新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案
新鄭卷煙廠的控制系統(tǒng)現(xiàn)狀及安全分析
1. 生產(chǎn)控制網(wǎng)絡(luò)現(xiàn)狀
新鄭煙草集團(tuán)管理信息系統(tǒng)作為公司統(tǒng)一的數(shù)據(jù)應(yīng)用平臺(tái)和數(shù)據(jù)庫,已經(jīng)可以做到物流、信息流、價(jià)值流的互通和集成,實(shí)現(xiàn)了業(yè)務(wù)運(yùn)作流程的高度集成與簡化,實(shí)現(xiàn)集成、高效、精細(xì)的企業(yè)管理。針對(duì)整個(gè)工業(yè)集團(tuán)當(dāng)前的管理層次和業(yè)務(wù)需要可將整個(gè)信息系統(tǒng)劃分為工廠生產(chǎn)自動(dòng)控制層、生產(chǎn)指揮調(diào)度層、工廠經(jīng)營管理層、工業(yè)集團(tuán)公司經(jīng)營管理層,通過相應(yīng)的信息系統(tǒng)實(shí)現(xiàn)其信息化管理,各層信息系統(tǒng)的目標(biāo)、功能以及定位明確、清晰,同時(shí)各層信息系統(tǒng)之間高度集成。
其中,各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過程控制組件,共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、人機(jī)操作界面(HMI),以及確保各組件通信的接口技術(shù)。
生產(chǎn)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)分為三層,底層是工業(yè)控制層網(wǎng)絡(luò),主要由工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)總線組成,工業(yè)以太網(wǎng)采用星型結(jié)構(gòu)將上位機(jī)(操作員站)、PLC 等組成工業(yè)現(xiàn)場(chǎng)的一個(gè)小型局域網(wǎng);中間層采用環(huán)形網(wǎng)絡(luò)將各個(gè)工業(yè)現(xiàn)場(chǎng)的小型工業(yè)局域網(wǎng)連接起來,與中控室相連; 上層采用星型結(jié)構(gòu)的工業(yè)以太網(wǎng)由采集服務(wù)器、IH 服務(wù)器、關(guān)系數(shù)據(jù)庫服務(wù)器、操作員站、 網(wǎng)絡(luò)發(fā)布服務(wù)器等組成小型局域網(wǎng),由 WEB 發(fā)布服務(wù)器與外界網(wǎng)絡(luò)相連。
2. 控制系統(tǒng)安全分析
目前,安全問題已經(jīng)在關(guān)系民計(jì)民生的基礎(chǔ)設(shè)施行業(yè)得到重視,如工業(yè)、能源、交通、水利以及市政等領(lǐng)域等。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對(duì)工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。
2010 年 10 月,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒導(dǎo)致全球有超過 4.5 萬個(gè)網(wǎng)絡(luò)受 到感染,伊朗、印尼、印度、美國等均有發(fā)生,其中伊朗布什爾核電站因此而推遲發(fā)電。據(jù) 稱,該病毒是當(dāng)前首例專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性程序,也被稱為“超級(jí)工廠病毒”, 目前監(jiān)測(cè)發(fā)現(xiàn)該病毒已開始在我國互聯(lián)網(wǎng)上傳播。經(jīng)國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心組織國家計(jì)算機(jī)病毒應(yīng)急處理中心及瑞星、江民、360、安天等國內(nèi)防病毒廠商研判,目前該病毒僅針對(duì)西門子公司的工業(yè)控制系統(tǒng)進(jìn)行破壞,對(duì)互聯(lián)網(wǎng)用戶尚未構(gòu)成實(shí)質(zhì)威脅。
在煙草工業(yè)系統(tǒng)中,隨著西門子公司的工業(yè)控制網(wǎng)絡(luò)在卷煙生產(chǎn)企業(yè)的廣泛應(yīng)用,其安全問題成為影響卷煙企業(yè)正常生產(chǎn)的關(guān)鍵因素。新鄭卷煙廠制絲車間工業(yè)控制網(wǎng)絡(luò)運(yùn)行四年期間共發(fā)生通訊中斷、網(wǎng)絡(luò)阻塞、實(shí)時(shí)數(shù)據(jù)庫數(shù)據(jù)采集丟失、控制失靈等網(wǎng)絡(luò)安全事件二十 余起,曾造成整條制絲生產(chǎn)線無法啟動(dòng)和中斷等嚴(yán)重影響生產(chǎn)事件。
與傳統(tǒng)的信息系統(tǒng)安全需求不同,工業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場(chǎng)景與控制管理等多方面因素,以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計(jì)理念的影響下,缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI(Repository of Security Incidents)統(tǒng)計(jì),截止2011 年10 月,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。2001 年后,通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使得針對(duì)ICS系統(tǒng)的攻擊行為出現(xiàn)大幅度增長,ICS 系統(tǒng)對(duì)于信息安全管理的需求變得更加迫切。
