當企業(yè)開(kāi)始實(shí)施安全儀表系統（SIS）項目時(shí)，利益相關(guān)者必須做出的第一個(gè)決策就是選擇系統架構。通過(guò)遵循國際網(wǎng)絡(luò )安全標準（例如IEC 62443（ANSI/ISA 62443系列標準）以及國際過(guò)程工業(yè)自動(dòng)化用戶(hù)協(xié)會(huì )（NAMUR）指南等），使得采用接口或集成的SIS架構更好的強化系統成為可能。了解每種體系結構背后的獨特優(yōu)勢和注意事項，對于做出明智決定，以便最大程度的滿(mǎn)足企業(yè)需求來(lái)說(shuō)至關(guān)重要。

　　了解標準

　　網(wǎng)絡(luò )安全標準提供了區分安全關(guān)鍵和非安全關(guān)鍵部件的指南。根據ISA準則，必須將安全關(guān)鍵資產(chǎn)與非安全關(guān)鍵資產(chǎn)，從邏輯或物理上劃分為多個(gè)區域。

　　NAMUR在工作表NA163“SIS的安全風(fēng)險評估”中，也提供了一組相似的準則。該準則定義了3個(gè)邏輯區域——核心SIS、擴展SIS和控制系統結構（NAMUR稱(chēng)之為“外圍設備”），并指出它們在物理上或邏輯上必須是分開(kāi)的（圖1）。

圖1：NAMUR提供了與ISA62443網(wǎng)絡(luò )安全標準類(lèi)似的一套指南，其中SIS功能分為3個(gè)區域：核心SIS、擴展SIS和控制系統體系結構（NAMUR稱(chēng)之為“外圍設備”）。本文圖片來(lái)源：艾默生

　　核心SIS由執行安全功能所需的器件組成（邏輯求解器、輸入/輸出（I/O）器件、傳感器和終端執行器）。擴展的SIS，包含執行安全功能不需要的安全系統器件（例如，工程師站）。外圍設備是諸如基本過(guò)程控制系統（BPCS）之類(lèi)的器件和系統，它們不會(huì )直接或間接分配給SIS，但可以在安全功能的情境中使用。安全功能可能包括來(lái)自基本過(guò)程控制系統的重新發(fā)送請求，或在人機界面中顯示安全功能。

　　兩種標準都沒(méi)有明確定義所需的體系結構。用戶(hù)必須決定如何最好地構建SIS網(wǎng)絡(luò )，并確保在最終設計中，基本過(guò)程控制系統和SIS之間提供足夠的邏輯和物理隔離。通常，企業(yè)有3種選擇來(lái)構建SIS網(wǎng)絡(luò )：

　　●隔離的SIS（separated SIS）:與基本過(guò)程控制系統完全斷開(kāi)連接并與之獨立；

　　●接口的SIS（interfaced SIS）：通過(guò)工業(yè)協(xié)議（通常是Modbus）將接口SIS連接到基本過(guò)程控制系統；

　　●集成的SIS（integrated SIS）：連接到基本過(guò)程控制系統的集成SIS，但需要充分隔離以符合網(wǎng)絡(luò )安全標準。

　　有些人可能認為，部署隔離的SIS比其它類(lèi)型的SIS都更安全。但是，只要預先定義安全架構并在安全系統設計、實(shí)施和維護期間強制實(shí)施，所有列出的體系結構都可以提供強化的安全架構。盡管很重要，但SIS體系架構只是安全系統在定義安全性的一個(gè)方面。

　　利用縱深防御

　　保護SIS需要縱深防御方法。由于網(wǎng)絡(luò )攻擊每年都在增加，僅有一層保護對安全關(guān)鍵資產(chǎn)是不夠的。網(wǎng)絡(luò )管理員正采用多層安全保護——防病毒、用戶(hù)管理、多因素身份驗證、入侵檢測/預防、白名單、防火墻等，以確保未經(jīng)授權的用戶(hù)面臨不可逾越的進(jìn)入障礙?？v深防御策略的目標，是增加訪(fǎng)問(wèn)控制保護機制。這可以通過(guò)添加相互補充的保護層來(lái)完成。

