在現(xiàn)代工業(yè)企業(yè)的信息系統(tǒng)中��,由各種DCS���、PLC����、測控設備���、SCADA構成的過程控制系統(tǒng)位于底層車間����,負責完成基本的生產(chǎn)控制�����。隨著企業(yè)信息化建設的發(fā)展�����,迫切要求實現(xiàn)過程控制系統(tǒng)與上層的管理信息系統(tǒng)之間的互聯(lián)�����,完成經(jīng)營管理層與車間執(zhí)行層的雙向信息流交互�,使企業(yè)對生產(chǎn)情況保證實時反應,消除信息孤島與斷層現(xiàn)象�。OPC接口技術作為一種通用的解決方案,已經(jīng)越來越廣泛地被應用于工業(yè)、能源���、交通���、水利以及市政等領域。
1���、概述
隨著計算機和網(wǎng)絡技術的發(fā)展���,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,高度信息化的同時也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離����,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散����,工業(yè)控制系統(tǒng)信息安全問題日益突出�。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢��。工信部協(xié)[2011]451號通知明確指出�����,我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題,主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠�����,管理制度不健全�����,相關標準規(guī)范缺失�����,技術防護措施不到位�,安全防護能力和應急處置能力不高等,威脅著工業(yè)生產(chǎn)安全和社會正常運轉����。對此,各地區(qū)���、各部門����、各單位務必高度重視,增強風險意識����、責任意識和緊迫感,切實加強工業(yè)控制系統(tǒng)信息安全管理�����。
2��、現(xiàn)狀與分析
OPC是Object Linking and Embedding(OLE)for Process Control的縮寫��,它是微軟公司的對象鏈接和嵌入技術在過程控制方面的應用�。由一些世界上占領先地位的自動化系統(tǒng)和硬件、軟件公司與微軟(Microsoft)緊密合作而建立的�,OPC基金會負責OPC規(guī)范的制定和發(fā)布。OPC提出了一套統(tǒng)一的標準�����,采用CLIENT/SERVER模式��,針對硬件設備的驅動程序由硬件廠商或專門的公司完成��,提供具有統(tǒng)一OPC接口的SERVER程序����,軟件廠商按照OPC標準訪問SERVER程序,即可實現(xiàn)與硬件設備的通信��。
對于客戶應用程序而言����,底層的現(xiàn)場設備是透明的,它在調(diào)用現(xiàn)場設備的數(shù)據(jù)時�����,無需知道具體的數(shù)據(jù)格式��。OPC把開發(fā)訪問接口的任務放在硬件生產(chǎn)廠家或第三方廠家��,以服務器的形式提供給客戶���,并規(guī)定了一系列的接口標準�,而客戶負責創(chuàng)建服務器的對象及訪問服務器支持的接口����。最終用戶按照OPC標準開發(fā)的在客戶機上運行的應用程序,可以通過OPC服務器與任何數(shù)據(jù)源交換數(shù)據(jù)����,不必知道數(shù)據(jù)源的特性�。硬件和數(shù)據(jù)庫的開發(fā)商根據(jù)自己產(chǎn)品的特性�����,并遵循OPC標準開發(fā)的OPC服務器��,則可適用于任何應用軟件�����。通過OPC���,不同廠家的系統(tǒng)可以互相通訊���,減少了因通訊協(xié)議不同相互通訊需單獨開發(fā)大量接口的繁瑣工作,目前已成為應用最廣泛的工業(yè)通訊標準之一��。