圖3:1982-2009工業(yè)系統(tǒng)攻擊事件
參考工信部協(xié)[2011]451號(hào)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,綜合工業(yè)控制網(wǎng)絡(luò)特點(diǎn)以及工業(yè)環(huán)境業(yè)務(wù)類型、組織職能、位置、資產(chǎn)、技術(shù)等客觀因素,必須對(duì)工業(yè) 控制系統(tǒng)構(gòu)建信息安全管理體系,才能確保工業(yè)控制系統(tǒng)高效穩(wěn)定的運(yùn)行。
需求分析
新鄭卷煙廠工業(yè)控制網(wǎng)目前是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò),僅有一條線與新鄭卷煙廠的企業(yè)信息網(wǎng)相連,以便于車間領(lǐng)導(dǎo)上報(bào)數(shù)據(jù)、卷煙廠領(lǐng)導(dǎo)查閱生產(chǎn)數(shù)據(jù)。企業(yè)信息網(wǎng)是和互聯(lián)網(wǎng)相連的。在工業(yè)控制網(wǎng)中,通過 PLC 收集生產(chǎn)系統(tǒng)的數(shù)據(jù),并通過光纖環(huán)網(wǎng)上傳至數(shù)據(jù)采集服務(wù)器,整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)大致如下圖所示:
據(jù)統(tǒng)計(jì),新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)在運(yùn)行四年期間共發(fā)生通信中斷、網(wǎng)絡(luò)阻塞、實(shí)時(shí) 數(shù)據(jù)庫采集丟失、控制失靈等網(wǎng)絡(luò)安全事件二十余起,曾造成整體制絲生產(chǎn)線無法啟動(dòng)和中斷等嚴(yán)重影響生產(chǎn)的安全事件。經(jīng)過事后的分析,發(fā)生上述安全事件的原因是因?yàn)楣I(yè)控制 網(wǎng)絡(luò)系統(tǒng)感染了計(jì)算機(jī)病毒,感染了病毒的計(jì)算機(jī)大量發(fā)布數(shù)據(jù)包造成了網(wǎng)絡(luò)阻塞、通信中斷等安全事件。
1. 控制網(wǎng)絡(luò)的安全漏洞
根據(jù)國家反計(jì)算機(jī)病毒中心的最新統(tǒng)計(jì)截止到 2011 年“震網(wǎng)”病毒(Worm/Stuxnet.x)已經(jīng)悄無聲息的侵入我國,已經(jīng)導(dǎo)致了部分企業(yè)用戶遭受其侵害,承受了一定的經(jīng)濟(jì)損失。 “震網(wǎng)”病毒(Stuxnet 蠕蟲病毒)能夠利用對(duì) windows 系統(tǒng)和西門子 SIMATIC WinCC 系統(tǒng)的 7 個(gè)漏洞進(jìn)行攻擊。特別是針對(duì)西門子公司的 SIMATIC WinCC 監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)進(jìn)行攻擊。 開放性為用戶帶來的好處毋庸置疑,但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加。對(duì)于一個(gè)控制網(wǎng)絡(luò)系統(tǒng),產(chǎn)生安全漏洞的因素是多方面的。
網(wǎng)絡(luò)通信協(xié)議安全漏洞
隨著 TCP(UDP)/IP 協(xié)議被控制網(wǎng)絡(luò)普遍采用,網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP 協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò),這一網(wǎng)絡(luò)是互相信任的,因此它原本只考慮互通互聯(lián)和資源共享的問題,并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當(dāng)其推廣到社會(huì)的應(yīng)用環(huán)境后,安全問題發(fā)生了。所以說,TCP/IP 在先天上就存在著致命的安全漏洞。
TCP/IP 協(xié)議簇規(guī)定了 TCP/UDP 是基于 IP 協(xié)議上的傳輸協(xié)議,TCP 分段和 UDP 數(shù)據(jù)包是封裝在 IP 包在網(wǎng)上傳輸?shù)?,除了可能面臨 IP 層所遇到的安全威脅外,還存在 TCP/UDP 實(shí)現(xiàn)中的安全隱患。例如,TCP 建立連接時(shí)在客戶機(jī)/服務(wù)器模式的“三次握手”中,假如客 戶的 IP 地址是假的,是不可達(dá)的,那么 TCP 無法完成該次連接并處于“半開”狀態(tài),攻擊者利用這個(gè)弱點(diǎn)就可以實(shí)施如 SYN Flooding 的拒絕服務(wù)攻擊;TCP 提供可靠連接是通過初始序列號(hào)和鑒別機(jī)制來實(shí)現(xiàn)的。一個(gè)合法的 TCP 連接都有一個(gè)客戶機(jī)/服務(wù)器雙方共享的唯一 序列號(hào)作為標(biāo)識(shí)和鑒別。初始序列號(hào)一般由隨機(jī)數(shù)發(fā)生器產(chǎn)生,但問題出在很多操作系統(tǒng)在 實(shí)現(xiàn) TCP 連接初始序列號(hào)的方法中,它所產(chǎn)生的序列號(hào)并不是真正的隨機(jī),而是一個(gè)具有一定規(guī)律、可猜測(cè)或計(jì)算的數(shù)字。對(duì)攻擊者來說,猜出了初始序列號(hào)并掌握了 IP 地址后, 就可以對(duì)目標(biāo)實(shí)施 IP Spoofing 攻擊,而且極難檢測(cè),危害巨大;而 UDP 是一個(gè)無連接的控制協(xié)議,極易受 IP 源路由和拒絕服務(wù)型攻擊。