　　隔離系統

　　保護SIS最常用的方法之一，是將系統完全隔離，從而在核心SIS功能和基本過(guò)程控制系統之間產(chǎn)生“隔離帶”（圖2）。這種方法的好處顯而易見(jiàn)。如果SIS與其它系統分開(kāi)，則默認會(huì )強化安全以預防入侵的發(fā)生。

圖2：具有緩沖區的基礎結構，將安全關(guān)鍵和非安全關(guān)鍵SIS分開(kāi)，但額外增加了維護工作，以維護兩個(gè)不同系統上的縱深防御安全層。

　　但是，即使是隔離的系統也無(wú)法幸免于網(wǎng)絡(luò )攻擊。用戶(hù)最終需要從外部訪(fǎng)問(wèn)系統來(lái)執行任務(wù)，例如提取事件記錄以進(jìn)行事件分析、旁路、覆蓋、驗證測試記錄或執行配置，更改以及應用安全更新。USB驅動(dòng)器，通常用于實(shí)現這些更新，更不容易對其進(jìn)行保護。

　　由于對外部媒體存在依賴(lài)性，這就是為什么隔離的SIS，仍然需要額外的保護層的主要原因之一（正如用于保護基本過(guò)程控制系統的保護層）。適當的系統強化，使用戶(hù)可以管理兩組獨立的縱深防御體系結構。這樣就有可能增加工作時(shí)間，延長(cháng)兩次停機之間的時(shí)間，并增加應對由于疏忽而在保護層所留下的漏洞的緩沖區域。

　　接口系統

　　接口系統的功能類(lèi)似于隔離系統。在隔離系統中，安全相關(guān)功能與非安全相關(guān)功能在物理上是分開(kāi)的（圖3）。接口系統的區別在于，基本過(guò)程控制系統器件和SIS的核心功能，通過(guò)具有工業(yè)開(kāi)放協(xié)議的工程鏈接進(jìn)行連接。通常，防火墻或其它安全硬件和軟件會(huì )限制基本過(guò)程控制系統和SIS之間的流量。

圖3：接口體系架構在物理上將SIS與基本過(guò)程控制系統分開(kāi)，但是與基本過(guò)程控制系統有連接。此配置通常需要維護多個(gè)工程連接和縱深防御系統。

　　由于核心SIS和擴展SIS在物理上與外圍設備是分開(kāi)的，因此接口系統可提供足夠的保護，以滿(mǎn)足ISA和NAMUR的標準。但是，就像在隔離的系統中一樣，需要保護SIS硬件和軟件。用戶(hù)必須確保與擴展SIS的連接，使之不會(huì )損害核心SIS。

　　為了獲得這種保護，接口系統要求在多個(gè)系統上復制縱深防御安全層。在某些情況下，必須監視的多個(gè)網(wǎng)絡(luò )安全實(shí)例，可能會(huì )增加維持足夠安全性所需的工作量。最終用戶(hù)還應確?；具^(guò)程控制系統和SIS之間連接的配置，不會(huì )將系統暴露在風(fēng)險之下。

　　集成系統

　　實(shí)施隔離系統的另一種選擇是集成SIS（圖4）。在這種方法中，SIS已集成到基本過(guò)程控制系統，但是核心SIS與擴展SIS之間存在邏輯和物理隔離。通常，這種隔離是使用開(kāi)箱即用的嵌入式網(wǎng)絡(luò )安全專(zhuān)有協(xié)議來(lái)實(shí)現的。這消除了由于手動(dòng)設計SIS與基本過(guò)程控制系統之間的連接而產(chǎn)生的許多安全風(fēng)險。

