安全系统SIS与控制系统DCS：集成or独立，哪个更安全？

越来越多的企业开始接受数字化转型，他们也逐渐意识到集成对于安全性、效率和扩展性至关重要。相同的思路也适用于工厂中最关键的系统——基本过程控制系统（BPCS）和安全仪表系统 （SIS）。
　　许多企业认为，通过接口体系结构将控制系统和安全系统隔离会更安全，因为可以避免“将所有鸡蛋都放在同一个篮子里”。但是，“篮子”越多，也就意味着会增加潜在的风险敞口。其实关键问题不是篮子的数量，而是每个篮子的保护程度。
　　将安全和控制系统集成，就可以更容易、更安全的保护整个体系结构。集成不会导致分布式控制系统 （DCS）和SIS之间隔离的丧失。SIS和DCS仍然是彼此隔离的，但可以简化安全防护措施。

　独立的系统不一定安全
　　企业选择独立系统来分别实现控制和安全，最常见的原因是希望提升安全性。从表面上看，这个想法似乎不错。因为系统是分开的，坏人似乎更难利用BPCS中的漏洞在SIS中造成问题。然而，独立并不意味着有效的隔离。SIS通常与DCS相连，为攻击者提供了3个可能的目标：1）SIS系统，2）DCS系统，3）SIS和DCS之间的接口，以及与SIS的任何其它接口。
　　除了需要在接口系统中实现隔离之外，SIS系统还需要其它保护措施。良好安全态势的最关键要素是纵深防御，它可以在系统周围创建保护层，以帮助防御外部和内部干扰。 在SIS系统的每个潜在接入点，都需要多层防护。

　DCS和SIS系统的漏洞修复
　　为何必须保护接入点？一个重要的因素就是SIS系统上的操作，比如维护旁路，通常是在DCS上设置的。除非有防止未经授权操作的机制，否则入侵DCS的攻击者可能会设置旁路，从而破坏安全功能。SIS系统可能认为这些操作是有效的，并继续进行。接口系统不一定能提供更多的保护来对付这种威胁。
　　系统安全性通常取决于其最薄弱的环节。除非得到适当保护（例如使用纵深防御方法），任何与SIS的接口都可能是最弱的元素。“独立”系统通常通过开放协议（例如Modbus或OPC）连接。这些开放协议 的安全性取决于协议在这两个系统上安全性的正确配置，可能会增加产生接入漏洞的可能性。
　　将SIS和DCS系统独立只会增加接口的复杂性，而不会给网络安全 带来其它实质性好处。实际上，隔离会增加界面的复杂性，从而增加网络安全风险 ，并会限制系统的灵活性和可扩展性 ，而这对工厂从数字化转型 中获得最大收益至关重要。
　　接口系统可以得到适当的保护；但是，独立系统 意味着为每个系统维护独立的纵深防御体系结构，并且可能需要针对系统之间的工程接口采取其它措施。每个系统上的某些防御层 （例如防病毒）将完全相同，因此拥有两个独立的系统，不会比一个系统提供更多的保护，而且意味着需要更多的安装和维护工作。

适当的集成可提高安全性
　　集成并不意味着减少隔离。安全关键组件 仍与系统的其余部分分开。 DCS组件接口就是通过基于专有协议的内置接口实现的。通过精心设计的集成系统，安全关键组件的接入点数量比大多数接口系统都要少。
　　SIS系统的接口通常比用户意识到的要多。除了DCS接口外，SIS还可以连接到资产管理系统 （AMS）、过程信息管理系统（PIMS）和安全生命周期管理系统（SLMS）。尽管可以保护所有这些接口，但需要付出很大的努力。在一个集成系统中，通常与SIS系统只有一个接口。所有其它系统都可以通过BPCS进行通信。
　　一个SIS接口意味着企业可以采用集成架构 管理统一的纵深防御系统，以保护控制和安全系统。这种简化的架构可缩短安装时间并简化管理。

　　更灵活的实现纵深防御
　　控制和安全系统架构不仅需要获得运营团队的许可，而且还必须符合信息技术 （IT）和运营技术（OT）部门已建立的架构和标准。弥合这一差距是数字化转型的关键驱动力。对于复杂的体系结构 ，两个独立系统之间的工程接口更难以保护，这会增加IT和OT管理的负担，导致原始项目以及后期任何更改的实施和批准周期更长。
　　集成的控制和安全系统消除了许多使IT和OT系统难以实施和管理的障碍。直观的配置和管理工具，使集成系统更易于适应IT和OT策略和实践，并在系统老化和需要扩展时，简化变更管理 。大多数集成系统为监视和管理工具，提供了开箱即用的安全代理访问。
　　企业的安全系统和控制系统必须有适当的安全性，但所使用的架构只是整体安全性的一部分。选择独立的架构并不比选择设计得当的集成系统更安全。两种系统的主要区别在于BPCS和SIS的连接、配置和安全保障的便利性。集成系统提供了工厂所需的逻辑隔离，同时只需较少的安全维护，就可以拥有更灵活、更直观的选项来实现纵深防御 。（作者：Sergio Diaz）

版权声明：版权归控制工程网 所有，转载请注明出处！