Q19: PLC 和 DCS 系统的安全防护需要哪些产品组合？

Q19: PLC 和 DCS 系统的安全防护需要哪些产品组合？

A: PLC 和 DCS 是工控系统的核心控制器，安全防护需从网络边界、通信管控、主机加固和集中监控四个层面构建：

PLC 系统防护方案：

1. PLC 前部署工控防火墙：在 PLC 与上位机（SCADA、HMI）之间部署工控防火墙，对工业协议（如 Modbus TCP、S7comm、EtherNet/IP、PROFINET）实施白名单指令级控制。仅允许正常的读写操作和状态查询，阻止未授权的程序下载、参数修改、启动/停止等危险操作。
2. PLC 程序完整性保护：通过防火墙或专用安全网关监控 PLC 程序的在线修改行为，对程序上传/下载操作进行身份认证和权限控制。关键 PLC 建议启用固件的数字签名验证功能。
3. 终端白名单：对 PLC 的编程工作站（工程师站）部署终端白名单软件，防止通过编程软件植入恶意代码。

DCS 系统防护方案：

1. 分层隔离：DCS 系统通常分为现场控制层、过程监控层和生产管理层。在各层之间部署工控防火墙，控制层间访问。特别是过程监控层与生产管理层之间，建议采用网闸+防火墙的双重隔离。
2. OPC 安全防护：DCS 系统大量使用 OPC DA/UA 协议进行数据交互。OPC 经典版（DA）存在无认证、静态端口等问题，需要在 OPC 服务器与客户端之间部署支持 OPC 协议深度解析的防火墙，或升级到 OPC UA 并启用安全认证和加密。
3. 控制网络监测：在 DCS 控制网络的核心交换机旁路部署入侵检测系统，监测针对 DCS 控制器的异常通信和协议攻击行为。
4. 集中安全运维：部署工控安全管理平台，对全厂 DCS、PLC 及其安全设备进行统一监控、策略管理和事件分析。