工業(yè)網絡信息安全轉向硬件解決方案

摘要：隨著IT技術快速進入工業(yè)自動化系統(tǒng)的各個層面，工業(yè)網絡信息安全日益顯得十分重要。本文論述辦公網絡與工業(yè)網絡信息安全的主要區(qū)別，較深入分析工業(yè)網絡安全的主要威脅，較全面論述工業(yè)網絡信息安全中涉及的主要技術和解決方案。由于工業(yè)網絡安全有更高要求，所以工業(yè)網絡開始采用分層、分布式縱深防御體系結構，并轉向基于工業(yè)防火墻/VPN技術相結合的硬件解決方案。本文對硬件解決方案進行了較詳細闡述，同時全面論述了工業(yè)網絡安全領域的領導企業(yè)菲尼克斯電氣公司提出的工業(yè)網絡三重解決方案及其FL MGUARD工業(yè)網絡安全系統(tǒng)。

關鍵詞： 工業(yè)網絡  信息安全   黑客攻擊   縱深防御  體系結構    硬件解決方案

Abstract:     With the spread of industrial Ethernet infrastructures,
network Security is a hot topic for automation technology. This article has analysed the main threats of industrial network Security. The key differences between office and factory Systems and networks is expounded. More detailed explanation of the Specific reguirements for the automation network are given. The hardware Security Solutions based on firewalls and encryption(VPN) for industrial application is introduced Comprehensively. The Phoenix Contact Company is a leading Supplier of Components and Solutions for Secured Communication in industrial network. It has developed a three-stage Security Concept and Security appliance FL MGUARD System for industrial automation.

Keywords:   Industrial Network   Security   Hacking   Defence-in-depth Architecture     Hardware Solution 

1.  概述：
        在上世紀90年代中期之前，由于Internet 技術尚未成熟，當時的IT技術不能完全滿足工業(yè)自動化的實時性和環(huán)境適應性等要求，于是各家公司都利用自己掌握的計算機技術開發(fā)具有專有權操作系統(tǒng)的工業(yè)自動化裝置、專有權協(xié)議的網絡及其自動化系統(tǒng)。由于具有較強的專用權，這些系統(tǒng)受外來影響較小。工業(yè)自動化系統(tǒng)較為封閉，其信息安全問題未受到重視。
        最近幾年，這種情況發(fā)生了急劇變化，傳統(tǒng)自動化技術與IT技術加速了融合的進程，工業(yè)自動化系統(tǒng)已廣泛采用微軟Windows操作系統(tǒng)和TCP/IP標準網絡協(xié)議，工業(yè)實時以太網已經被工業(yè)自動化領域廣泛接受，IT技術快速進入工業(yè)自動化系統(tǒng)的各個層面，改變了自動化系統(tǒng)長期以來不能與IT技術同步增長的局面。工廠企業(yè)的信息化，可以實現(xiàn)智能工廠中從管理層、控制層直至現(xiàn)場層的信息無縫集成，使得過程控制系統(tǒng)（PCS）與制造執(zhí)行系統(tǒng)（MES），以及企業(yè)管理信息系統(tǒng)（ERP）有機地融為一體，并能通過Internet網完成遠程維護與監(jiān)控。這種不可阻擋的發(fā)展趨勢隨之也帶來了工業(yè)網絡的安全問題，如何保證工業(yè)網絡的機密性、完整性和可用性成為工業(yè)自動化系統(tǒng)必須考慮的一個重要問題。
        在過去的一、兩年中，工業(yè)網絡的信息安全經歷了迅猛的發(fā)展。2008年1月，黑客攻擊了美國的電力設施，造成多個城市大面積停電，損失很大。近幾年，美國公開報道的由于黑客攻擊造成巨大損失的事件多達30起。據說，由于各種原因還有很多起事件受害的公司不準報道，保守秘密。而且，黑客攻擊在逐年增加。在這種情況下，進入2009年，美國發(fā)電廠和大型電力企業(yè)對網絡安全的重視程度也邁上了一個新的臺階。NERC （北美電力保障組織）制定了對大型電力系統(tǒng)組織有著深遠影響的網絡安全標準CIP(關鍵基礎設施保護）條例, CIP標準條例監(jiān)管機構對這些企業(yè)下達強制命令：每個發(fā)電、傳輸和配送部門，不論是否屬于關鍵資產部門，都必須履行這些條例。電力供應和輸配電部門必須采取明確的安全防范措施，以確保持續(xù)供電。不符合該標準的情況一經發(fā)現(xiàn)，可能被處以高達每天100萬美元的罰款。許多行業(yè)外人士（包括化工、煉油、冶金等）也正在密切關注電力行業(yè)的動態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)，而且是越早越好。由于該標準被界定為一套大型關鍵基礎設施保護標準，其他用到SCADA和DCS的領域也正在對它進行審核。由此可見，工業(yè)網絡的信息安全已成為工業(yè)自動化領域新的關注熱點。

