在現代工業企業的信息系統中,由各種DCS、PLC、測控設備、SCADA構成的過程控制系統位于底層車間,負責完成基本的生產控制。隨著企業信息化建設的發展,迫切要求實現過程控制系統與上層的管理信息系統之間的互聯,完成經營管理層與車間執行層的雙向信息流交互,使企業對生產情況保證實時反應,消除信息孤島與斷層現象。OPC接口技術作為一種通用的解決方案,已經越來越廣泛地被應用于工業、能源、交通、水利以及市政等領域。
1、概述
隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,高度信息化的同時也減弱了控制系統及SCADA系統等與外界的隔離,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻的形勢。工信部協[2011]451號通知明確指出,我國工業控制系統信息安全管理工作中仍存在不少問題,主要是對工業控制系統信息安全問題重視不夠,管理制度不健全,相關標準規范缺失,技術防護措施不到位,安全防護能力和應急處置能力不高等,威脅著工業生產安全和社會正常運轉。對此,各地區、各部門、各單位務必高度重視,增強風險意識、責任意識和緊迫感,切實加強工業控制系統信息安全管理。
2、現狀與分析
OPC是Object Linking and Embedding(OLE)for Process Control的縮寫,它是微軟公司的對象鏈接和嵌入技術在過程控制方面的應用。由一些世界上占領先地位的自動化系統和硬件、軟件公司與微軟(Microsoft)緊密合作而建立的,OPC基金會負責OPC規范的制定和發布。OPC提出了一套統一的標準,采用CLIENT/SERVER模式,針對硬件設備的驅動程序由硬件廠商或專門的公司完成,提供具有統一OPC接口的SERVER程序,軟件廠商按照OPC標準訪問SERVER程序,即可實現與硬件設備的通信。
對于客戶應用程序而言,底層的現場設備是透明的,它在調用現場設備的數據時,無需知道具體的數據格式。OPC把開發訪問接口的任務放在硬件生產廠家或第三方廠家,以服務器的形式提供給客戶,并規定了一系列的接口標準,而客戶負責創建服務器的對象及訪問服務器支持的接口。最終用戶按照OPC標準開發的在客戶機上運行的應用程序,可以通過OPC服務器與任何數據源交換數據,不必知道數據源的特性。硬件和數據庫的開發商根據自己產品的特性,并遵循OPC標準開發的OPC服務器,則可適用于任何應用軟件。通過OPC,不同廠家的系統可以互相通訊,減少了因通訊協議不同相互通訊需單獨開發大量接口的繁瑣工作,目前已成為應用最廣泛的工業通訊標準之一。
典型的系統網絡結構如上圖所示,由信息層(Information zone)、操作站層(Station zone)和控制器層(Controller zone)三大部分組成。目前的現狀是大多數控制網絡中在運行的電腦,很少或沒有機會安裝全天候病毒防護或更新版本。控制器的設計都以優化實時的I / O功用為主,而並不提供加強的網絡連接安全防護功能。在整個網絡中存在多個網絡端口切入點需要防護,并且許多控制網絡都是“敞開的”,不同的子系統之間都沒有有效的隔離,尤其是基于OPC、MODBUS等通訊的工業控制網絡,其中某一部分出現問題被攻擊后,病毒就通過網絡迅速蔓延。
目前國內針對工業控制網絡的防護標準尚未成型,公安部會同有關部門也在制定計算機信息系統安全等級的劃分標準和安全等級保護的具體辦法。在國際上,美國在2007年頒布的Chemical Facility Anti-Terrorism Standards (CFATS)標準以及2008年頒布的US Chemical Anti-Terrorism Act(美國化學反恐怖主義法)針對化工設備安全做了強制要求,目前,石油,水處理以及制造業都還沒有必須按照以上立法規定作業,但是為了避免重大的風險,基本都遵守行業標準ANSI/ISA-99 Standards的要求進行規劃。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005,均指出過程控制系統或SCADA控制網絡應與其他系統隔離,包括企業IT網絡。ANSI/ISA-99指出過程控制系統或SCADA控制網絡的控制網絡安全要點如下:
