多個區域。

NAMUR在工作表NA163“SIS的安全風險評估”中，也提供了一組相似的準則。該準則定義了3個邏輯區域——核心SIS、擴展SIS和控制系統結構（NAMUR稱之為“外圍設備”），并指出它們在物理上或邏輯上必須是分開的（圖1）。

圖1：NAMUR提供了與ISA62443網絡安全標準類似的一套指南，其中SIS功能分為3個區域：核心SIS、擴展SIS和控制系統體系結構（NAMUR稱之為“外圍設備”）。本文圖片來源：艾默生

核心SIS由執行安全功能所需的器件組成（邏輯求解器、輸入/輸出（I/O）器件、傳感器和終端執行器）。擴展的SIS，包含執行安全功能不需要的安全系統器件（例如，工程師站）。外圍設備是諸如基本過程控制系統（BPCS）之類的器件和系統，它們不會直接或間接分配給SIS，但可以在安全功能的情境中使用。安全功能可能包括來自基本過程控制系統的重新發送請求，或在人機界面中顯示安全功能。

兩種標準都沒有明確定義所需的體系結構。用戶必須決定如何最好地構建SIS網絡，并確保在最終設計中，基本過程控制系統和SIS之間提供足夠的邏輯和物理隔離。通常，企業有3種選擇來構建SIS網絡：

●隔離的SIS（separated SIS）：與基本過程控制系統完全斷開連接并與之獨立；

●接口的SIS（interfaced SIS）：通過工業協議（通常是Modbus）將接口SIS連接到基本過程控制系統；

●集成的SIS（integrated SIS）：連接到基本過程控制系統的集成SIS，但需要充分隔離以符合網絡安全標準。

有些人可能認為，部署隔離的SIS比其它類型的SIS都更安全。但是，只要預先定義安全架構并在安全系統設計、實施和維護期間強制實施，所有列出的體系結構都可以提供強化的安全架構。盡管很重要，但SIS體系架構只是安全系統在定義安全性的一個方面。

利用縱深防御

保護SIS需要縱深防御方法。由于網絡攻擊每年都在增加，僅有一層保護對安全關鍵資產是不夠的。網絡管理員正采用多層安全保護——防病毒、用戶管理、多因素身份驗證、入侵檢測/預防、白名單、防火墻等，以確保未經授權的用戶面臨不可逾越的進入障礙?？v深防御策略的目標，是增加訪問控制保護機制。這可以通過添加相互補充的保護層來完成。

隔離系統

保護SIS最常用的方法之一，是將系統完全隔離，從而在核心SIS功能和基本過程控制系統之間產生“隔離帶”（圖2）。這種方法的好處顯而易見。如果SIS與其它系統分開，則默認會強化安全以預防入侵的發生。

圖2：具有緩沖區的基礎結構，將安全關鍵和非安全關鍵SIS分開，但額外增加了維護工作，以維護兩個不同系統上的縱深防御安全層。

但是，即使是隔離的系統也無法幸免于網絡攻擊。用戶最終需要從外部訪問系統來執行任務，例如提取事件記錄以進行事件分析、旁路、覆蓋、驗證測試記錄或執行配置，更改以及應用安全更新。USB驅動器，通常用于實現這些更新，更不容易對其進行保護。

由于對外部媒體存在依賴性，這就是為什么隔離的SIS，仍然需要額外的保護層的主要原因之一（正如用于保護基本過程控制系統的保護層）。適當的系統強化，使用戶可以管理兩組獨立的縱深防御體系結構。這樣就有可能增加工作時間，延長兩次停機之間的時間，并增加應對由于疏忽而在保護層所留下的漏洞的緩沖區域。

接口系統

接口系統的功能類似于隔離系統。在隔離系統中，安全相關功能與非安全相關功能在物理上是分開的（圖3）。接口系統的區別在于，基本過程控制系統器件和SIS的核心功能，通過具有工業開放協議的工程鏈接進行連接。通常，防火墻或其它安全硬件和軟件會限制基本過程控制系統和SIS之間的流量。