操作系統(tǒng)安全漏洞
PC+Windows 的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機(jī)/操作站的主流。而在控制網(wǎng)絡(luò)中, 上位機(jī)/操作站是實(shí)現(xiàn)與 SCADA 通信的主要網(wǎng)絡(luò)結(jié)點(diǎn),因此其操作系統(tǒng)的漏洞就成為了整個(gè)控制網(wǎng)絡(luò)信息安全中的一個(gè)短板。
應(yīng)用軟件安全漏洞
處于應(yīng)用層的應(yīng)用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面這是因?yàn)閼?yīng)用軟件形式多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題;另一方面最嚴(yán)重的是,當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開放其應(yīng)用端口。例如,要想實(shí)現(xiàn)與操作站 OPC 服務(wù)器軟件的網(wǎng)絡(luò)通信, 控制網(wǎng)絡(luò)就必須完全開放 135 端口,這時(shí)防火墻等安全設(shè)備已經(jīng)無能為力了。而實(shí)際上, 不同應(yīng)用軟件的安全漏洞還不止于此。
目前黑客攻擊應(yīng)用軟件漏洞常用的方法是“緩沖區(qū)溢出”,它通過向控制終端發(fā)送惡意數(shù)據(jù)包來獲取控制權(quán)。一旦獲取控制權(quán),攻擊者就可以如在本地一樣去操控遠(yuǎn)程操作站上的監(jiān)控軟件,修改控制參數(shù)。
2. 控制網(wǎng)絡(luò)安全隱患
控制網(wǎng)絡(luò)的安全漏洞暴露了整個(gè)控制系統(tǒng)安全的脆弱性。由于網(wǎng)絡(luò)通信協(xié)議、操作系統(tǒng)、應(yīng)用軟件、安全策略甚至硬件上存在的安全缺陷,從而使得攻擊者能夠在未授權(quán)的情況下訪問和操控控制網(wǎng)絡(luò)系統(tǒng),形成了巨大的安全隱患??刂凭W(wǎng)絡(luò)系統(tǒng)的安全性同樣符合“木桶原 則”,其整體安全性不在于其最強(qiáng)處,而取決于系統(tǒng)最薄弱之處,即安全漏洞所決定。只要這個(gè)漏洞被發(fā)現(xiàn),系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。
安全漏洞對(duì)控制網(wǎng)絡(luò)的隱患體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅。隨著越來越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)上,這種威脅就越來越大。目前互聯(lián)網(wǎng)上已有幾萬個(gè)黑客站點(diǎn),黑客技術(shù)不斷創(chuàng)新,基本的攻擊手法已達(dá)上千種。這些攻擊技術(shù)一旦被不法之徒掌握, 將產(chǎn)生不良的后果。
對(duì)于控制網(wǎng)絡(luò)系統(tǒng),由于安全漏洞可能帶來的直接安全隱患有以下幾種。
入侵
系統(tǒng)被入侵是系統(tǒng)常見的一種安全隱患。黑客侵入計(jì)算機(jī)和網(wǎng)絡(luò)可以非法使用計(jì)算機(jī)和 網(wǎng)絡(luò)資源,甚至是完全掌控計(jì)算機(jī)和網(wǎng)絡(luò)??刂凭W(wǎng)絡(luò)的計(jì)算機(jī)終端和網(wǎng)絡(luò)往往可以控制諸如大型化工裝置、公用工程設(shè)備,甚至核電站安全系統(tǒng)等大型工程化設(shè)備。黑客一旦控制該系統(tǒng),對(duì)系統(tǒng)造成一些參數(shù)的修改,就可 能導(dǎo)致生產(chǎn)運(yùn)行的癱瘓,就意味著可能利用被感染的控制中心系統(tǒng)破壞生產(chǎn)過程、切斷整個(gè) 城市的供電系統(tǒng)、惡意污染飲用水甚至是破壞核電站的正常運(yùn)行。隨著近些年來越來越多的 控制網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)當(dāng)中,這種可能就越來越大。
拒絕服務(wù)攻擊
受到拒絕服務(wù)攻擊是一種危害很大的安全隱患。常見的流量型攻擊如 Ping Flooding、 UDP Flooding 等,以及常見的連接型攻擊如 SYN Flooding、ACK Flooding 等,通過消耗 系統(tǒng)的資源,如網(wǎng)絡(luò)帶寬、連接數(shù)、CPU 處理能力等使得正常的服務(wù)功能無法進(jìn)行。拒絕 服務(wù)攻擊難以防范的原因是它的攻擊對(duì)象非常普遍,從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備如路由器、交 換機(jī)、防火墻等都可以被拒絕服務(wù)攻擊。
