1工控生产网安全需求
工控生产网络包括数据的采集,传输,分析计算等各个环节。以油气生产物联网系统为例,其部署于作业区内的生产网可看成一个SCADA系统,SCADA系统用来控制地理上分散的高度分布式系统,往往分散数千平方公里,其中集中的数据采集和控制是系统运行的关键。SCADA系统通过一个集中的位置通过长距离通信传输从远程现场控制站点收集数据,并向其发出指令,从而实现油井生产的监视和控制。在这个过程中,各个环节都可能存在安全隐患,需要采取适宜的安全措施,综合上面的安全威胁,重点要考虑如下几个方面:(1)通信系统安全工控生产网络因为环境的原因,常使用无线传输方式,因此建议应专用网络,使用专用协议,达到通讯可控,能够直观观察、监控,管理通信。(2)网络安全对于工控系统网络,工作比较单一,自身不会常遭病毒、攻击。所有的攻击来源于外部网络环境,因此要系统的安全稳定、可靠运行要设定安全的防护边界,通过部署安全设备,与外部信息办公网络隔离,为控制系统创造一个相对独立、安全的网络环境。(3)应用安全对于工控信息系统,应用层所面对的数据都是经过分析,整合后的最终结果,是系统中最为核心的内容,因此在做好网络及通信链路安全的基础上,对于系统的登录,访问,数据的保密性完整性的保护都是工控信息系统应用安全需要重点考虑的问题。对于应用安全的防护主要基于以下几方面考虑:(1)强身份认证;(2)访问控制及用户鉴权;(3)信息保密性和完整性;(4)抗抵赖和防篡改;(5)安全审计。
2工控生产网安全设计
2.1工控生产网络和信息办公网之间带DMZ(隔离区)的防火墙策略部署
工控生产网络作为相对独立封闭的网络,为防护外界信息网络对内部的安全入侵,可通过物理设备分置,使工控生产网络与信息办公网在逻辑上得以分割。基于防火墙的解决方案,适用对于办公网和控制网的隔离。通过正确的部署,能够明显地降低外部攻击的成功率。但这种简单分为两个区域的设计存在明显的问题,由于信息办公网中存在对数据应用需求,防火墙需要授权这部分数据与控制网络中的控制设备通信,则恶意不正确配置的主机发送的数据包将会被转发到各别数据控制终端上。因此建议最安全,可行的网络隔离方案是配置至少三块区域,其中至少有一块DMZ区域,如图2。在办公网和控制生产网络之间建立隔离区的防火墙是一个显著地提高。每个隔离区隔离出一个或多个重要组成部分,比如数据库,无线网络接入点或者远程、第三方接入系统,构建了一个中间网络。为了构建隔离区,除了传统的公共和私有接口外,防火墙至少需要提供3个接口。一个接口连接办公网,一个接口连接控制网,剩余的接口则连接DMZ中那些共享的不安全的设备,比如数据库服务器,无线网络接入点。由于把那些存在一定数据交互的部分部署在隔离区,办公网和工控生产网之间不再直接通信,转而都以隔离区为通信目标。大多数防火墙允许存在多个隔离区,并规定隔离区之间通信的规则。无论是办公网输出还是控制网输入数据包都可以被防火墙丢弃,另外防火墙还能够协调包括控制网络在内的链路。通过制定良好的规则,在控制网络与其他网络间明确细分的措施,确保了办公网和控制网络间几乎没用直接的通信,保证了工控生产网的网络安全。
2.2工控生产网内用户身份认证
身份认证是系统应用最为基本的安全需求。经常采用的用户名/口令方式已经被证明为弱认证方式,存在明显的安全隐患,非法分子可利用简单的黑客工具窃取登录者的用户名和口令,假冒合法身份进入系统。因此工控系统也需要完善的身份认证体系,实现强身份认证机制,保障系统安全可靠。大多情况下,办公网内存在强认证方式的身份认证系统,工控生产网内的身份认证框架以此为基础进行扩展。但因为工控生产网与办公网络相互隔离,因此不能继承应用办公网中统一的身份认证系统,需要考虑在生产网内部部署身份认证网关,其认证框架见图3。生产网用户访问工控应用系统逻辑流程如下:(1)工控生产网络与外网隔离,因此管理员通过离线为用户提供证书及USB-KEY。(2)用户登录工控生产网络监控平台,应用系统向身份认证网关转发登录请求。(3)身份认证网关提示用户插入USB-KEY。(4)用户插入USB-KEY,并输入PIN码,提供登录验证请求。(5)身份认证网关进行证书验证,验证成功后,用户成功登录工控生产网络监控平台。通过在工控生产网内部署身份认证网关的方式一方面解决了不能沿用办公网身份认证系统的问题,一方面为工控生产网提供统一的身份认证平台,对用户统一进行管理,实现访问控制和用户鉴权。
2.3工控网生产网数字签名系统设计
在用户登录到系统后,其所做的任何操作都需要承担相应责任,既不允许出错,也不允许抵赖。尤其是工业控制指令的下发,一方面需要确保控制指令在传输过程中不会被篡改,确保被篡改的指令不被执行;另一方面需要确保,一旦出现问题或者工作事故,能够提供责任认定机制,责任到人。以油田的工控生产网为例,在其作业区的SCADA系统,工控器到油井之间的指令传输需要通过长距离无线传输到RTU,再通过RTU的短距离无线传输将指令发送到井口,在工控器到RTU远距离无限传输过程中,应当确保数据在传输过程中不会被破坏和篡改,此外,也应当对控制指令的下发内容进行记录和审计以保障在后期追踪时能够做到查有所依,提高抗抵赖性。因此,在作业区SCADA系统中引入数字签名系统,作为SCADA系统的安全支撑。如上图所示,设计生产网SCADA系统用户的登录和使用业务系统,流程如下:(1)用户使用数字证书,通过身份认证网关登录SCADA系统。(2)用户准备通过SCADA系统对井口设备下发工业控制指令。(3)系统调用签名服务器签名接口对指令数据包进行签名。(4)系统通过无线传输网络发送原指令数据包和签名数据包。(5)RTU接收到原指令数据包和签名数据包后,调用签名验证模块验证签名数据包。(6)如果以上验证失败,工控模块则向SCADA系统返回执行失败指令;验证通过后,工控模块向设备发送执行指令。按照上述流程,通过数字签名服务器发布证书,对信息进行完整数字签名,能够使得接收方在生成后的任意时间验证,而其他人都不能伪造,而且签名者也不能否认自己的签名和操作性,实现行文的抗抵赖性。通过对重要数据和控制指令的数字签名的验证,来确定数据是否是完整,如果验证是报错,则完整性遭到破坏。
3总结
本文通过分析工控生产网所具有的特点,所面临的安全风险及安全需求,给出安全防护措施,针对网络边界安全给出设立基于防火墙划分DMZ区的设计,同时考虑到与办公网络的信息隔离的原因,办公网中所应用的安全措施无法在工控生产网进行继承及应用,由此针对身份认证及数字签名两种安全措施进行设计,保证工控生产网的应用安全,保障数据的完整性,可靠性及不可抵赖性。随着网络技术迅速发展,“物联网”、“云计算”等概念的深入到各个行业。如何提高工控生产网络的信息的有效性,保护工控生产网络的安全成为未来企业工业控制信息网络发展的方向。事实上,单一的安全设备或者安全技术并不能完全处理工控生产网面临的安全问题,通过深度防御,多层级安全策略重叠的安全机制才能最够最大化地实现对工控生产网络的安全防护。
作者:桑圣洁 单位:大庆油田信息技术公司