圖3：接口體系架構在物理上將SIS與基本過程控制系統分開，但是與基本過程控制系統有連接。此配置通常需要維護多個工程連接和縱深防御系統。

由于核心SIS和擴展SIS在物理上與外圍設備是分開的，因此接口系統可提供足夠的保護，以滿足ISA和NAMUR的標準。但是，就像在隔離的系統中一樣，需要保護SIS硬件和軟件。用戶必須確保與擴展SIS的連接，使之不會損害核心SIS。

為了獲得這種保護，接口系統要求在多個系統上復制縱深防御安全層。在某些情況下，必須監視的多個網絡安全實例，可能會增加維持足夠安全性所需的工作量。最終用戶還應確?；具^程控制系統和SIS之間連接的配置，不會將系統暴露在風險之下。

集成系統

實施隔離系統的另一種選擇是集成SIS（圖4）。在這種方法中，SIS已集成到基本過程控制系統，但是核心SIS與擴展SIS之間存在邏輯和物理隔離。通常，這種隔離是使用開箱即用的嵌入式網絡安全專有協議來實現的。這消除了由于手動設計SIS與基本過程控制系統之間的連接而產生的許多安全風險。

圖4：在集成的SIS架構中，安全關鍵功能在邏輯上和物理上是分開的，但仍位于同一系統上。這樣就無需維護多個縱深防御系統。

集成SIS需要與隔離系統相同級別的縱深防御保護，但是由于某些安全層需要同時保護基本過程控制系統和SIS，因此集成SIS可以減少監視、更新和維護安全層所花費的時間和精力。這種方法提供的保護超出了普通的安全層。集成SIS還具有旨在保護核心SIS的其它特定安全層。

通過集成環境消除核心和擴展SIS之間復雜的工程接口，可以使工廠驗收測試（FAT）變得更簡單、更快速，從而有助于更快地使項目聯機并減少返工。

管理入口點

仔細考慮縱深防御層，對于提供網絡安全的SIS至關重要，但這還不夠。為了確保SIS網絡具有足夠的安全性，企業還必須限制進入安全關鍵功能的入口點，并采取措施緩解影響上述入口點的任何風險。

SIS的安全關鍵功能可用的入口點越多，網絡攻擊利用安全層中可能存在的漏洞的機會就越大。雖然有可能充分防御多個入侵點以抵御入侵，但如果只需要防御1個入侵點，那將更容易實現，而且占用的資源也更少。

NAMUR以接口格式為分區SIS體系結構提供了清晰的指導（圖1）。核心SIS、擴展SIS和控制系統體系結構在各自的區域中正確隔離。 3個區域中架構元素（工程師站，BPCS，工廠信息管理系統，資產管理系統等）之間的工程連接可以創建到核心SIS的多個潛在連接點。

這些連接點本身并不存在安全風險；一般假設它們獲得足夠的縱深防御。如果每個環節都需要安全防護，可能需要管理5套或更多的安全硬件和軟件。

集成SIS架構可以提供限制入口點的設計。最好的集成安全儀表系統配置了一個組件，可充當進出關鍵安全功能的所有流量的網關，從而只需要防御一個入口點，就可以使用保護基本過程控制系統相同的縱深防御層以及一些專用于核心SIS的附加保護層。這種設計可以減少維護和監視，同時提供與其它體系結構相同甚至更高水平的標準SIS隔離。

通常有一個假設，就是說SIS和基本過程控制系統之間更多的物理隔離，意味著更多固有的安全性。但是，與緩沖區一樣，為了確保足夠的縱深防御，更多的物理隔離可能會導致維護和監視開銷增加。對于企業來講，額外的成本限制了隔離網絡（air-gapping）的價值——在達到網絡安全標準的同時尋求性能和生產的優化。并同時嘗試。

集成和接口的系統可以實現高級別的連接性，同時在實施縱深防御的網絡安全結構方面提供了靈活性。因為兩種體系結構都提供最高級別的安全性，所以在系統的整個生命周期中，尋求維護可防護SIS的實施團隊通常會發現，他們有更多的選項來選擇基本過程控制系統和SIS，以滿足獨特的企業目標。