控制網(wǎng)絡(luò)一旦遭受嚴(yán)重的拒絕服務(wù)攻擊就會(huì)導(dǎo)致操作站的服務(wù)癱瘓,與控制系統(tǒng)的通信完全中斷等??梢韵胂?,受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò)可能導(dǎo)致網(wǎng)絡(luò)中所有操作站和監(jiān)控終端無法進(jìn)行實(shí)時(shí)監(jiān)控,其后果是非常嚴(yán)重的。而傳統(tǒng)的安全技術(shù)對(duì)拒絕服務(wù)攻擊幾乎不可避免,缺乏有效的手段來解決。
病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球范圍內(nèi),每年都會(huì)發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒,并且還在以每天數(shù)十余種的速度增長。除了傳統(tǒng)意義上的具有自我復(fù)制能力但必須寄生在其它實(shí)用程序中的病毒外,各種新型的惡意代碼也層出不窮,如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie 等。新型的惡意代碼具有更強(qiáng)的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過程。傳統(tǒng)病毒的自我復(fù)制過程需要人工干預(yù),無論運(yùn)行感染病毒的實(shí)用程序,或者是打開包含宏病毒的郵件等,沒有人工干預(yù)病毒無法自我完成復(fù)制、傳播。但蠕蟲卻可以自我獨(dú)立完成以下過程:
● 查找遠(yuǎn)程系統(tǒng):能夠通過檢索已被攻陷的系統(tǒng)的網(wǎng)絡(luò)鄰居列表或其它遠(yuǎn)程系統(tǒng)地址列表找出下一個(gè)攻擊對(duì)象。
● 建立連接:能夠通過端口掃描等操作過程自動(dòng)和被攻擊對(duì)象建立連接,如 Telnet連接等。
● 實(shí)施攻擊:能夠自動(dòng)將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠(yuǎn)程系統(tǒng),并運(yùn)行它。一旦計(jì)算機(jī)和網(wǎng)絡(luò)染上了惡意代碼,安全問題就不可避免。
3. 系統(tǒng)高可用性
對(duì)于新鄭卷煙廠工業(yè)控制網(wǎng)來說,直接影響到卷煙廠的生產(chǎn)效率和生產(chǎn)成績,僅僅對(duì)病毒防治是遠(yuǎn)遠(yuǎn)不夠的。我們從新鄭卷煙廠網(wǎng)絡(luò)拓?fù)鋱D上,可以看到,目前數(shù)據(jù)采集服務(wù)器存在單點(diǎn)故障的可能, 而控制網(wǎng)絡(luò)又采用環(huán)形光纖網(wǎng)絡(luò),各子系統(tǒng)之間互相影響的風(fēng)險(xiǎn)極大。若服務(wù)器的數(shù)據(jù)庫或操作系統(tǒng)或服務(wù)器硬件發(fā)生故障,更會(huì)嚴(yán)重影響整個(gè)工業(yè)控制生產(chǎn)網(wǎng)的正常運(yùn)轉(zhuǎn)。所以,應(yīng)該考慮構(gòu)建一個(gè)高可靠性、獨(dú)立性網(wǎng)絡(luò),來保障新鄭卷煙廠工業(yè)控制系統(tǒng)的可持續(xù)運(yùn)行。
方案設(shè)計(jì)
1. 建設(shè)目標(biāo)
通過上述對(duì)新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的分析,我們進(jìn)行歸納總結(jié),可以發(fā)現(xiàn),若要實(shí)現(xiàn)新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的可持續(xù)性運(yùn)行,需要從技術(shù)和管理兩個(gè)方面同時(shí)來進(jìn)行完善和加強(qiáng), 構(gòu)建一套新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的信息安全體系。
2. 系統(tǒng)設(shè)計(jì)方案
分布式管理規(guī)劃
目前新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng),沒有明確的進(jìn)行分域分級(jí)管理,整個(gè)網(wǎng)絡(luò)區(qū)域邊界不明確, 缺乏必要的網(wǎng)絡(luò)隔離手段,我們首先應(yīng)將網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)邊界的劃分,以明確保護(hù)對(duì)象,進(jìn)行訪問控制,構(gòu)建網(wǎng)絡(luò)基本防線。
我們建議在每個(gè)不同的區(qū)域之間物理隔離,實(shí)現(xiàn)不同區(qū)域之間最基本的網(wǎng)絡(luò)安全防御, 可以有效避免單個(gè)區(qū)域感染病毒,其它子系統(tǒng)受到攻擊。如下圖所示:
劃分為4個(gè)安全區(qū)域,在各個(gè)安全區(qū)域之間放置進(jìn)行物理隔離和數(shù)據(jù)過濾。
最上層為企業(yè)信息網(wǎng),在企業(yè)信息網(wǎng)和工控網(wǎng)之間放置隔離網(wǎng)關(guān),在兩個(gè)不同安全區(qū)域之間進(jìn)行物理隔離。對(duì)企業(yè)信息網(wǎng)的合法用戶對(duì)車間工控網(wǎng)的訪問進(jìn)行嚴(yán)格的訪問控制, 并防止非法用戶對(duì)車間工控網(wǎng)的訪問。
