安全系统（SIS）和控制系统（DCS）集成更安全 or 独立更安全？

　　越来越多的企业开始接受数字化转型，他们也逐渐意识到集成对于安全性、效率和扩展性至关重要。相同的思路也适用于工厂中最关键的系统——基本过程控制系统（BPCS）和安全仪表系统（SIS）。

　　许多企业认为，通过接口体系结构将控制系统和安全系统隔离会更安全，因为可以避免“将所有鸡蛋都放在同一个篮子里”。但是，“篮子”越多，也就意味着会增加潜在的风险敞口。其实关键问题不是篮子的数量，而是每个篮子的保护程度。

　　将安全和控制系统集成，就可以更容易、更安全的保护整个体系结构。集成不会导致分布式控制系统（DCS）和SIS之间隔离的丧失。SIS和DCS仍然是彼此隔离的，但可以简化安全防护措施。

图1：接口系统架构需要同时防御DCS和SIS，很可能会在工程接口中留下漏洞。图片来源：艾默生

　　独立的系统不一定安全

　　企业选择独立系统来分别实现控制和安全，最常见的原因是希望提升安全性。从表面上看，这个想法似乎不错。因为系统是分开的，坏人似乎更难利用BPCS中的漏洞在SIS中造成问题。然而，独立并不意味着有效的隔离。SIS通常与DCS相连，为攻击者提供了3个可能的目标：1）SIS系统，2）DCS系统，3）SIS和DCS之间的接口，以及与SIS的任何其它接口。

　　除了需要在接口系统中实现隔离之外，SIS系统还需要其它保护措施。良好安全态势的最关键要素是纵深防御，它可以在系统周围创建保护层，以帮助防御外部和内部干扰。 在SIS系统的每个潜在接入点，都需要多层防护。

　　DCS和SIS系统的漏洞修复

　　为何必须保护接入点？一个重要的因素就是SIS系统上的操作，比如维护旁路，通常是在DCS上设置的。除非有防止未经授权操作的机制，否则入侵DCS的攻击者可能会设置旁路，从而破坏安全功能。SIS系统可能认为这些操作是有效的，并继续进行。接口系统不一定能提供更多的保护来对付这种威胁。

　　系统安全性通常取决于其最薄弱的环节。除非得到适当保护（例如使用纵深防御方法），任何与SIS的接口都可能是最弱的元素。“独立”系统通常通过开放协议（例如Modbus或OPC）连接。这些开放协议的安全性取决于协议在这两个系统上安全性的正确配置，可能会增加产生接入漏洞的可能性。

　　将SIS和DCS系统独立只会增加接口的复杂性，而不会给网络安全带来其它实质性好处。实际上，隔离会增加界面的复杂性，从而增加网络安全风险，并会限制系统的灵活性和可扩展性，而这对工厂从数字化转型中获得最大收益至关重要。

　　接口系统可以得到适当的保护；但是，独立系统意味着为每个系统维护独立的纵深防御体系结构，并且可能需要针对系统之间的工程接口采取其它措施。每个系统上的某些防御层（例如防病毒）将完全相同，因此拥有两个独立的系统，不会比一个系统提供更多的保护，而且意味着需要更多的安装和维护工作。

　　适当的集成可提高安全性

　　集成并不意味着减少隔离。安全关键组件仍与系统的其余部分分开。 DCS组件接口就是通过基于专有协议的内置接口实现的。通过精心设计的集成系统，安全关键组件的接入点数量比大多数接口系统都要少。

　　SIS系统的接口通常比用户意识到的要多。除了DCS接口外，SIS还可以连接到资产管理系统（AMS）、过程信息管理系统（PIMS）和安全生命周期管理系统（SLMS）。尽管可以保护所有这些接口，但需要付出很大的努力。在一个集成系统中，通常与SIS系统只有一个接口。所有其它系统都可以通过BPCS进行通信。

　　一个SIS接口意味着企业可以采用集成架构管理统一的纵深防御系统，以保护控制和安全系统。这种简化的架构可缩短安装时间并简化管理。

图2：集成系统可以共享保护层，同时仍保持控制与安全系统之间的连接性和独立的安全性。

　　更灵活的实现纵深防御

　　控制和安全系统架构不仅需要获得运营团队的许可，而且还必须符合信息技术（IT）和运营技术（OT）部门已建立的架构和标准。弥合这一差距是数字化转型的关键驱动力。对于复杂的体系结构，两个独立系统之间的工程接口更难以保护，这会增加IT和OT管理的负担，导致原始项目以及后期任何更改的实施和批准周期更长。

　　集成的控制和安全系统消除了许多使IT和OT系统难以实施和管理的障碍。直观的配置和管理工具，使集成系统更易于适应IT和OT策略和实践，并在系统老化和需要扩展时，简化变更管理。大多数集成系统为监视和管理工具，提供了开箱即用的安全代理访问。

　　企业的安全系统和控制系统必须有适当的安全性，但所使用的架构只是整体安全性的一部分。选择独立的架构并不比选择设计得当的集成系统更安全。两种系统的主要区别在于BPCS和SIS的连接、配置和安全保障的便利性。集成系统提供了工厂所需的逻辑隔离，同时只需较少的安全维护，就可以拥有更灵活、更直观的选项来实现纵深防御。（作者：Sergio Diaz  来源：控制工程网）