需要重點解釋的是,商業網絡的安全需求與控制網絡的安全需求在某些地方完全不同。舉個例子,商業防火墻通常允許該網絡內的用戶使用HTTP瀏覽因特網,而控制網絡則恰恰相反,它的安全性要求明確禁止這一行為;尤其OPC作為工業通訊中最常用的一種標準,是基于微軟的COM/DCOM技術,在應用過程中端口在1024-65535間不固定使用,這一特性使得基于端口防護的普通商用防火墻根本無法進行設置。因此不要試圖將控制系統放入IT解決方案中,選用專有的控制系統防火墻加上良好的控制系統安全策略才能為工業控制系統安全提供高效的網絡攻擊防御能力。想要滿足這一安全要求,Tofino?是一種經濟高效的方式。
3、Tofino解決方案
3.1 方案亮點
OPC Classic的核心技術(RPC和DCOM)在設計之初尚未考慮到安全問題。因此OPC Classic采用了動態端口分配技術,使得傳統IT類防火墻在OPC安全防護上毫無用武之地。Tofino OPC Enforcer LSM使用Deep Packet Inspection(深度包檢測)技術自動跟蹤和管理OPC Classic 動態端口的使用情況,從而解決了這個問題。使得Tofino能夠被安裝到運行有OPC DA、HAD、A&E通信的網絡中,并且無需對現有的OPC客戶端和服務器做任何改變。Tofino能夠用來分離安全系統網絡與過程系統網絡,實現關鍵系統與非關鍵系統的物理隔離。與普通商用防火墻相比,Tofino更適于工業控制系統安全防護,主要體現在:
(1)工業型:
●參照ANSI/ISA-99 Standards的安全要求為設計理念,產品更具針對性和高效性,專門用于工業控制系統的安全保護。
●內置50多種專有工業通信協議,與常規防火墻不同的是,Tofino防火墻不僅是在端口上的防護,更重要的是基于應用層上數據包深度檢查,屬于新一代工業通訊協議防火墻,為工業通訊提供獨特的、工業級的專業隔離防護解決方案。
●具備在線修改防火墻組態功能,可以實時對組態的防火墻策略進行修改,而且不影響工業實時通訊。其它防火墻需要斷電、重啟等。
● 工業型設計,導軌式安裝,低功耗無風扇,具備二區防爆認證。
(2)獨有專利安全連接技術:
●首先防火墻自身是基于非IP的獨有專利安全連接技術進行管理,能夠阻擋任何欺騙式攻擊。
●能夠隱藏防火墻后端所有設備的IP地址,讓入侵者無法發現目標,更無從談發動任何攻擊。
●集防火墻與虛擬路由于一身,能夠像網絡交通警察一樣管控通訊網絡數據通訊的路徑、對象以及數據流的方向,可以設定數據流入、流出的單向或雙向。
(3)實時網絡通訊透視鏡:
能夠為目前控制網絡故障分析、監控、記錄提供一個簡單、有效的可靠工具,能夠確切的觀察、分析、控制網絡通信電纜中所使用的通訊協議、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄,保證控制網絡通訊的實時診斷。
(4)市面上獨家滿足ANSI/ISA-99和NERC-CIP標準
根據ANSI/ISA-99 和NERC-CIP標準,TSA可以很方便的針對PLC、DCS、RTU、IED和HMI提供一個性價比很高的安全分區——一個配置得當的保護區域分組。
(5)特有‘測試’模式
‘測試’模式可以在對控制系統無任何風險的情況下進行防火墻和VPN測試。TEST模式不同于實際的操作模式,在TEST模式中,Tofino允許所有的通訊通過,但是由CMP報告在操作模式下任何可能被攔截的通訊。這一點對于工業或SCADA控制系統的安全操作相當關鍵,用傳統的IT防火墻是不可能實現的。這也是Tofino適合于工業控制系統的獨特性的一個方面。
