军⼯企业⼯控⽹与涉密⽹安全组⽹解决⽅案
我国正在从制造⼤国向制造强国转变,制造业信息化是重中之重。随着中国“互联⽹+”、⼯业⼤数据乃⾄“中国制造2025”与两化深度融合的逐步推进,我国将制造业信息化归结为五个数字化:设计数字化、制造装备数字化、⽣产过程数字化、管理数字化和企业数字化。 通过企业实施DNC/DCS/SCADA系统实现⼯业设备的互联互通,实现对⼯业智能化装备的集中化监测与控制,采集智能化设备的运⾏数据、加⼯参数、程序的传输,实现对所有设备⼯艺参数管理、运⾏状态可视化、报警提⽰与处理等。由于DNC/DCS/SCADA系统与企业管理系统如MES/ERP/PLM需要进⾏数据集成,设备⼯业⽹络与办公⽹络间存在⼤量的信息交换,因此进⾏⼯业局域⽹与办公⽹络互联是企业的必然选择。
2.⼯业设备的安全风险分析
制造型企业联⽹的⼯业设备类型包含下列2种类型:
2.1.数控设备
数控车、数控磨、加⼯中⼼、数控线切割机床、数控电⽕花等具有数控控制系统的设备。但是在国内中⾼端CNC市场中,数控系统主要由Fanuc、Siemens、Heidenhain、Mazak、Haas等系统组成。
2.2.上位机控制类设备
三坐标、分析仪器、光谱仪等、探伤设备、检测设备、测试设备、带上位的⼯业控制设备等将数据⽂件存储在上位机的设备。
2.3.关于⼯控设备联⽹后的风险
以上这两种类型设备,绝⼤部分控制系统底层均是基于Windows系统,且主要由Windindows NT、Windows XP、Windows7组成。因为控制系统多为⼯控及
简化系统,所以军⼯企业通常采⽤的计算机安全管理措施如打补丁、安装杀毒软件、域管理、使⽤PKI 钥匙等⼿段都⽆法在使⽤。如果企业没有良好的信息⽹络安全管理机制,就可能通过⽹络内电脑、U 盘等传⼊病毒、蠕⾍、⽊马程序等导致⼯业设备中病毒。部分企业设备联⽹后出现过因病毒、蠕⾍等使⼯业设备宕机重启导致加⼯产品质量事故、⼯业控制系统因中病毒导致系统重装、甚⾄因⽊马程序导致企业信息泄密等给企业带来巨⼤的经济损失。
当前⼯业控制⽹络攻击⼿段呈现攻击⽅式多样、传输⼿段隐蔽等特点,传统的基于端⼝、IP 设置规则进⾏过滤的防护⼿段逐渐失效,因此⼯控⽹络在设计时就需要对信息安全防护的考虑和规划,保证⼯控⽹络的安全性。
震⽹病毒Duqu 病毒Flame 病毒Havex 病毒2010年
2011年2012年2014年4.⼯控⽹与涉密⽹安全组⽹解决⽅案
2017年12⽉12⽇,⼯信部印发《⼯业控制系统信息安全⾏动计划(2018-2020◆Stuxnet 蠕⾍的
攻击⽬标直指西门⼦公司的
SIMATICWinCC 系
统◆主要是针对PLC
这种⼯⼚控制终端,其涉及到的
协议是Modbus、
Profibus 等偏向
底层协议。◆Duqu 是⼀种远程访问的⽊马,它有⼀个简单的后门可以为攻击者在受害者机器上提供⼀个长久的驻⾜点。◆主要被⽤来收集与其攻击⽬标有关的各种情报。◆结构复杂,⽬前没有杀毒软件实现对该病毒完美拦截◆2012年4⽉伊朗⽯油部和伊朗国家⽯油公司遭到了恶意软件攻击,该软件能够盗取和删除相关信息。◆通过对ICS/SCADA 软件安装包中植⼊⽊马实现对⼯控系统的⼊侵◆利⽤OPC(开放平台通信)标准来收集⽹络和联⽹设备的信息。
年)》,旨在加快我国⼯业控制系统信息安全保障体系建设,提升⼯业企业⼯业控制系统信息安全防护能⼒,促进⼯业信息安全产业发展。因此,⼯业设备联⽹后,如何保证⼯控⽹与办公⽹络的安全性是企业⾯临的重要课题。
碳纤维尾翼
⽬前企业设备联⽹,⽹络拓扑结构主要为以下四种类型,分别为防⽕墙隔离、⽹络物理隔离、单向⽹闸内外⽹隔离⽅式、单项⽹闸+设备防护终端。 4.1.⽅式1:内外⽹防⽕墙隔离