控制網(wǎng)又分為3個(gè)層次,集中監(jiān)控層,數(shù)據(jù)采集層和過程控制層。在集中監(jiān)控管理層和數(shù)據(jù)采集子系統(tǒng)之間放置工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)。
安全隔離網(wǎng)關(guān)主要起到控制層與信息層安全隔離作用,安全隔離網(wǎng)關(guān)采用物理隔離和安全通道隔離,將以太網(wǎng)進(jìn)行物理級(jí)安全隔離,安全通道隔離即通過專用通信硬件和私有不可路由協(xié)議等安全機(jī)制來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來,而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。
系統(tǒng)提供多種工業(yè)通信協(xié)議驅(qū)動(dòng)接口可供選擇,同時(shí)可提供對(duì)國內(nèi)外主流平臺(tái)軟件如: WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等產(chǎn)品的底層快速通 信接口。
信息網(wǎng)與控制網(wǎng)安全隔離
硬件系統(tǒng)“2+1”架構(gòu):系統(tǒng)硬件平臺(tái)由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)、隔離交換系統(tǒng) 三部分組成。內(nèi)網(wǎng)/外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立的運(yùn)算單元和存儲(chǔ)單元,隔離交換系統(tǒng)要求基于 PSL 技術(shù)及相應(yīng)的隔離加密電路,不受主機(jī)系統(tǒng)控制,獨(dú)立完成應(yīng)用數(shù)據(jù)的封包、擺 渡、拆包,從而實(shí)現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離交換。保證數(shù)據(jù)交換延遲時(shí)間低于 1ms,從而滿足用戶對(duì)高性能安全隔離的需求。
網(wǎng)絡(luò)化集中管理
智能管理平臺(tái)“PSL-Config”: PSL-Config 對(duì)網(wǎng)關(guān)提供 2 種管理方式:遠(yuǎn)程管理方式和控制臺(tái)管理方式。遠(yuǎn)程管理是通過網(wǎng)絡(luò)接口實(shí)現(xiàn)對(duì)網(wǎng)關(guān)的管理,包括:聯(lián)機(jī)及用戶登錄、查詢網(wǎng)關(guān) 狀態(tài)、上傳或下載工程、修改密碼、升級(jí)軟件等功能。另一種方式為控制臺(tái)管理方式,通過網(wǎng)關(guān)的控制臺(tái)端口(RS232)實(shí)現(xiàn)對(duì)網(wǎng)關(guān)的管理。2 種方式的操作方式完全相同。無論采用哪種方式,pSafetyLink 均提供了嚴(yán)格的身份認(rèn)證來管理連接權(quán)限。
● 遠(yuǎn)程管理和維護(hù):配置軟件 PSL-Config 工具是專為 pSafetyLink 系列產(chǎn)品設(shè)計(jì)的通用智能化配置、管理與調(diào)試工具。它基于 Windows NT/2000/XP 平臺(tái),提供基于 XP風(fēng)格的表格化交互式人機(jī)界面,采用基于向?qū)У牟僮髂J?,操作十分簡便?/p>
● 模板化測(cè)點(diǎn)管理:PSL-Config 對(duì)測(cè)點(diǎn)除了提供單點(diǎn)配置功能外,還提供了非常適用的模板功能。模板功能可以大大提供用戶工程組態(tài)的效率,減少組態(tài)的差錯(cuò)率。對(duì) 于 OPC 服務(wù)器,PSL-Config 可自動(dòng)遍歷服務(wù)器所有測(cè)點(diǎn)并生成模板。用戶也可以手工編輯模板然后導(dǎo)入到工程中。
● 斷線緩存:系統(tǒng)支持自動(dòng)網(wǎng)絡(luò)通信負(fù)荷平衡功能和斷線數(shù)據(jù)緩沖功能。
● 在線升級(jí):實(shí)現(xiàn)在大量使用網(wǎng)關(guān)的時(shí)候,能夠?qū)ζ溥M(jìn)行統(tǒng)一的管理,升級(jí)和必要的運(yùn)行狀態(tài)的查看。
● 在線監(jiān)視工具:功能包括:查詢網(wǎng)關(guān)狀態(tài)、查詢運(yùn)行狀態(tài)、在線監(jiān)視測(cè)點(diǎn)數(shù)據(jù)、在線監(jiān)視通信報(bào)文信息、查詢授權(quán)狀態(tài)、查詢程序版本信息、查詢調(diào)試信息、查詢?nèi)罩拘畔⒌取?/p>
● 通道狀態(tài)報(bào)警:系統(tǒng)診斷子系統(tǒng)實(shí)時(shí)檢測(cè)系統(tǒng)內(nèi)各進(jìn)程、線程的運(yùn)行狀態(tài),同時(shí)對(duì)關(guān)鍵的硬件模塊進(jìn)行診斷,當(dāng)發(fā)現(xiàn)異常時(shí)自動(dòng)產(chǎn)生報(bào)警信息,并在符合條件的情況下啟動(dòng)自動(dòng)恢復(fù)邏輯。
身份安全認(rèn)證
對(duì)工業(yè)安全防護(hù)網(wǎng)關(guān)裝置進(jìn)行各種操作(如:修改網(wǎng)關(guān)工程、升級(jí)程序、查詢?nèi)罩镜龋r(shí),要求安全網(wǎng)關(guān)提供嚴(yán)格的身份認(rèn)證來管理連接權(quán)限。工業(yè)安全防護(hù)網(wǎng)關(guān)具備兩種連接方式:網(wǎng)絡(luò)方式(以太網(wǎng)接口)和控制臺(tái)方式(RS232 接口)。兩種連接方式采用統(tǒng)一的連接權(quán)限管理,均需要使用系統(tǒng)管理員帳號(hào)登入。要求工業(yè)安全網(wǎng)關(guān)采用基于數(shù)字簽名技術(shù)的高安全性認(rèn)證機(jī)制,保證系統(tǒng)的機(jī)密性、完整性和不可否認(rèn)性。