典型的系統(tǒng)網(wǎng)絡結構如上圖所示����,由信息層(Information zone)、操作站層(Station zone)和控制器層(Controller zone)三大部分組成���。目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡中在運行的電腦����,很少或沒有機會安裝全天候病毒防護或更新版本�。控制器的設計都以優(yōu)化實時的I / O功用為主��,而並不提供加強的網(wǎng)絡連接安全防護功能����。在整個網(wǎng)絡中存在多個網(wǎng)絡端口切入點需要防護,并且許多控制網(wǎng)絡都是“敞開的”����,不同的子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC���、MODBUS等通訊的工業(yè)控制網(wǎng)絡����,其中某一部分出現(xiàn)問題被攻擊后�,病毒就通過網(wǎng)絡迅速蔓延。
目前國內(nèi)針對工業(yè)控制網(wǎng)絡的防護標準尚未成型���,公安部會同有關部門也在制定計算機信息系統(tǒng)安全等級的劃分標準和安全等級保護的具體辦法��。在國際上�,美國在2007年頒布的Chemical Facility Anti-Terrorism Standards (CFATS)標準以及2008年頒布的US Chemical Anti-Terrorism Act(美國化學反恐怖主義法)針對化工設備安全做了強制要求,目前�����,石油���,水處理以及制造業(yè)都還沒有必須按照以上立法規(guī)定作業(yè)�����,但是為了避免重大的風險����,基本都遵守行業(yè)標準ANSI/ISA-99 Standards的要求進行規(guī)劃�。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005,均指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡應與其他系統(tǒng)隔離����,包括企業(yè)IT網(wǎng)絡。ANSI/ISA-99指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡的控制網(wǎng)絡安全要點如下:
需要重點解釋的是,商業(yè)網(wǎng)絡的安全需求與控制網(wǎng)絡的安全需求在某些地方完全不同���。舉個例子��,商業(yè)防火墻通常允許該網(wǎng)絡內(nèi)的用戶使用HTTP瀏覽因特網(wǎng)�,而控制網(wǎng)絡則恰恰相反����,它的安全性要求明確禁止這一行為���;尤其OPC作為工業(yè)通訊中最常用的一種標準�����,是基于微軟的COM/DCOM技術��,在應用過程中端口在1024-65535間不固定使用����,這一特性使得基于端口防護的普通商用防火墻根本無法進行設置����。因此不要試圖將控制系統(tǒng)放入IT解決方案中,選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡攻擊防御能力。想要滿足這一安全要求�,Tofino?是一種經(jīng)濟高效的方式。
3����、Tofino解決方案
3.1 方案亮點
OPC Classic的核心技術(RPC和DCOM)在設計之初尚未考慮到安全問題。因此OPC Classic采用了動態(tài)端口分配技術�����,使得傳統(tǒng)IT類防火墻在OPC安全防護上毫無用武之地�。Tofino OPC Enforcer LSM使用Deep Packet Inspection(深度包檢測)技術自動跟蹤和管理OPC Classic 動態(tài)端口的使用情況,從而解決了這個問題���。使得Tofino能夠被安裝到運行有OPC DA�����、HAD���、A&E通信的網(wǎng)絡中,并且無需對現(xiàn)有的OPC客戶端和服務器做任何改變���。Tofino能夠用來分離安全系統(tǒng)網(wǎng)絡與過程系統(tǒng)網(wǎng)絡��,實現(xiàn)關鍵系統(tǒng)與非關鍵系統(tǒng)的物理隔離����。與普通商用防火墻相比,Tofino更適于工業(yè)控制系統(tǒng)安全防護����,主要體現(xiàn)在:
(1)工業(yè)型:
●參照ANSI/ISA-99 Standards的安全要求為設計理念,產(chǎn)品更具針對性和高效性���,專門用于工業(yè)控制系統(tǒng)的安全保護。