2.  工業(yè)網絡信息安全威脅分析：
        工業(yè)網絡信息安全的潛在威脅主要來自黑客攻擊、數據操縱（Data manipulation）、間諜（Espionage）、病毒、蠕蟲和特洛伊木馬等。
黑客攻擊是通過攻擊自動化系統(tǒng)的要害或弱點，使得工業(yè)網絡信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內部的攻擊。
       ?來自外部的攻擊包括非授權訪問是指一個非授權用戶的入侵；拒絕服務（DOS）攻擊，即黑客想辦法讓目標設備停止提供服務或資源訪問。這樣一來，一個設備不能執(zhí)行它的正常功能，或它的動作妨礙了別的設備執(zhí)行它們的正常功能，從而導致系統(tǒng)癱瘓，停止運行。
       ?來自內部的安全威脅，主要是由于自動化系統(tǒng)技術人員的技術水平的局限性以及經驗的不足，可能會出現(xiàn)各種意想不到的操作失誤，勢必對系統(tǒng)或信息安全產生較大的影響。
 

圖1  黑客攻擊工業(yè)網絡

[DividePage:NextPage]

3、 辦公網絡和工業(yè)自動化網絡之間主要差別：
        眾所周知，用于工業(yè)自動化系統(tǒng)的網絡通信技術來源于IT信息技術的辦公自動化網絡技術，但是又不同于辦公環(huán)境使用的計算機網絡技術，這是因為辦公網絡通信是以傳遞信息為最終目的，而工業(yè)網絡傳遞信息是以引起物質或能量的轉移為最終目標。眾所周知，在辦公應用環(huán)境，計算機病毒和蠕蟲往往會導致公司網絡故障，因而辦公網絡的信息安全越來越受到重視，通常采用殺毒軟件和防火墻等軟件方案解決安全問題。在工業(yè)應用環(huán)境，惡意軟件的入侵，將會造成生產線停頓，導致嚴重后果。因而，工業(yè)網絡安全有更高要求，辦公應用的信息安全解決方案已不能滿足這些需要。辦公網絡與工業(yè)網絡主要的差別在于：

