前言
长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面,预防发生工业事故造成人员、财产、或环境损失。然而,信息技术的发展已经打破了传统的“物理隔离神话”,为确保能源和关键性基础设施行业控制系统的安全稳定运行,研究工业网络安全的关键问题,建立有针对性的安全防护体系已经迫在眉睫。
一、工控网络
1.工业网络词汇扫盲
在开始介绍工控网络之前,先对工控网络中常常出现的工控网络名词进行简单的解释,以下文便理解。
SCADA:数据采集与监视控制系统,实时收集下方HMI的数据同时进行监控。
HMI:人机交互接口,最通俗易懂的定义便是“看得懂的显示+直观简易的操作控制系统”,其实最简单的HMI便是ATM机。
PLC1: :可编程逻辑控制器,专为工业控制而设计的专用控制器,依赖逻辑代码块在开销非常小的情况下操控工控设备。
RTU:远程终端装置,工控设备与工控网络物理距离较远时维持通讯,可以理解为远程的PLC。
IED:智能电子设备,包括传感器、电动机、变压器、断路器、泵等
2.工控网络架构
首先要理解工控网络与传统IT网络2不同。目前,传统IT网络几乎均使用TCP/IP协议簇进行通讯。
而OT网络3是用于连接生产现场设备与系统,不适用TCP/IP协议簇的内容,自有专用工业协议(例如Modbus)实现自动控制的通讯网络。
如同前言所提及,随着信息技术的发展迅猛,为了提高效率、工业信息化、收集实时业务信息、使用基于各类的web应用,已迫不得已打破了传统的“物理隔离神话”,目前的工业网络几乎都在原有的OT网络基础上构建,IT网络与OT网络共同存在、还有一定的交融,例如Modubus TCP,便是传统OT网络协议的可路由变种。由此在工控网络中引出一个概念“可路由”,“不可路由”。其边界通常在监控网(SCADA为核心)与控制系统之间。
由此,较常见的工控网络架构如下4:
目前真正的工业网络几乎不会连接到互联网,即使存在也几乎为单向传输,该拓扑主要为理解架构。
3.工业网络常见通信协议
Modbus
Modbus,最为广泛的工业控制通信协议。由施耐德旗下莫迪康公司设计,1979年发布以来,已被广泛采用,其地位几乎从协议转变为标准。
Modbus是一种应用层协议,即它工作在OSI模型的第7层,这也使得该协议极易脱离传统网络。
其核心思想为基于请求/应答方式,实现互连设备间的高效通信。传感器或电动机等简单设备也可以使用Modbus协议与更加复杂的计算机通信,后者读取测量值并进行分析与控制。
分为 Moudbus RTU、ASCII、TCP三类。
结构本质: 地址码(1byte) 功能码(1byte) 数据(Nbyte) 校验码(2byte)
地址码:可理解为Modbus协议中的IP地址,本质为从机地址,用于识别设备,类似于设备编码。
功能码:可理解为选择操作指令类型,本质为读写寄存器、线圈的数值。
数据:可理解为操作指令的程度,具体操作指令的细节。
校验码:验证
OPC
OPC协议常出现于总线的“上游”,也就是上述中“可路由”“不可路由”的边界区域,该协议严格来说甚至并非工业网络协议。该协议本质为Windows使用了微软的DCOM通信的API,以此达到与各类型的工业控制系统与产品通讯的目的,最常用于SCADA系统与HMI内部的数据采集、监控等功能。
OPC-UA 、OPC-XI均为OPC原版的变体,其安全性更高。
二、工控安全
根据本文上述提及,目前的工控网络由IT网络与OT网络共同组成。尽管IT网络的引入带来了效率的突飞,但与此同时引入了更多的安全风险。IT网络在整个工控网络中处于相对“上位”,例如SCADA、HMI。如果IT网络被攻破,便可直接或间接的下发错误指令、篡改应用配置、传递错误信息等。一发不可牵,牵之动全身。
尽量避免工控网络直接或间接接入互联网,最好做到物理隔离。如若在特殊需求下,迫不得已直接或间接的接入互联网,必须使用单向隔离(二极管、光闸等)设备,仅允许工控网络侧将数据传输至互联网侧。
第一步,建立安全区域,识别功能组5,对功能组内的每一个元素(资产、系统、用户、协议等)进行最大化的分离,如果两者可以分离且不影响主要功能,那便是两个功能组。一般需要考虑到的功能组为:控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问、用户群体、工业协议组。根据功能组确定区域以及边界。
第二步,区域间的安全防护,区域必须清晰,区域间最低限度的安全防护便是防火墙,防火墙访问控制必须做到最小化原则。根据功能组的重要级别部署工业IDS、工业IPS、应用层监管设备等。
第三步,区域内的安全防护,在保证了区域边界的安全之后,区域内的安全主要关注对象为主机。
主机安全:是否使用准入系统、是否部署并使用白名单、是否部署并使用防病毒软件、身份认证的权限是否合理合规、是否存在漏洞、是否禁用所有未使用的端口和服务…
三大部分组成:输入、CPU、输出,本质为经过特殊处理的CPU,简易化编程操作,使得电器工程师能够方便控制工控系统。 ??
IT译为Information Technology,指信息技术。但随着IT的发展,通讯与壁垒越来越弱,上述IT网络亦可理解为ICT,Information Communication Technology,是信息技术与通讯技术的合集。 ??
OT(Operation Technology 操作技术),是为工厂自动化控制系统提供技术支持,确保生产正常进行的专业技术。 ??
另外一种架构分为操作层、控制层、现场层,这种架构便是不考虑IT网络的情况下。
操作层:SCADA、工程师站、操作站等。
控制层:HMI、控制器(PLC)、工控机
现场层:执行设备、IED ??直接参与或负责特定的某一功能。 ??
