根據(jù)調(diào)研，EDPF-NT+分散的網(wǎng)絡(luò)通信系統(tǒng)分為三層：

1、數(shù)據(jù)高速公路管控網(wǎng)層MCN（Management and Control Net），

2、擴展輸入輸出層EIO（Extended Input/Output），

3、現(xiàn)場輸入輸出層FIO（Field Input/Output）。

MCN層是EDPF-NT+系統(tǒng)的上層信息網(wǎng)絡(luò)，采用工業(yè)交換式以太網(wǎng)。MCN可以是通過智能網(wǎng)絡(luò)交換機連接起來的多個交換式以太網(wǎng)，域間的智能網(wǎng)絡(luò)連接設(shè)備可以為各個子網(wǎng)之間提供進一步的安全隔離。在MCN層主要分布的節(jié)點為分布式過程控制站(DPU)、工程師站(ENG)、操作員站(OPR)、歷史數(shù)據(jù)記錄站（HSR）、制表站（LOG）、性能計算站（CAC）、功能接口工作站（GATEWAY）等

擴展輸入輸出層EIO網(wǎng)是國電智深公司開發(fā)的基于工業(yè)實時以太網(wǎng)的IO總線平臺，是EDPF-NT+過程控制站的控制器與I/O子系統(tǒng)信息交互網(wǎng)絡(luò)。

現(xiàn)場輸入輸出層FIO協(xié)議由接入系統(tǒng)的現(xiàn)場層I/O子系統(tǒng)設(shè)備提供。支持各種標(biāo)準(zhǔn)和私有的傳輸協(xié)議，如PROFIBUS DP，F(xiàn)IELDBUS、HART、MODBUS RTU和EDPF-NT+的IO總線IOBUS等

系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下：

EDPF-NT分散控制系統(tǒng)圖

風(fēng)險識別：

1、工程師站是系統(tǒng)組態(tài)和系統(tǒng)維護的核心。工程師站負(fù)責(zé)規(guī)劃系統(tǒng)規(guī)模，創(chuàng)建工程、完成建域、建站、生成系統(tǒng)數(shù)據(jù)庫、生成監(jiān)視操作畫面、生成控制算法、生成報警功能、生成報表功能等。同時具有對過程控制站控制應(yīng)用軟件的下載和上裝等功能。工程師站安裝有工程管理器、工程服務(wù)器、安全策略生成器、工程組態(tài)和管理軟件包、點記錄批量操作工具、站管理工具、虛擬控制器以及時間同步工具等功能軟件。作為人機交互最為頻繁的節(jié)點，且同時具備對控制站進行下裝的關(guān)鍵節(jié)點，工程師站是整個系統(tǒng)中的高風(fēng)險點，一旦受到人為或非人為的病毒感染或攻擊，都會對整個系統(tǒng)的運行安全造成威脅。

2、鑒于系統(tǒng)信息安全特殊性，各操作員站、歷史記錄站、制表站等基于Windows系統(tǒng)的節(jié)點都存在環(huán)境限制所不可修復(fù)的漏洞，這些節(jié)點都都存在被病毒感染和惡意代碼攻擊的危險。

3、多功能接口站擔(dān)負(fù)著與第三方計算機系統(tǒng)的大型數(shù)據(jù)雙向通信的功能，也是與信息網(wǎng)進行數(shù)據(jù)交換的關(guān)鍵接口，為保證數(shù)據(jù)和系統(tǒng)的安全性，工業(yè)防火墻的區(qū)域隔離是必不可少的。

4、在熱控電氣一體化的EDPF-NT+分散控制系統(tǒng)等含有多個域的控制系統(tǒng)中，域間沒有遵循國際ANSI/ISA-99區(qū)域防護理念進行域間隔離，以確保即使一個域受到安全威脅，也不會影響到其他域的正常運轉(zhuǎn)。雖然ACL技術(shù)可以實現(xiàn)子系統(tǒng)的隔離，但MCN網(wǎng)絡(luò)仍有域間威脅傳播的風(fēng)險，應(yīng)采取專業(yè)的域間隔離設(shè)備進行隔離以降低安全風(fēng)險。

5、第三方輔控裝置將數(shù)據(jù)采集信息匯聚到主控制網(wǎng)中，對主控網(wǎng)絡(luò)的信息安全造成威脅，應(yīng)針對OPC通訊的特點進行適當(dāng)?shù)木W(wǎng)絡(luò)防護

3.2針對EDPF-NT+分散控制系統(tǒng)風(fēng)險點的安全解決方案

1、在工程師連接MCN網(wǎng)絡(luò)間安裝工業(yè)防火墻

2、在MCN網(wǎng)絡(luò)中的操作員站，歷史站，制表站等節(jié)點使用工控可信計算平臺，對各節(jié)點進行基于底層的安全防護

3、在多功能接口站向第三方計算機系統(tǒng)提供接口的部位安裝工業(yè)防火墻

4、在第三方輔控裝置控制器與MCN網(wǎng)絡(luò)連接的節(jié)點處安裝安全數(shù)采網(wǎng)關(guān)

示意圖如下：

5、在火力發(fā)電廠分散控制系統(tǒng)中有多個域的系統(tǒng)，使用工業(yè)防火墻進行域間隔離，確保MCN網(wǎng)絡(luò)的安全威脅控制在有限的范圍內(nèi)

6、在MCN網(wǎng)絡(luò)中添加一臺服務(wù)器作為可信計算授權(quán)服務(wù)器和對工業(yè)防火墻進行管理和監(jiān)控的安全管理平臺。

解決方案整體網(wǎng)絡(luò)拓?fù)涫疽鈭D（火力發(fā)電廠分散控制系統(tǒng)）

圖：含現(xiàn)場總線的EDPF-NT+分散控制系統(tǒng)單元一體化系統(tǒng)結(jié)構(gòu)圖

安全解決方案的所實現(xiàn)的目標(biāo)：

1、 對工程師站進行重點的安全風(fēng)險管控，在不影響系統(tǒng)正常運行的情況下，對所有與工程師站的通信進行安全檢測及防護，降低高風(fēng)險點對整個系統(tǒng)的影響

2、對操作員站，歷史站等MCN網(wǎng)絡(luò)節(jié)點進行細(xì)胞級單體防護，依賴可信計算核心芯片保證各網(wǎng)絡(luò)節(jié)點自身系統(tǒng)和應(yīng)用的安全，從而降低對整個系統(tǒng)的安全風(fēng)險

3、確保第三方控制系統(tǒng)不會對本系統(tǒng)造成信息數(shù)據(jù)泄露的風(fēng)險，憑借特有的通訊數(shù)據(jù)檢測機制保證信息網(wǎng)不會對本系統(tǒng)的信息安全造成危害。

4、對關(guān)鍵設(shè)備的重點防護能夠確保作為保證控制系統(tǒng)正常運轉(zhuǎn)的最后一道屏障。

5、以區(qū)域隔離的理念對域間進行安全防護，保證單一車間或區(qū)域系統(tǒng)所出現(xiàn)的安全威脅不會影響到整個控制系統(tǒng)

6、以可信計算授權(quán)服務(wù)器和工業(yè)防火墻安全管理平臺組成的服務(wù)器將實時對網(wǎng)絡(luò)內(nèi)的安全設(shè)備進行管理和監(jiān)控，及時發(fā)現(xiàn)潛在的威脅風(fēng)險點，及時查找網(wǎng)絡(luò)中的故障點，并為系統(tǒng)的安全防護機制和改進措施提供有利依據(jù)