表1  在辦公室和工業(yè)環(huán)境中IT安全解決方案的要求

4． 工業(yè)網絡信息安全轉向硬件解決方案：
（1） 網絡安全軟件解決方案：
        早期，工業(yè)自動化系統(tǒng)曾采用辦公環(huán)境使用的網絡安全軟件解決方案。軟件主要包括殺毒程序，將它們通常安裝在基于Windows的控制器、機器人或工業(yè)PC上。但是，由于在工廠大多是多種多樣設備混合使用，有可能它們之間會產生相反作用，從而影響被保護的系統(tǒng)。例如，美國的一家過程自動化工廠在一臺工業(yè)PC上安裝了殺毒程序，該殺毒軟件妨礙了一個重要鍋爐系統(tǒng)的緊急停機，導致了嚴重后果。另一個例子是某制造工廠在多臺工業(yè)PC上裝了殺毒程序，由于多個殺毒軟件執(zhí)行時進程之間可能會發(fā)生沖突，使得工廠的流水線不能啟動，造成巨大損失。
(2) 工業(yè)網絡安全硬件解決方案：
        為了確保工業(yè)自動化系統(tǒng)的信息安全，工業(yè)網絡目前都轉向采用基于硬件的防火墻和VPN技術。
        硬件防火墻主要是在優(yōu)化過的Intel架構的專業(yè)工業(yè)控制計算機硬件平臺上，集成防火墻軟件形成的產品。硬件防火墻具有高速、高安全性、高穩(wěn)定性等優(yōu)點。硬件平臺一般均采用幾百兆甚至上千兆的高速CPU芯片，以多芯片模式工作，個別甚至采用了ASIC芯片來提高系統(tǒng)的處理能力；硬件平臺的操作系統(tǒng)一般針對安全需要做了最小化優(yōu)化，并且結合防火墻這一唯一的功能環(huán)境要求在采集數據包的底層驅動上也做了優(yōu)化。在存儲方面，采用Flash存儲使系統(tǒng)的關鍵數據存儲相對傳統(tǒng)技術在讀寫速度和穩(wěn)定性上都有很大提高。另外，加固的設備外殼、標準的設計尺寸以及優(yōu)化的電源使硬件防火墻更適用于大型工業(yè)生產環(huán)境。防火墻主要采用簡單包過濾、代理服務和狀態(tài)檢測（Stateful Inspection）三種安全控制技術來控制網絡中流量的輸入和輸出。狀態(tài)檢測技術是包過濾、代理服務技術相結合的產物，兼具系統(tǒng)處理速度快、安全性高的特點，是當前硬件防火墻中比較廣泛應用的主流安全控制技術。防火墻的工作模式主要涉及防火墻的安全分區(qū)，組網方式，對VPN加密隧道的支持，業(yè)務流控制，虛擬子系統(tǒng)設置，以及為提高系統(tǒng)可靠性采取的雙機倒換保護等內容。在組網方面，硬件防火墻的接口可以工作在透明橋接、路由和NAT三種模式下，路由模式是防火墻普通使用的接口模式。
        VPN（Virtual Private Network）是一種在公用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)的專網所需的端到端的物理鏈路，而是架構在公用網絡平臺（如Internet等）之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。這種邏輯路徑也被稱為隧道（Tunnel）。VPN的主要功能是通過隧道或虛電路實現(xiàn)網絡互聯(lián)；數據加密以及信息認證、身份認證；能夠進行訪問控制、網絡監(jiān)控和故障診斷。VPN可以幫助遠程用戶、工廠企業(yè)分支機構、以及供應商等和工廠企業(yè)內部網絡建立可信的安全連接，并保證數據的安全傳輸。對于工業(yè)自動化系統(tǒng)而言，為了能夠保證數據不被竊聽，VPN在站點之間建立了一個虛擬通道，數據在這個隧道中傳送。這樣的機制意味著每個地方所使用的網絡協(xié)議是無關的。為了保證因特網上的數據傳輸的安全，在發(fā)送之前對數據進行加密，接收者對數據進行解密。在隧道的兩端可以連接單個站點或完整的局域網。連接的端點是特殊的VPN網關。為了防止對數據通信的監(jiān)聽或操縱，這些VPN網關使用所謂的隧道協(xié)議在協(xié)議層對所要傳輸的數據進行加密。
        VPN網關與防火墻一樣是一類比較成熟的網絡安全產品。對于工廠企業(yè)自動化系統(tǒng)而言，只有把兩種安全產品配合起來使用才能實現(xiàn)一個較完整的安全解決方案。在這方面，有兩種做法：一種是VPN網關作為一個獨立設備與防火墻配合使用；另一種方案是在防火墻內集成VPN網關。后者具備如下優(yōu)點：可以保護VPN網關免受DOS攻擊；對VPN加密隧道承載的數據可以施加安全控制；可以簡化組網路由，提高效率；可以共享用戶認證信息；以及有利于統(tǒng)一日志和網絡管理。
        硬件防火墻系統(tǒng)性能在不斷提升，除了可以滿足高帶寬接口環(huán)境的要求之外，也為采用多個較小型防火墻的網絡環(huán)境提供了防火墻設備集成的可能，從而能夠實現(xiàn)小型分布式信息安全系統(tǒng)的架構。

[DividePage:NextPage]