數(shù)據(jù)測(cè)點(diǎn)訪問管理
防護(hù)網(wǎng)關(guān)內(nèi)部實(shí)現(xiàn)通信協(xié)議的接口服務(wù),可以實(shí)現(xiàn)針對(duì)測(cè)點(diǎn)一級(jí)的訪問控制。例如:對(duì) 于 Modbus/TCP 標(biāo)準(zhǔn)可以控制到具體某個(gè)寄存器,對(duì)于 OPC 標(biāo)準(zhǔn)可以控制到 Item(項(xiàng))一 級(jí)。
對(duì)測(cè)點(diǎn)的訪問,工業(yè)安全防護(hù)網(wǎng)關(guān)可以指定在控制端允許接入哪些測(cè)點(diǎn),哪些不允許接 入;另一方面,如果信息端存在多個(gè)服務(wù),可以指定哪些測(cè)點(diǎn)允許暴露給哪個(gè)服務(wù),同時(shí)對(duì)哪些測(cè)點(diǎn)進(jìn)行屏蔽(信息端無法訪問)。
應(yīng)急恢復(fù)處理機(jī)制
工業(yè)安全防護(hù)網(wǎng)關(guān)內(nèi)嵌高性能工業(yè)通信軟件提供完善的系統(tǒng)在線自診斷、故障自動(dòng)恢 復(fù)、看門狗管理等系統(tǒng)功能。
系統(tǒng)診斷子系統(tǒng)實(shí)時(shí)檢測(cè)系統(tǒng)內(nèi)各進(jìn)程、線程的運(yùn)行狀態(tài),同時(shí)對(duì)關(guān)鍵的硬件模塊進(jìn)行診斷,當(dāng)發(fā)現(xiàn)異常時(shí)自動(dòng)產(chǎn)生報(bào)警信息,并在符合條件的情況下啟動(dòng)自動(dòng)恢復(fù)邏輯。
I/O 通信子系統(tǒng)具備完善的故障自動(dòng)恢復(fù)功能。當(dāng)發(fā)生網(wǎng)絡(luò)通信中斷的情況時(shí),I/O 通 信子系統(tǒng)會(huì)立刻報(bào)告通信狀態(tài)位的變化,同時(shí)啟動(dòng)通信重連機(jī)制,當(dāng)網(wǎng)絡(luò)通信恢復(fù)后,能迅速重新建立網(wǎng)絡(luò)連接,恢復(fù)數(shù)據(jù)通信。
工業(yè)安全網(wǎng)關(guān)內(nèi)置軟件看門狗和硬件看門狗,時(shí)刻監(jiān)視系統(tǒng)狀態(tài),保證裝置的穩(wěn)定、可靠運(yùn)行,確保萬無一失并且反應(yīng)迅速。要求雙側(cè)主機(jī)均有獨(dú)立的看門狗,保障每側(cè)主機(jī)的穩(wěn)定運(yùn)行。
可行性評(píng)估
通過上述對(duì)新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)從技術(shù)和管理兩個(gè)角度的分析和規(guī)劃,構(gòu)建了一套完整的信息安全體系,可以最大化的減少因病毒、漏洞等引起的工業(yè)生產(chǎn)網(wǎng)網(wǎng)絡(luò)故障,保障新鄭卷煙廠工業(yè)生產(chǎn)網(wǎng)的持續(xù)性運(yùn)行,實(shí)現(xiàn)信息安全建設(shè)目標(biāo)。
1. 系統(tǒng)的安全性
控制系統(tǒng)的安全
通過安全通訊網(wǎng)關(guān)將信息采集層和過程控制層隔離開,所有從信息層下發(fā)的數(shù)據(jù)都要經(jīng)過安全通訊網(wǎng)關(guān)的過濾,確保安全以后才會(huì)提交給 PLC 處 理,防止了網(wǎng)絡(luò)風(fēng)暴對(duì) PLC 不停的訪問和攻擊和由病毒引起的誤發(fā)指令,保證了控制系統(tǒng)的安全。
數(shù)據(jù)采集的安全
新的網(wǎng)絡(luò)結(jié)構(gòu)中將數(shù)據(jù)采集和處理的任務(wù)交給了各個(gè)子系統(tǒng)的安全通訊網(wǎng)關(guān),因?yàn)橥ㄓ嵤前踩ㄓ嵕W(wǎng)關(guān)的強(qiáng)項(xiàng),所以能夠保證數(shù)據(jù)采集和處理的快速穩(wěn)定的運(yùn)行。一個(gè)子系統(tǒng)的通訊出現(xiàn)問題也不會(huì)影響到其他的系統(tǒng)。
數(shù)據(jù)存儲(chǔ)的安全
由于實(shí)時(shí)數(shù)據(jù)庫 IH 服務(wù)器的數(shù)據(jù)通訊不再需要從監(jiān)控服務(wù)器中轉(zhuǎn),而是直接與各個(gè)子系統(tǒng)的安全網(wǎng)關(guān)通訊,監(jiān)控系統(tǒng)異常時(shí),實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)仍然能夠正常運(yùn)行,保存生產(chǎn)數(shù)據(jù)信息,起到黑匣子的作用。
2. 隔離網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)通信速度的影響:
設(shè)備采用雙對(duì)稱的4個(gè)10/100/1000M自適應(yīng)以太網(wǎng)口,信息端和控制端的數(shù)據(jù)延遲 時(shí)間小于10ms。
● 單機(jī)額定容量:10,000~40,000點(diǎn);