4.1.1.关于防⽕墙隔离介绍
中波塔⼤部分企业实施⽹络建设时,采⽤防⽕墙来隔离办公⽹与⼯控⽹。通过防⽕墙的安全策略和VLAN划
分来防御办公⽹本⾝的⼀些安全威胁,还要防范⼯控⽹络各种各样的安全威胁,如DDOS攻击,地址欺骗攻击,⽊马,病毒,间谍软件,⼝令攻击等,⽹络拓扑图见下图1。
图1防⽕墙隔离⽹络拓扑图
4.1.2.防⽕墙安全规则
安全规则集是安全策略的技术实现,⼀个可靠、⾼效的安全规则集是实现⼀个成功、安全的防⽕墙的⾮常关键的⼀步。当规划⼀个企业办公⽹与⼯控⽹的⽹络时候,我们可以明确各个⽹络之间的访问关系,可以确定以下访问控制策略。1)办公⽹可以访问⼯控⽹
办公⽹的⽤户显然需要⾃由地访问⼯控⽹。在这⼀策略中,防⽕墙需要进⾏源地址转换。
2)办公⽹可以访问服务器
此策略是为了⽅便办公⽹⽤户使⽤和管理的服务器。
3)⼯控⽹不能访问办公⽹
办公⽹中存放的是公司内部数据,这些数据不允许⼯控⽹的⽤户进⾏访问。4)⼯控可以访问⼯控服务器
服务器本⾝就是要给外界提供服务的,所以⼯控⽹必须可以访问⼯控服务器。同时,⼯控⽹访问⼯控服务器需要由防⽕墙完成对外地址到服务器实际地址的转换。
5)⼯控服务器不能访问办公⽹
如果违背此策略,则当⼊侵者攻陷⼯控服务器时,就可以进⼀步进攻到办公⽹的重要数据。
6)地址转换
服务器与办公⽹区、⼯控⽹区的通信是经过⽹络地址转换(NAT)实现的。⽹络地址转换⽤于将⼀个地址域(如专⽤Intranet)映射到另⼀个地址域(如Internet),以达到隐藏专⽤⽹络的⽬的。服务器对办公服务时映射成内⽹地址,对⼯控服务时映射成外⽹地址。采⽤静态映射配置⽹络地址转换时,服务⽤IP 和真实IP要⼀⼀映射,源地址转换和⽬的地址转换都必须要有。
7)配置访问规则
根据数据包的地址、协议和端⼝进⾏访问控制。它将每个连接作为⼀个数据流,通过规则表与连接表共同配合,对⽹络连接和会话的当前状态进⾏分析和监控。其⽤于过滤和监控的IP包信息主要有:源IP地址、⽬的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端⼝、⽬的TCP/UDP端⼝、ICMP报⽂类
风速辅助型域和代码域、碎⽚包和其他标志位(如SYN、ACK位)等。
crpd-3664.2.⽅式2:内外⽹物理隔离
4.2.1.关于内外⽹物理隔离介绍
对于军⼯企业对保密要求严格的企业,⼤部分采⽤办公涉密⽹与⼯控⽹物理隔离⽅式,数据交换采⽤光盘摆渡⽅式。
系统需要2台服务器,1台部署于办公涉密⽹,1台部署于⼯控⽹。在摆渡机电脑上,摆渡数据通过审计后,利⽤光盘刻录数据⽅式进⾏办公⽹和⾮密⽹的数据交互,⽹络拓扑图见下图2。
图2光盘摆渡数据⽹络拓扑图
4.2.2.光盘摆渡机
⽬前采⽤光盘摆渡数据主要有2种⽅式:
1)⽅式1:⼈⼯刻录光盘摆渡数据
通过⼈⼯定时将办公⽹与⼯控⽹交互数据,通过光盘刻录数据⽅式进⾏数据交互,见下图3。
图3光盘刻录摆渡⽰意图
2)⽅式2:⾃动光盘数据摆渡机
⾃动光盘数据摆渡机带有全⾃动机械⼿臂的光盘刻录系统,利⽤光盘进⾏数据的输⼊和输出,实现物理隔离的内⽹和外⽹间数据的单向传输,避免⿊客、病毒等⽹络攻击给内⽹数据带来的安全威胁。
相⽐⼈⼯刻录光盘摆渡⽅式,解决了⼈⼯刻录光盘交换效率低,⼈⼯⼲预因素较多,数据交换过程中没有审计、⽇志记录,同时受时间等诸多⽅⾯的限制,⽹络拓扑图见下图4。
图4⾃动光盘摆渡机⽰意图
4.3.⽅式3:单向⽹闸内外⽹隔离
4.3.1.关于单向⽹闸内外⽹隔离