5． 菲尼克斯電氣公司三重安全解決方案：
        為了提高基于工業(yè)以太網的工業(yè)通信網絡的信息安全性，菲尼克斯電氣公司開發(fā)了一種新的安全概念，該概念使用三個層面（three-stage）安全步驟以滿足工業(yè)自動化系統(tǒng)的需要，同時考慮了逐漸增加的網絡安全要求。三個層面安全措施如下：
        ?用簡單的機械保護方法實現(xiàn)訪問鎖定；
        ?具備IEEE綜合安全功能的管理交換機；
        ?具有防火墻和路由器功能的工業(yè)安全組件。
        在這里，第三個層面防護措施采用帶有小型分布式安全系統(tǒng)的縱深防御體系架構，如圖2所示。工廠企業(yè)防火墻用于保護整個企業(yè)防御Internet的安全威脅；管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護整個控制系統(tǒng)；分布式安全組件則用于保護諸如PLC或DCS等關鍵設備。菲尼克斯電氣公司采用Innominate技術研發(fā)的FL MGUARD安全組件可以使用在這種分布式架構中，它們保護部分系統(tǒng)網絡、每一個生產單元或一個單獨的自動化設備。
 

圖2 工業(yè)網絡安全分布式縱深防御體系結構

        FL  MGUARD平臺是一個獨立的系統(tǒng)，該平臺可以直接集成到連接至工業(yè)網絡的工業(yè)計算機，若有需要，也可以PCI卡的型式完成集成，如圖3所示。FL MGUARD組件基于硬件的安全協(xié)議的實現(xiàn)既不需要修改計算機的配置，也不需要定期進行軟件升級。相對于被保護系統(tǒng)所使用的處理機和操作系統(tǒng)，它是完全獨立的系統(tǒng)。絕不會對系統(tǒng)產生負面影響。

圖3  FL MGUARD工業(yè)網絡信息安全安全組件

        由于菲尼克斯電氣公司采用的分布式安全系統(tǒng)架構是為每個工業(yè)系統(tǒng)的中央計算機、控制計算機或生產機器人分配一個其自身的安全組件，因而它具有獨立的安全等級，并特地配置了訪問權和其它方面的中央管理功能。
        FL MGUARD安全組件使用被其保護的計算機相同的IP地址，因而它不會被入侵者識別，使它很難被發(fā)現(xiàn)，從而避免了隨之而來的攻擊。同時，MGUARD配置了基于Kaspersky Lab技術的病毒掃描器，用于監(jiān)視數據源以識別協(xié)議中的病毒（如HTTP、SMTP和FTP）。使得工業(yè)自動化系統(tǒng)能夠全面防御DOS、DDOS以及網絡病毒的攻擊。
        配備ME45外殼的 FL  MGUARD 組件可安裝在DIN導軌上，并實現(xiàn)工業(yè)防火墻、路由器和VPN三合一集成。集成安全解決方案的基礎是運行在硬件實現(xiàn)的網絡處理器上的嵌入式Linux OS內核程序，Intel芯片能夠實現(xiàn)基于硬件的DES、3DES和AES加密，并能保證以VPN連接方式穿越防火墻的流通量高達99Mbps或70Mbps。
        FL MGUARD安全組件主要功能如下：
       ?可配置的防火墻保護系統(tǒng)防御來自外部的未授權訪問。包過濾器過濾基于源和目的地址的數據包，并且阻止來自內部的不希望的通信；
       ?基于硬件編碼，極高的數據吞吐量；
       ?可支持10個VPN通道，VPN通道創(chuàng)建前設定釋放按鈕（硬件或軟件）；
       ?支持Zone Defence 聯(lián)動預警機制；
       ?內建入侵防御系統(tǒng)，并可自動更新入侵特征數據庫；
       ?內建內容過濾功能，可過濾WEB郵件等；
       ?支持用戶認證。通過ICSA Firewall，ICSA IP Sec等國際認證。
        FL MGUARD系列產品中的MGUARD RS 安全組件支持通過Internet網進行的安全遠程服務和維護，包括遠程診斷、遠程組態(tài)和遙控服務。遠程網絡應覆蓋模擬、撥號、ISDN、數字用戶線路電纜技術。為了滿足各種需求，F(xiàn)L MGUARD RS提供五種類型的組件，它們是：
        —— 路由器 — FL MGUARD RS-B；
        —— 安全組件 — FL MGUARD RS；
        —— 支持VPN功能的安全組件 — FL MGUARD RS VPN；
        —— 支持VPN和嵌入式模擬調制器的安全組件 — FL MGUARD RS VPN ANALOG；
        —— 支持VPN和嵌入式ISDN調制器（ISDN端子適配器）的安全組件 — FL MGUARD RS VPN ISDN。
       FL MGUARD RS系列組件提供狀態(tài)檢測防火墻保護、網絡路由和NAT地址變換、同時支持IT網絡協(xié)議（諸如DHCP、DNS、QOS和VLAN等）的主機系統(tǒng)。VPN虛擬專用網性能支持IPsec、L2TP和PPTP連接；X.509數字證書和PSK身份認證技術；以及DES、3DES和AES加密技術。安全組件集成的模擬調制器或ISDN調制器是可供選擇的。菲尼克斯公司安全組件使用的VPN技術涉及通信技術的隧道技術、密碼技術和現(xiàn)代認證技術。這些技術和協(xié)議包括：
       ?PPTP點到點隧道協(xié)議：
        PPTP協(xié)議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態(tài)查詢；數據包部分先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中。
       ?L2TP第二層隧道協(xié)議：
        L2TP是國際標準隧道協(xié)議，能以隧道方式使PPP包通過各種網絡協(xié)議，包括ATM、SONET和幀中繼。
       ?IPsec協(xié)議：
        IPsec協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議，工作在OSI模型中的第三層網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。在隧道模式下，IPsec把IPv4數據包封裝在安全的IP幀中。
       ? X.509數字證書：
        基于X.509數字證書實現(xiàn)身份證是一種“基于非對稱加密模型”的典型認證機制，具有較高安全性，它依賴于共同信任的第三方CA認證機構實現(xiàn)認證。數字證書遵循X.509標準所規(guī)定的格式。
       ?DES數據加密標準：
        DES數據加密標準是美國1997年公布實施的分組密碼體制。它是一種對二元數據進行加密的方法。為了提高DES的抗攻擊性，可以使用DES的兩種變形，即雙重DES和三重DES（3DES）。它們兩次或三次執(zhí)行DES算法，從而使安全性大大提高。

