根據(jù)調(diào)研，EDPF-NT+分散的網(wǎng)絡(luò)通信系統(tǒng)分為三層：

1、數(shù)據(jù)高速公路管控網(wǎng)層MCN（Management and Control Net），

2、擴(kuò)展輸入輸出層EIO（Extended Input/Output），

3、現(xiàn)場(chǎng)輸入輸出層FIO（Field Input/Output）。

MCN層是EDPF-NT+系統(tǒng)的上層信息網(wǎng)絡(luò)，采用工業(yè)交換式以太網(wǎng)。MCN可以是通過(guò)智能網(wǎng)絡(luò)交換機(jī)連接起來(lái)的多個(gè)交換式以太網(wǎng)，域間的智能網(wǎng)絡(luò)連接設(shè)備可以為各個(gè)子網(wǎng)之間提供進(jìn)一步的安全隔離。在MCN層主要分布的節(jié)點(diǎn)為分布式過(guò)程控制站(DPU)、工程師站(ENG)、操作員站(OPR)、歷史數(shù)據(jù)記錄站（HSR）、制表站（LOG）、性能計(jì)算站（CAC）、功能接口工作站（GATEWAY）等

擴(kuò)展輸入輸出層EIO網(wǎng)是國(guó)電智深公司開發(fā)的基于工業(yè)實(shí)時(shí)以太網(wǎng)的IO總線平臺(tái)，是EDPF-NT+過(guò)程控制站的控制器與I/O子系統(tǒng)信息交互網(wǎng)絡(luò)。

現(xiàn)場(chǎng)輸入輸出層FIO協(xié)議由接入系統(tǒng)的現(xiàn)場(chǎng)層I/O子系統(tǒng)設(shè)備提供。支持各種標(biāo)準(zhǔn)和私有的傳輸協(xié)議，如PROFIBUS DP，F(xiàn)IELDBUS、HART、MODBUS RTU和EDPF-NT+的IO總線IOBUS等

系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下：

EDPF-NT分散控制系統(tǒng)圖

風(fēng)險(xiǎn)識(shí)別：

1、工程師站是系統(tǒng)組態(tài)和系統(tǒng)維護(hù)的核心。工程師站負(fù)責(zé)規(guī)劃系統(tǒng)規(guī)模，創(chuàng)建工程、完成建域、建站、生成系統(tǒng)數(shù)據(jù)庫(kù)、生成監(jiān)視操作畫面、生成控制算法、生成報(bào)警功能、生成報(bào)表功能等。同時(shí)具有對(duì)過(guò)程控制站控制應(yīng)用軟件的下載和上裝等功能。工程師站安裝有工程管理器、工程服務(wù)器、安全策略生成器、工程組態(tài)和管理軟件包、點(diǎn)記錄批量操作工具、站管理工具、虛擬控制器以及時(shí)間同步工具等功能軟件。作為人機(jī)交互最為頻繁的節(jié)點(diǎn)，且同時(shí)具備對(duì)控制站進(jìn)行下裝的關(guān)鍵節(jié)點(diǎn)，工程師站是整個(gè)系統(tǒng)中的高風(fēng)險(xiǎn)點(diǎn)，一旦受到人為或非人為的病毒感染或攻擊，都會(huì)對(duì)整個(gè)系統(tǒng)的運(yùn)行安全造成威脅。

2、鑒于系統(tǒng)信息安全特殊性，各操作員站、歷史記錄站、制表站等基于Windows系統(tǒng)的節(jié)點(diǎn)都存在環(huán)境限制所不可修復(fù)的漏洞，這些節(jié)點(diǎn)都都存在被病毒感染和惡意代碼攻擊的危險(xiǎn)。

3、多功能接口站擔(dān)負(fù)著與第三方計(jì)算機(jī)系統(tǒng)的大型數(shù)據(jù)雙向通信的功能，也是與信息網(wǎng)進(jìn)行數(shù)據(jù)交換的關(guān)鍵接口，為保證數(shù)據(jù)和系統(tǒng)的安全性，工業(yè)防火墻的區(qū)域隔離是必不可少的。

4、在熱控電氣一體化的EDPF-NT+分散控制系統(tǒng)等含有多個(gè)域的控制系統(tǒng)中，域間沒(méi)有遵循國(guó)際ANSI/ISA-99區(qū)域防護(hù)理念進(jìn)行域間隔離，以確保即使一個(gè)域受到安全威脅，也不會(huì)影響到其他域的正常運(yùn)轉(zhuǎn)。雖然ACL技術(shù)可以實(shí)現(xiàn)子系統(tǒng)的隔離，但MCN網(wǎng)絡(luò)仍有域間威脅傳播的風(fēng)險(xiǎn)，應(yīng)采取專業(yè)的域間隔離設(shè)備進(jìn)行隔離以降低安全風(fēng)險(xiǎn)。