3.2 方案構成
一個完整的Tofino安全解決方案包括以下四部分:
(1)Tofino安全模塊(TSA)
增強型工業環境要求設計,即插即用,應用于受保護的區域或控制器等關鍵設備之前。下圖為Tofino安全模塊硬件的兩種選型。硬件設計遵循增強型工業環境要求,應用于受保護的區域或控制器等關鍵設備之前,設計使用壽命27年,能夠提供安全系統的工業平臺。
(2)Tofino可裝載安全軟插件(LSM)
專為工業通訊協議設計的安全軟插件,可以直接裝載到Tofino安全模塊中,并根據系統需求提供各種定制安全服務。本方案中可選的基本軟插件包括:
●Tofino Firewall LSM工業通信防火墻;
工業網絡交通警察,提供防火墻及網絡交通控制功能的軟插件內置50多個工業專用及商業IT通信協議,預先定義超過25個控制器類型(例如:西門子S7-300/S7-400,Honeywell PKS C200/C300/);LSM在線協議組態,可自己定制通訊協議或者通過設備學習功能實現通訊協議定制;通過通訊協議指令級別的管控,預先組態用于高級過濾和攻擊保護的“特殊規則”。 符合 ANSI/ISA-99.00.02 的網絡分段要求,達到區域隔離目標。
●Event Logger LSM事件日志與報警管理;
Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監控功能和記錄功能,它是一個專為工業控制網絡設計的日志記錄系統。
●OPC Enforcer LSM通信深度檢測及防護;
專門用于標準OPC協議通訊的網絡安全技術,它可以檢查,追蹤并安全保護每一個OPC應用程序創建的連接。它動態地為指定的OPC客戶端和服務器打開端口,并且是只打開每個連接所需要的唯一的TCP端口。可通過自定義數據通訊延遲時間達到關閉無效通訊的功能。它簡單易用,在OPC客戶端和服務器無需改變任何配置,無需改變任何原有的網絡結構,這種先進的解決方案超越了傳統的防火墻。
優勢在于在OPC工業協議上最先應用“連接跟蹤技術” ;Tofino的 ‘Sanity Check’ 檢查功能,可攔阻任何不符合OPC標準格式的DCE/RPC 訪問;OPC通訊權限管理,OPC協議深度檢查,管控通訊安全;只在所跟蹤的TCP端口有需要時,防火墻才短暫地打開;可支持多個 OPC 客戶端和服務器同時使用; 簡單易用,在OPC服務器或客戶端上并不需要做任何變化和改動只是在通訊網線中間加入即可;可支持OPC DA, HDA 和 A&E 標準;實現區域防護和病毒隔離,阻擋惡意攻擊,使用OPC基金會的測試套件OPC協議完成測試,得到OPC基金會的大力推薦。
●Secure Asset Management LSM安全設備資產管理;
像雷達一樣,Tofino的安全設備資產管理(SAM)可裝載模塊可以追蹤每一個通過Tofino安全設備進行通訊的設備。不過,為了避免引起進程干擾,它實現這一功能使用的并不是傳統的掃描技術。
● VPN加密;
使用安全套接字協議(SSL)技術創建高度安全的“隧道”來保護控制系統的完整性,安全性。易于敷設,測試和管理配置,通過可視的拖放操作界面使組態簡單易行。在不影響正常控制網絡通訊的情況下可進行VPN通道測試。支持早期的自動化協議。與其他Tofino產品相互協同操作,提供更加強大細致的VPN接入和SCADA功能的防火墻保護。
(3)Tofino中央管理平臺(CMP)
窗口化的中央管理平臺系統及數據庫,用于Tofino安全模塊的配置、組態和管理,并能實現系統的報警和日志的實時監控和歷史查詢。能夠為目前控制網絡故障分析、監控、記錄提供一個簡單、有效的可靠工具,能夠確切的觀察、分析、控制網絡通信電纜中所使用的通訊協議、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄,保證控制網絡通訊的實時診斷。具備在線組態、在線監控、資產管理等多種功能。