单项⽹闸⼜称安全隔离与信息交换系统,由内、外⽹独⽴处理单元和安全数据交换单元组成。安全数据交换单元在内外⽹主机间按照指定的周期进⾏安全数据的摆渡,从⾯保证外⽹隔离的情况下,实现可靠,⾼效的安全数据交换,⾯所有的这些复杂的操作均是由隔离系统⾃动完成,⽤户只需依据⾃⾝的业务特点定制合适的安全策略即可实现内外⽹络进⾏安全数据通信,在保障⽤户信息系统安全性的同时,最⼤限度保证客户应⽤的⽅便性。
要实现⼯控⽹与涉密⽹数据的互通和不同功能⽹络区域之间的资源共享和信息化⽹络管理功能,可采⽤单向安全⽹闸进⾏内、外安全物理隔离⽅式的安全⽅案。这种⽅式已经在军⼯部分企业进⾏了试点,并取得了较好的成绩。⽹络拓扑图见下图5。
图5单项⽹闸⽹络拓扑图
4.3.2.单向⽹闸内外⽹隔离的安全优点
采⽤⽹闸隔离,实现OSI七层隔离,涉密内⽹与⼯控⽹实现物理隔离,内、外⽹络之间的数据传递由安全数据单元摆渡交互传输。
采⽤⽹闸隔离互联,数据库服务器与⼯业通讯服务器之间的数据交换全部都通过同步软件完成,消除了涉密内⽹与⼯控⽹之间原有的多协议,
多端⼝,多格式类型⽂件的数据交互⽅式,⼤⼤提⾼数据传输交互的安
全性。
专⽤安全操作系统SUOS剥离TCP/IP协议栈,摒弃所有不安全因素。⽹闸集成⾼精度⽹络访问控制以及先进的防病毒,⼊侵检测安全技术,可
以对内、外⽹交互数据内容进⾏杀毒过滤,⼊侵检测,过滤关键字,确
保只有符合保密、安全策略的数据、⽂件才允许被交换⾄另⼀端。
对等网线
系统以⽩名单机制运⾏,仅许可正常的、⽤户许可的⽹络应⽤,防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎,
如⼊侵检测等,可检测60000多种病毒和4000多种⽹络⼊侵。双重安
全机制最⼤程度上实现了风险隔离。
系统采⽤模块化的应⽤解码,内外⽹单元分别独⽴完成与客户会话交互、提取安全数据等待数据交换,所以内外⽹之间不能建⽴直接的应⽤会话。
4.4.⽅式4:单项⽹闸+设备防护终端
4.4.1.关于“单项⽹闸+设备防护终端”解决⽅案
此⽅案在单向⽹闸内外⽹隔离基础上,在每台设备增加“信息安全防护设备”对设备进⾏保护。解决因为⽹络病毒、蠕⾍、⽹络攻击等造成对⼯业设备的损害。
设备防护终端是通过对设备系统接⼝(RJ45、RS232、USB)等接⼝的全⾯监控和接管,有效保护数控系统的通信数据安全,阻⽌异常数据流⼊数控系统,并阻断利⽤数控系统进⾏的⼀切⽹络攻击和⾮法数据窃取⾏为,保证数控系统与数控加⼯⽹络的正常安全运转,⽹络拓扑图见下图6。
图6单项⽹闸+信息安全防护设备⽹络拓扑图
主要功能包括:
1)⾼适应性:⾯向DCS、SCADA、PLC等⼯业控制系统结构,在IPv4/IPv6⽹络环境下,⽀持对Focas、OPC、OPC UA、Modbus、Profibus等多种主流⼯业协议的检查、过滤、交换、阻断功能,实现对终端⼯业协议数据的保护,防⽌重要信息被窃取,防⽌上层设备被恶意代码操控⽽下发⾮法操作命令。
2)⽂件类型和内容过滤:根据⽂件特征码,限制⽂件传输类型;
3)接⼊连接、传输⽂件记录:记录连接⼯业控制系统终端的机器名称、IP 地址、MAC地址,记录⽂件传输源⽬的地址、端⼝、时间戳、⽂件属性。
4.4.2.⽅案优点
此⽅案通过单向⽹闸内外⽹隔离既有效解决了⼯控⽹与涉密⽹数据安全交互的问题,⼜通过信息安全防护设备对⼯业设备系统接⼝的全⾯监控和接管,有
效保护系统的通信数据安全,阻⽌异常数据流⼊⼯控系统,并阻断利⽤⼯控系统热流道热电偶
进⾏的⼀切⽹络攻击和⾮法数据窃取⾏为,保证数控系统与数控加⼯⽹络的正常安全运转。但是⽬前,信息安全防护设备产品并未完全成熟,仅只有少部分公司能提供此产品。
以上四种⽅式对⼯控⽹和办公⽹进⾏隔离,都各有优缺点,需要企业根据⾃⾝的情况决定。