● 額定數(shù)據(jù)吞吐量:10,000 TPS;
● 峰值數(shù)據(jù)吞吐量:20,000 TPS;
● 單機(jī)額定連接數(shù):控制端512個(gè),信息端512個(gè);
● 系統(tǒng)MTBF > 30000小時(shí)
3. 設(shè)備管理維護(hù)的便捷性:
系統(tǒng)采用遠(yuǎn)程在線管理,可通過遠(yuǎn)程管理方式對(duì)網(wǎng)關(guān)進(jìn)行監(jiān)視和配置,提供嚴(yán)格的身份認(rèn)證來管理連接權(quán)限。中心管理平臺(tái)軟件提供的監(jiān)視功能包括:查詢網(wǎng)關(guān)狀態(tài)、查詢運(yùn)行狀 態(tài)、在線監(jiān)視測(cè)點(diǎn)數(shù)據(jù)、在線監(jiān)視通信報(bào)文信息、查詢授權(quán)狀態(tài)、查詢程序版本信息、查詢 調(diào)試信息、查詢?nèi)罩拘畔⒌取?/p>
配置功能按照工程方式進(jìn)行配置管理,可以對(duì)不同網(wǎng)關(guān)設(shè)備的不同現(xiàn)場(chǎng)應(yīng)用案例分別按照不同的工程進(jìn)行管理。每個(gè)工程包含了一種特定型號(hào)網(wǎng)關(guān)針對(duì)一個(gè)特定工程應(yīng)用的全部配 置文件,包括:內(nèi)嵌數(shù)據(jù)庫配置、I/O通信配置、網(wǎng)絡(luò)配置、系統(tǒng)參數(shù)配置等。每個(gè)工程的配置文件都存放在不同的目錄下。
4. 網(wǎng)絡(luò)隔離技術(shù)與通用防火墻技術(shù)的區(qū)別和優(yōu)勢(shì)
從數(shù)據(jù)安全角度來看,商用網(wǎng)絡(luò)往往對(duì)數(shù)據(jù)的私密性要求很高,要防止信息的泄露,而 控制網(wǎng)絡(luò)強(qiáng)調(diào)的是數(shù)據(jù)的可靠性。另外,商用網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型極其復(fù)雜,傳輸?shù)耐ㄐ艠?biāo) 準(zhǔn)多樣化,如 HTTP、SMTP、FTP、SOAP 等;而控制網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型相對(duì)單一,以 過程數(shù)據(jù)為主,傳輸?shù)耐ㄐ艠?biāo)準(zhǔn)以工業(yè)通信標(biāo)準(zhǔn)為主,如 OPC、Modbus 等。
通過比較商用網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的差異可以發(fā)現(xiàn),常規(guī)的 IT 網(wǎng)絡(luò)安全技術(shù)都不是專門針對(duì)控制網(wǎng)絡(luò)需求設(shè)計(jì)的,用在控制網(wǎng)絡(luò)上就會(huì)存在很多局限性。 比如防火墻產(chǎn)品,目前基本是以包過濾技術(shù)為基礎(chǔ)的,它最大的局限性在于不能保證準(zhǔn)許放行的數(shù)據(jù)的安全性。防火墻通過拒絕放行并丟棄數(shù)據(jù)包來實(shí)現(xiàn)自己的安全機(jī)制。但防火墻無法保證準(zhǔn)許放行數(shù)據(jù)的安全性。從實(shí)際應(yīng)用來看,防火墻較為明顯的局限性包括以下幾方面:
● 防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò)四層以下 的控制,對(duì)于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。
● 防火墻不能防范全新的威脅,更不能防止可接觸的人為或自然的破壞。
● 防火墻不能防止由自身安全漏洞引起的威脅。
● 防火墻對(duì)用戶不完全透明,非專業(yè)用戶難于管理和配置,易造成安全漏洞。
● 防火墻很難為用戶在防火墻內(nèi)外提供一致的安全策略,不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊,也不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。
● 由于防火墻設(shè)置在內(nèi)網(wǎng)與外網(wǎng)通信的信道上,并執(zhí)行規(guī)定的安全策略,所以防火墻在提供安全防護(hù)的同時(shí),也變成了網(wǎng)絡(luò)通信的瓶頸,增加了網(wǎng)絡(luò)傳輸延時(shí),如果防火墻出現(xiàn)問題,那么內(nèi)部網(wǎng)絡(luò)就會(huì)受到嚴(yán)重威脅。
● 防火墻僅提供粗粒度的訪問控制能力。它不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。
另一方面,防火墻由于其自身機(jī)理的原因,還存在很多先天不足,主要包括:
● 由于防火墻本身是基于 TCP/IP 協(xié)議體系實(shí)現(xiàn)的,所以它無法解決 TCP/IP 協(xié)議體系中存在的漏洞。
● 防火墻只是一個(gè)策略執(zhí)行機(jī)構(gòu),它并不區(qū)分所執(zhí)行政策的對(duì)錯(cuò),更無法判別出一條合法政策是否真是管理員的本意。從這點(diǎn)上看,防火墻一旦被攻擊者控制,由它保護(hù)的整個(gè)網(wǎng)絡(luò)就無安全可言了。
● 防火墻無法從流量上判別哪些是正常的,哪些是異常的,因此容易受到流量攻擊。