5、第三方輔控裝置將數(shù)據(jù)采集信息匯聚到主控制網(wǎng)中，對(duì)主控網(wǎng)絡(luò)的信息安全造成威脅，應(yīng)針對(duì)OPC通訊的特點(diǎn)進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)防護(hù)

3.2針對(duì)EDPF-NT+分散控制系統(tǒng)風(fēng)險(xiǎn)點(diǎn)的安全解決方案

1、在工程師連接MCN網(wǎng)絡(luò)間安裝工業(yè)防火墻

2、在MCN網(wǎng)絡(luò)中的操作員站，歷史站，制表站等節(jié)點(diǎn)使用工控可信計(jì)算平臺(tái)，對(duì)各節(jié)點(diǎn)進(jìn)行基于底層的安全防護(hù)

3、在多功能接口站向第三方計(jì)算機(jī)系統(tǒng)提供接口的部位安裝工業(yè)防火墻

4、在第三方輔控裝置控制器與MCN網(wǎng)絡(luò)連接的節(jié)點(diǎn)處安裝安全數(shù)采網(wǎng)關(guān)

示意圖如下：

5、在火力發(fā)電廠分散控制系統(tǒng)中有多個(gè)域的系統(tǒng)，使用工業(yè)防火墻進(jìn)行域間隔離，確保MCN網(wǎng)絡(luò)的安全威脅控制在有限的范圍內(nèi)

6、在MCN網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器作為可信計(jì)算授權(quán)服務(wù)器和對(duì)工業(yè)防火墻進(jìn)行管理和監(jiān)控的安全管理平臺(tái)。

解決方案整體網(wǎng)絡(luò)拓?fù)涫疽鈭D（火力發(fā)電廠分散控制系統(tǒng)）

圖：含現(xiàn)場(chǎng)總線的EDPF-NT+分散控制系統(tǒng)單元一體化系統(tǒng)結(jié)構(gòu)圖

安全解決方案的所實(shí)現(xiàn)的目標(biāo)：

1、 對(duì)工程師站進(jìn)行重點(diǎn)的安全風(fēng)險(xiǎn)管控，在不影響系統(tǒng)正常運(yùn)行的情況下，對(duì)所有與工程師站的通信進(jìn)行安全檢測(cè)及防護(hù)，降低高風(fēng)險(xiǎn)點(diǎn)對(duì)整個(gè)系統(tǒng)的影響

2、對(duì)操作員站，歷史站等MCN網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行細(xì)胞級(jí)單體防護(hù)，依賴可信計(jì)算核心芯片保證各網(wǎng)絡(luò)節(jié)點(diǎn)自身系統(tǒng)和應(yīng)用的安全，從而降低對(duì)整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)

3、確保第三方控制系統(tǒng)不會(huì)對(duì)本系統(tǒng)造成信息數(shù)據(jù)泄露的風(fēng)險(xiǎn)，憑借特有的通訊數(shù)據(jù)檢測(cè)機(jī)制保證信息網(wǎng)不會(huì)對(duì)本系統(tǒng)的信息安全造成危害。

4、對(duì)關(guān)鍵設(shè)備的重點(diǎn)防護(hù)能夠確保作為保證控制系統(tǒng)正常運(yùn)轉(zhuǎn)的最后一道屏障。

5、以區(qū)域隔離的理念對(duì)域間進(jìn)行安全防護(hù)，保證單一車間或區(qū)域系統(tǒng)所出現(xiàn)的安全威脅不會(huì)影響到整個(gè)控制系統(tǒng)

6、以可信計(jì)算授權(quán)服務(wù)器和工業(yè)防火墻安全管理平臺(tái)組成的服務(wù)器將實(shí)時(shí)對(duì)網(wǎng)絡(luò)內(nèi)的安全設(shè)備進(jìn)行管理和監(jiān)控，及時(shí)發(fā)現(xiàn)潛在的威脅風(fēng)險(xiǎn)點(diǎn)，及時(shí)查找網(wǎng)絡(luò)中的故障點(diǎn)，并為系統(tǒng)的安全防護(hù)機(jī)制和改進(jìn)措施提供有利依據(jù)