●內(nèi)置50多種專有工業(yè)通信協(xié)議��,與常規(guī)防火墻不同的是���,Tofino防火墻不僅是在端口上的防護���,更重要的是基于應用層上數(shù)據(jù)包深度檢查,屬于新一代工業(yè)通訊協(xié)議防火墻�,為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案��。
●具備在線修改防火墻組態(tài)功能��,可以實時對組態(tài)的防火墻策略進行修改,而且不影響工業(yè)實時通訊�。其它防火墻需要斷電、重啟等����。
● 工業(yè)型設計,導軌式安裝�����,低功耗無風扇�����,具備二區(qū)防爆認證�����。
(2)獨有專利安全連接技術:
●首先防火墻自身是基于非IP的獨有專利安全連接技術進行管理��,能夠阻擋任何欺騙式攻擊���。
●能夠隱藏防火墻后端所有設備的IP地址�����,讓入侵者無法發(fā)現(xiàn)目標����,更無從談發(fā)動任何攻擊。
●集防火墻與虛擬路由于一身���,能夠像網(wǎng)絡交通警察一樣管控通訊網(wǎng)絡數(shù)據(jù)通訊的路徑�����、對象以及數(shù)據(jù)流的方向�,可以設定數(shù)據(jù)流入���、流出的單向或雙向。
(3)實時網(wǎng)絡通訊透視鏡:
能夠為目前控制網(wǎng)絡故障分析����、監(jiān)控、記錄提供一個簡單����、有效的可靠工具,能夠確切的觀察�、分析�、控制網(wǎng)絡通信電纜中所使用的通訊協(xié)議�����、數(shù)據(jù)速度���、訪問對象等�����。實現(xiàn)對非法通信的實時報警���、來源確認、歷史記錄����,保證控制網(wǎng)絡通訊的實時診斷。
(4)市面上獨家滿足ANSI/ISA-99和NERC-CIP標準
根據(jù)ANSI/ISA-99 和NERC-CIP標準���,TSA可以很方便的針對PLC�����、DCS����、RTU、IED和HMI提供一個性價比很高的安全分區(qū)——一個配置得當?shù)谋Wo區(qū)域分組���。
(5)特有‘測試’模式
‘測試’模式可以在對控制系統(tǒng)無任何風險的情況下進行防火墻和VPN測試�。TEST模式不同于實際的操作模式����,在TEST模式中,Tofino允許所有的通訊通過�,但是由CMP報告在操作模式下任何可能被攔截的通訊。這一點對于工業(yè)或SCADA控制系統(tǒng)的安全操作相當關鍵�,用傳統(tǒng)的IT防火墻是不可能實現(xiàn)的。這也是Tofino適合于工業(yè)控制系統(tǒng)的獨特性的一個方面���。
3.2 方案構成
一個完整的Tofino安全解決方案包括以下四部分:
(1)Tofino安全模塊(TSA)
增強型工業(yè)環(huán)境要求設計��,即插即用,應用于受保護的區(qū)域或控制器等關鍵設備之前��。下圖為Tofino安全模塊硬件的兩種選型���。硬件設計遵循增強型工業(yè)環(huán)境要求���,應用于受保護的區(qū)域或控制器等關鍵設備之前���,設計使用壽命27年,能夠提供安全系統(tǒng)的工業(yè)平臺�。
(2)Tofino可裝載安全軟插件(LSM)
專為工業(yè)通訊協(xié)議設計的安全軟插件,可以直接裝載到Tofino安全模塊中�����,并根據(jù)系統(tǒng)需求提供各種定制安全服務���。本方案中可選的基本軟插件包括:
●Tofino Firewall LSM工業(yè)通信防火墻�����;
工業(yè)網(wǎng)絡交通警察�,提供防火墻及網(wǎng)絡交通控制功能的軟插件內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議����,預先定義超過25個控制器類型(例如:西門子S7-300/S7-400,Honeywell PKS C200/C300/)�;LSM在線協(xié)議組態(tài),可自己定制通訊協(xié)議或者通過設備學習功能實現(xiàn)通訊協(xié)議定制����;通過通訊協(xié)議指令級別的管控���,預先組態(tài)用于高級過濾和攻擊保護的“特殊規(guī)則”。 符合 ANSI/ISA-99.00.02 的網(wǎng)絡分段要求���,達到區(qū)域隔離目標�����。
●Event Logger LSM事件日志與報警管理�����;
Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監(jiān)控功能和記錄功能���,它是一個專為工業(yè)控制網(wǎng)絡設計的日志記錄系統(tǒng)。
●OPC Enforcer LSM通信深度檢測及防護�����;
專門用于標準OPC協(xié)議通訊的網(wǎng)絡安全技術�,它可以檢查��,追蹤并安全保護每一個OPC應用程序創(chuàng)建的連接。它動態(tài)地為指定的OPC客戶端和服務器打開端口�,并且是只打開每個連接所需要的唯一的TCP端口?�?赏ㄟ^自定義數(shù)據(jù)通訊延遲時間達到關閉無效通訊的功能�。它簡單易用,在OPC客戶端和服務器無需改變?nèi)魏闻渲?��,無需改變?nèi)魏卧械木W(wǎng)絡結構��,這種先進的解決方案超越了傳統(tǒng)的防火墻�����。
優(yōu)勢在于在OPC工業(yè)協(xié)議上最先應用“連接跟蹤技術” ���;Tofino的 ‘Sanity Check’ 檢查功能,可攔阻任何不符合OPC標準格式的DCE/RPC 訪問�;OPC通訊權限管理,OPC協(xié)議深度檢查�����,管控通訊安全;只在所跟蹤的TCP端口有需要時����,防火墻才短暫地打開;可支持多個 OPC 客戶端和服務器同時使用����; 簡單易用,在OPC服務器或客戶端上并不需要做任何變化和改動只是在通訊網(wǎng)線中間加入即可����;可支持OPC DA, HDA 和 A&E 標準;實現(xiàn)區(qū)域防護和病毒隔離���,阻擋惡意攻擊����,使用OPC基金會的測試套件OPC協(xié)議完成測試���,得到OPC基金會的大力推薦���。
●Secure Asset Management LSM安全設備資產(chǎn)管理;
像雷達一樣�,Tofino的安全設備資產(chǎn)管理(SAM)可裝載模塊可以追蹤每一個通過Tofino安全設備進行通訊的設備��。不過�,為了避免引起進程干擾�,它實現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術�。
● VPN加密;
使用安全套接字協(xié)議(SSL)技術創(chuàng)建高度安全的“隧道”來保護控制系統(tǒng)的完整性���,安全性�。易于敷設�,測試和管理配置,通過可視的拖放操作界面使組態(tài)簡單易行���。在不影響正?��?刂凭W(wǎng)絡通訊的情況下可進行VPN通道測試。支持早期的自動化協(xié)議����。與其他Tofino產(chǎn)品相互協(xié)同操作,提供更加強大細致的VPN接入和SCADA功能的防火墻保護����。
(3)Tofino中央管理平臺(CMP)
窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫,用于Tofino安全模塊的配置、組態(tài)和管理�����,并能實現(xiàn)系統(tǒng)的報警和日志的實時監(jiān)控和歷史查詢����。能夠為目前控制網(wǎng)絡故障分析、監(jiān)控���、記錄提供一個簡單�����、有效的可靠工具�����,能夠確切的觀察�、分析���、控制網(wǎng)絡通信電纜中所使用的通訊協(xié)議��、數(shù)據(jù)速度���、訪問對象等����。實現(xiàn)對非法通信的實時報警���、來源確認、歷史記錄��,保證控制網(wǎng)絡通訊的實時診斷���。具備在線組態(tài)�、在線監(jiān)控����、資產(chǎn)管理等多種功能。
(4)Tofino安全管理平臺(SMP)
SMP Server接收CMP或TSA的日志和報警記錄��,并將日志和報警存儲在服務器數(shù)據(jù)庫中��。SMP Client安裝在辦公局域網(wǎng)上的辦公電腦中�����,支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄,并且支持日志和報警的查詢���。
3.3 方案介紹與實施
產(chǎn)品的選型和方案的實施可以概括為以下三步����,實際中對于不同的環(huán)境和安全要求�,具體的方案和實施過程略有不同。
第一步:創(chuàng)建網(wǎng)絡安全分區(qū)?����,確定在何處放置TOFINO安全設備TSA。