● 防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高,需要對(duì)數(shù)據(jù)包檢查的項(xiàng)目(即防火墻的功能)就越多越細(xì),對(duì) CPU 和內(nèi)存的消耗也就越大,從而導(dǎo)致防火墻的性能下降,處理速度減慢。
● 防火墻準(zhǔn)許某項(xiàng)服務(wù),卻不能保證該服務(wù)的安全性,它需要由應(yīng)用安全來解決。 防火墻正是由于這些缺陷與不足,導(dǎo)致目前被攻破的幾率已經(jīng)接近 50%。雖然目前最流行的安全架構(gòu)是以防火墻為核心的安全體系架構(gòu)。通過防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保障體系。然而,以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生網(wǎng)絡(luò)攻擊。僅有防火墻的安全架構(gòu)是遠(yuǎn)遠(yuǎn)不夠的。
其它安全技術(shù)如 IDS、VPN、防病毒產(chǎn)品等與產(chǎn)品與防火墻一樣,也都有很強(qiáng)的針對(duì)性, 只能管轄屬于自己管轄的事情,出了這個(gè)邊界就不再能發(fā)揮作用。IDS 作為可審查性產(chǎn)品最大的局限性是漏報(bào)和誤報(bào)嚴(yán)重,幾乎不是一個(gè)可以依賴的安全工具,而是一個(gè)參考工具。漏報(bào)等于沒有報(bào),誤報(bào)則是報(bào)錯(cuò)了,這兩個(gè)特點(diǎn)幾乎破壞了入侵檢測(cè)的可用性。VPN 作為一 種加密類技術(shù),不管哪種 VPN 技術(shù),在設(shè)計(jì)之初都是為了保證傳輸安全問題而設(shè)計(jì)的,而 沒有動(dòng)態(tài)、實(shí)時(shí)的檢測(cè)接入的 VPN 主機(jī)的安全性,同時(shí)對(duì)其作“準(zhǔn)入控制”。這樣有可能因 為一個(gè) VPN 主機(jī)的不安全,導(dǎo)致其整個(gè)網(wǎng)絡(luò)不安全。防病毒產(chǎn)品也有局限性,主要是對(duì)新病毒的處理總是滯后的,這導(dǎo)致每年都會(huì)大規(guī)模地爆發(fā)病毒,特別是新病毒。 網(wǎng)絡(luò)隔離技術(shù):
在防火墻的發(fā)展過程中,人們最終意識(shí)到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構(gòu)在高安全性方面的缺陷,驅(qū)使人們追求更高安全性的解決方案,人們期望更安全的技術(shù)手段,網(wǎng)絡(luò)隔離技術(shù)應(yīng)運(yùn)而生。
網(wǎng)絡(luò)隔離技術(shù)是安全市場(chǎng)上的一個(gè)分支。在經(jīng)過漫長的市場(chǎng)概念澄清和技術(shù)演變進(jìn)步之 后,市場(chǎng)最終接受了網(wǎng)絡(luò)隔離具有最高的安全性。目前存在的安全問題,對(duì)網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在。這就是各國政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。
網(wǎng)絡(luò)隔離技術(shù)經(jīng)過了長時(shí)間的發(fā)展,目前已經(jīng)發(fā)展到了第五代技術(shù)。第一代隔離技術(shù)采 用完全的隔離技術(shù),實(shí)際上是將網(wǎng)絡(luò)物理上的分開,形成信息孤島;第二代隔離技術(shù)采用硬件卡隔離技術(shù);第三代隔離技術(shù)采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù);第四代隔離技術(shù)采用空氣開關(guān)隔離 技術(shù);第五代隔離技術(shù)采用安全通道隔離技術(shù)。
基于安全通道的最新隔離技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制,來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,不僅解決了以前隔離技術(shù)存在的問題,并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來,而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,透明支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
網(wǎng)絡(luò)隔離的指導(dǎo)思想與防火墻也有很大的不同,體現(xiàn)在防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全;而網(wǎng)絡(luò)隔離的思路是在必須保證安全的前提下,盡可能支持?jǐn)?shù)據(jù)交換,如果不安全則斷開。
網(wǎng)絡(luò)隔離技術(shù)主要目標(biāo)是解決目前信息安全中的各種漏洞:操作系統(tǒng)漏洞、TCP/IP 漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等,網(wǎng)絡(luò)隔離是目前唯一能解決上述問題的安全技術(shù)。
提交
魯西化工信息安全解決方案
WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇
WannaCry勒索蠕蟲-力控華康護(hù)航工控安全
力控華康護(hù)航工業(yè)控制系統(tǒng)安全
力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目