OPC通讯安全解决方案

• 关键词：OPC通讯,安全,工业网络安全,信息安全
• 摘要：IFW2400工业防火墙的OPC协议安全防护功能可以检查、追踪并保护每一个OPC应用程序创建的连接，动态地为指定的OPC客户端和服务器打开每个连接所需的唯一的TCP端口，IFW2400工业防火墙采用白名单机制，硬件自身无IP地址，同时能隐藏被保护设备的IP地址，从而最大限度地保障了OPC通讯安全。

    基于微软COM/DCOM技术的OPC Classic协议已成为当前应用最广泛的工业通讯标准之一，被广泛应用于工业、能源、交通、水利以及市政工程等领域，实现了不同制造商的控制系统间的数据互连。但是OPC Classic通讯安全无法采用常规的IT安全解决方案，主要体现在：
· OPC Classic通讯使用动态端口进行通讯，无法使用常规IT防火墙进行安全防护
· OPC Classic的基本协议（即DCOM和RPC）极易受到攻击
· OPC Classic的访问权限过于宽松

隐患分析

1、MES数采网络中信息层与控制层之间的OPC通讯安全隐患
     企业信息层与操作站层之间的连接作为过程控制网络与企业信息网络的接口部位通常采用OPC通讯，是企业信息部与仪控部的边界点，存在遭受来自企业信息层病毒感染的风险。

2、APC先控站的潜在风险
     先进控制近些年应用越来越普及，先控站一般为独立于DCS等控制系统的第三方设备，利用OPC等协议与控制系统通讯，在项目实施和后期维护中需频繁使用U盘、笔记本电脑等外置设备，并且是在整个控制系统开车情况下实施，存在较高的安全隐患。>

3、控制系统与第三方系统连接
     随着企业生产规模的日趋庞大，控制系统的互连成为可能或必须，而OPC已成为主要连接方式，控制系统本身如果感染病毒或遭到攻击，可能会对与之连接的控制系统造成影响或危害。

解决方案及实施

     IFW2400工业防火墙的OPC协议安全防护功能可以检查、追踪并保护每一个OPC应用程序创建的连接，动态地为指定的OPC客户端和服务器打开每个连接所需的唯一的TCP端口，IFW2400工业防火墙采用白名单机制，硬件自身无IP地址，同时能隐藏被保护设备的IP地址，从而最大限度地保障了OPC通讯安全。

1、创建网络安全分区
     针对当前网络存在的安全隐患，结合网络安全要求，将工厂网络中需要保护和隔离的设备/设备组划分成不同的安全区域，区域与区域之间连接处为安全防护点。

2、在安全防护点部署IFW2400工业防火墙

3、在网络中安装配置管理平台CMP，将Firewall和OPC软插件装载到防火墙中

4、利用配置管理平台CMP对防火墙进行安全策略配置，只允许OPC协议和正常操作相关的通讯通过，阻止其它一切通讯并报警。

5、安装安全管理平台SMP，存储、分析防火墙的拦截日志
     安全策略配置过程及调试过程中，IFW2400防火墙处于测试模式，不会阻断正常通讯，在安全策略完全满足需求后将防火墙模式设置为运行模式，即可对网络进行防护。