       ?AES高級數據加密標準算法：
        AES算法是1997年美國國家標準和技術研究所（NIST）制定的加密標準算法。AES算法比3DES快，且更安全密鑰長度最大為256bit。
由此可見，F(xiàn)L MGUARD網絡安全產品系列能夠全面提供路由器、防火墻、VPN、QoS和入侵檢測等支持功能，完成工業(yè)自動化系統(tǒng)的信息安全保護，并能通過Internet實現(xiàn)工廠安全的遠程診斷和遠程維護。2008年，菲尼克斯電氣公司敏銳的觀察到隨著黑客攻擊的增加，工業(yè)網絡信息安全顯得越來越重要，于是果斷地收購了工業(yè)網絡信息安全的領袖企業(yè)德國Innominate 公司，從而使菲尼克斯電氣公司成為工業(yè)網絡受控與安全通信解決方案及其產品的領導供應商。

作者：上海工業(yè)自動化儀表研究院 繆學勤

參考文獻
1. Olaf Siemens.  Hardware route to virus protection for automation nets. The Industrial Ethernet Book, November 2005.
2. Peter Welander. Cyber security hits home. Control Engineering , Jan. 2009.
3. Torsten Rssel. 車間里的建議：工業(yè)以太網需要更加安全. 制造業(yè)信息管理, 2008，12.
4. Frank Ogden. Security hardware for industrial networking. The Industrial Ethernet Book, May 2008.
5. Phoenix Contact GmbH & Co. Realtime Ethernet Standard PROFINET，2008.
6. Phoenicx Contact GmbH & Co. User Manual for FL MGUARD RS，Hardware and Software,01/2009.
7. Eric Byres, Lan Verhappen. Defence-in-depth now takes in fieldbus Levels. The Industrial Ethernet Book，April 2007.
8. Innominate Security Technology AG.. IT Security in Production, Security for Industrial Ethernet Networks Based on Accepted Standards, June 2008.

（轉載）