第二步:確定需要哪些可裝載安全功能軟插件(LSMs)�,以確保每個區(qū)域安全不同的要求。
第三步:選擇一個服務器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP���,CMP和SMP也可以分別安裝在不同的機器��。
針對企業(yè)流程工業(yè)的特點�����,同時結合上述控制系統(tǒng)的網(wǎng)絡結構����,網(wǎng)絡中有多處關鍵點需要保護,本方案僅針對OPC通信部分需要進行的防護進行詳細介紹��。
(1) 信息層與操作站層之間是過程控制網(wǎng)絡與企業(yè)信息網(wǎng)絡的借口部位�����,是企業(yè)目前信息部與儀控部的交叉點���,由于來自企業(yè)信息層病毒感染與入侵的概率較大��,所以該部位是目前防護的重點,可以使用Tofino進行保護���。
考慮到該部位通常采用OPC接口進行通信��,建議選用以下LSM:
通過以上配置�,解決下列問題:
●阻止來自企業(yè)信息層的病毒傳播���;
●阻擋來自企業(yè)信息層的非法入侵�;
●管控OPC客戶端與服務器的通訊�;
(2) 針對操作站層各個節(jié)點之間的相互影響,方案將OPC Server��、工程師站以及高級應用先控站三個節(jié)點分為一組,通過Tofino模塊進行隔離���,建議可選的LSM如下:
通過以上配置����,解決下列問題:
●通過CMP對Firewall LSM進行組態(tài)�����,將OPC Server����、工程師站和高級應用先控站獨立分為一個區(qū)域,該區(qū)域的所有通訊都由Tofino防火墻進行過濾���,只有指定的通訊和相關的數(shù)據(jù)才被允許通過�����,從而防止病毒擴散到整個操作站層面����;
●管控局部網(wǎng)絡通訊速率���,防止網(wǎng)絡風暴的發(fā)生����;
最后選擇網(wǎng)絡中合適的機器安裝CMP和SMP創(chuàng)建整個網(wǎng)絡模型,并設置合適的通信規(guī)則�����,確保網(wǎng)絡中只有合法的通信通過�,這樣可以將全廠所有設備硬件都集中管理,對全廠控制網(wǎng)絡狀態(tài)一目了然�。
3.4 方案目標
該方案以建立縱深防御策略為主要思想,確保工廠網(wǎng)絡中即使某一點發(fā)生網(wǎng)絡安全事故����,工廠也能正常運行��,同時����,工廠操作人員能夠很迅速的找到問題并進行處理,主要達到以下目標:
●區(qū)域隔離:Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡間的通信���。這樣意味著網(wǎng)絡故障會被控制在最初發(fā)生的區(qū)域內(nèi)���,而不會影響到其它部分���;
●深度檢查:面向應用層對特有的工業(yè)通訊協(xié)議進行內(nèi)容深度檢查,告別病毒庫升級缺陷�����;
●通信管控:通信規(guī)則是可以通過中央管理平臺進行在線組態(tài)和測試的�;
●實時報警:所有部署的防火墻都能由中央管理平臺統(tǒng)一進行實時監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問�,都會在中央管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決��。
4����、結束語
Tofino Security System一方面是一個完整的分布式安全解決方案,另一方面又可以簡單����、安全地進行集中管理,這些特性使其成為一款獨一無二的產(chǎn)品�����。對工業(yè)企業(yè)來說Tofino Security System更意味著最佳的安全效益和技術支持,并不只是簡單滿足了獨立的關鍵控制設備的安全要求�。
不同于傳統(tǒng)的IT防火墻,Tofino專為工業(yè)環(huán)境控制網(wǎng)絡通信安全而設計?���,F(xiàn)場技術人員只需簡單為Tofino接入電源,并連接兩個網(wǎng)絡的電纜即可�,無需其他任何操作。一旦安裝成功����,技術人員即可毫不費力地管理任何系統(tǒng),以總攬公司大局的方式對網(wǎng)絡威脅做出及時反應���。最重要的是����,Tofino既可以靈活運用在單純由PLC構成的小型工廠中���,又能夠滿足那些擁有成千上萬個設備并且分布全球各地的大型跨國集團的使用要求。