圖4：在集成的SIS架構中，安全關(guān)鍵功能在邏輯上和物理上是分開(kāi)的，但仍位于同一系統上。這樣就無(wú)需維護多個(gè)縱深防御系統。

　　集成SIS需要與隔離系統相同級別的縱深防御保護，但是由于某些安全層需要同時(shí)保護基本過(guò)程控制系統和SIS，因此集成SIS可以減少監視、更新和維護安全層所花費的時(shí)間和精力。這種方法提供的保護超出了普通的安全層。集成SIS還具有旨在保護核心SIS的其它特定安全層。

　　通過(guò)集成環(huán)境消除核心和擴展SIS之間復雜的工程接口，可以使工廠(chǎng)驗收測試（FAT）變得更簡(jiǎn)單、更快速，從而有助于更快地使項目聯(lián)機并減少返工。

　　管理入口點(diǎn)

　　仔細考慮縱深防御層，對于提供網(wǎng)絡(luò )安全的SIS至關(guān)重要，但這還不夠。為了確保SIS網(wǎng)絡(luò )具有足夠的安全性，企業(yè)還必須限制進(jìn)入安全關(guān)鍵功能的入口點(diǎn)，并采取措施緩解影響上述入口點(diǎn)的任何風(fēng)險。

　　SIS的安全關(guān)鍵功能可用的入口點(diǎn)越多，網(wǎng)絡(luò )攻擊利用安全層中可能存在的漏洞的機會(huì )就越大。雖然有可能充分防御多個(gè)入侵點(diǎn)以抵御入侵，但如果只需要防御1個(gè)入侵點(diǎn)，那將更容易實(shí)現，而且占用的資源也更少。

　　NAMUR以接口格式為分區SIS體系結構提供了清晰的指導（圖1）。核心SIS、擴展SIS和控制系統體系結構在各自的區域中正確隔離。 3個(gè)區域中架構元素（工程師站，BPCS，工廠(chǎng)信息管理系統，資產(chǎn)管理系統等）之間的工程連接可以創(chuàng )建到核心SIS的多個(gè)潛在連接點(diǎn)。

　　這些連接點(diǎn)本身并不存在安全風(fēng)險；一般假設它們獲得足夠的縱深防御。如果每個(gè)環(huán)節都需要安全防護，可能需要管理5套或更多的安全硬件和軟件。

　　集成SIS架構可以提供限制入口點(diǎn)的設計。最好的集成安全儀表系統配置了一個(gè)組件，可充當進(jìn)出關(guān)鍵安全功能的所有流量的網(wǎng)關(guān)，從而只需要防御一個(gè)入口點(diǎn)，就可以使用保護基本過(guò)程控制系統相同的縱深防御層以及一些專(zhuān)用于核心SIS的附加保護層。這種設計可以減少維護和監視，同時(shí)提供與其它體系結構相同甚至更高水平的標準SIS隔離。

　　通常有一個(gè)假設，就是說(shuō)SIS和基本過(guò)程控制系統之間更多的物理隔離，意味著(zhù)更多固有的安全性。但是，與緩沖區一樣，為了確保足夠的縱深防御，更多的物理隔離可能會(huì )導致維護和監視開(kāi)銷(xiāo)增加。對于企業(yè)來(lái)講，額外的成本限制了隔離網(wǎng)絡(luò )（air-gapping）的價(jià)值——在達到網(wǎng)絡(luò )安全標準的同時(shí)尋求性能和生產(chǎn)的優(yōu)化。并同時(shí)嘗試。

　　集成和接口的系統可以實(shí)現高級別的連接性，同時(shí)在實(shí)施縱深防御的網(wǎng)絡(luò )安全結構方面提供了靈活性。因為兩種體系結構都提供最高級別的安全性，所以在系統的整個(gè)生命周期中，尋求維護可防護SIS的實(shí)施團隊通常會(huì )發(fā)現，他們有更多的選項來(lái)選擇基本過(guò)程控制系統和SIS，以滿(mǎn)足獨特的企業(yè)目標。