(4)Tofino安全管理平臺(SMP)
SMP Server接收CMP或TSA的日志和報警記錄,并將日志和報警存儲在服務器數據庫中。SMP Client安裝在辦公局域網上的辦公電腦中,支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄,并且支持日志和報警的查詢。
3.3 方案介紹與實施
產品的選型和方案的實施可以概括為以下三步,實際中對于不同的環境和安全要求,具體的方案和實施過程略有不同。
第一步:創建網絡安全分區?,確定在何處放置TOFINO安全設備TSA。
第二步:確定需要哪些可裝載安全功能軟插件(LSMs),以確保每個區域安全不同的要求。
第三步:選擇一個服務器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP,CMP和SMP也可以分別安裝在不同的機器。
針對企業流程工業的特點,同時結合上述控制系統的網絡結構,網絡中有多處關鍵點需要保護,本方案僅針對OPC通信部分需要進行的防護進行詳細介紹。
(1) 信息層與操作站層之間是過程控制網絡與企業信息網絡的借口部位,是企業目前信息部與儀控部的交叉點,由于來自企業信息層病毒感染與入侵的概率較大,所以該部位是目前防護的重點,可以使用Tofino進行保護。
考慮到該部位通常采用OPC接口進行通信,建議選用以下LSM:
通過以上配置,解決下列問題:
●阻止來自企業信息層的病毒傳播;
●阻擋來自企業信息層的非法入侵;
●管控OPC客戶端與服務器的通訊;
(2) 針對操作站層各個節點之間的相互影響,方案將OPC Server、工程師站以及高級應用先控站三個節點分為一組,通過Tofino模塊進行隔離,建議可選的LSM如下:
通過以上配置,解決下列問題:
●通過CMP對Firewall LSM進行組態,將OPC Server、工程師站和高級應用先控站獨立分為一個區域,該區域的所有通訊都由Tofino防火墻進行過濾,只有指定的通訊和相關的數據才被允許通過,從而防止病毒擴散到整個操作站層面;
●管控局部網絡通訊速率,防止網絡風暴的發生;
最后選擇網絡中合適的機器安裝CMP和SMP創建整個網絡模型,并設置合適的通信規則,確保網絡中只有合法的通信通過,這樣可以將全廠所有設備硬件都集中管理,對全廠控制網絡狀態一目了然。
3.4 方案目標
該方案以建立縱深防御策略為主要思想,確保工廠網絡中即使某一點發生網絡安全事故,工廠也能正常運行,同時,工廠操作人員能夠很迅速的找到問題并進行處理,主要達到以下目標:
●區域隔離:Tofino工業防火墻插件能夠過濾兩個區域網絡間的通信。這樣意味著網絡故障會被控制在最初發生的區域內,而不會影響到其它部分;
●深度檢查:面向應用層對特有的工業通訊協議進行內容深度檢查,告別病毒庫升級缺陷;
●通信管控:通信規則是可以通過中央管理平臺進行在線組態和測試的;
●實時報警:所有部署的防火墻都能由中央管理平臺統一進行實時監控,任何非法的(沒有被組態允許的)訪問,都會在中央管理平臺產生實時報警信息,從而故障問題會在原始發生區域被迅速的發現和解決。
4、結束語
Tofino Security System一方面是一個完整的分布式安全解決方案,另一方面又可以簡單、安全地進行集中管理,這些特性使其成為一款獨一無二的產品。對工業企業來說Tofino Security System更意味著最佳的安全效益和技術支持,并不只是簡單滿足了獨立的關鍵控制設備的安全要求。
不同于傳統的IT防火墻,Tofino專為工業環境控制網絡通信安全而設計。現場技術人員只需簡單為Tofino接入電源,并連接兩個網絡的電纜即可,無需其他任何操作。一旦安裝成功,技術人員即可毫不費力地管理任何系統,以總攬公司大局的方式對網絡威脅做出及時反應。最重要的是,Tofino既可以靈活運用在單純由PLC構成的小型工廠中,又能夠滿足那些擁有成千上萬個設備并且分布全球各地的大型跨國集團的使用要求。
