工業(yè)控制網(wǎng)絡(luò)縱深防御解決方案

工業(yè)控制網(wǎng)絡(luò)縱深防御解決方案編制青島海天煒業(yè)自動化控制系統(tǒng)經(jīng)理劉安正ByresSecurityinc.Tofino亞太區(qū)經(jīng)理ThomasOu目錄1．工業(yè)控制網(wǎng)絡(luò)平安概述31.1本報(bào)告編制原那么31.2工業(yè)控制網(wǎng)絡(luò)平安概述32．西門子Stuxnet控制系統(tǒng)病毒的新警示43．目前工廠控制系統(tǒng)網(wǎng)絡(luò)防護(hù)分析53.1工廠網(wǎng)絡(luò)情況概述53.2目前工業(yè)控制網(wǎng)絡(luò)平安存在的問題5操作系統(tǒng)平安漏洞5病毒與惡意代碼6拒絕效勞攻擊-網(wǎng)絡(luò)風(fēng)暴6黑客入侵與應(yīng)用軟件平安漏洞63.3目前的防護(hù)措施73.4保證控制網(wǎng)絡(luò)平安必須到達(dá)的兩個(gè)目標(biāo)93.5ANSI/ISA-99區(qū)域防護(hù)概念解析94．Tofino工業(yè)網(wǎng)絡(luò)平安解決方案114.1Tofino平安解決方案構(gòu)成124.2Tofino平安解決方案到達(dá)的目標(biāo)134.3過程控制系統(tǒng)DCS區(qū)域平安分析144.4針對石化企業(yè)的Tofino解決方案154.4.1工業(yè)OPC通信防護(hù)15方案架構(gòu)圖174.4.1.2OPCClassicEnforcer防護(hù)原理184.4.1.3TofinoOPC通訊防護(hù)配置清單〔單個(gè)OPC連接〕204.4.2操作站層面防護(hù)21方案架構(gòu)圖224.4.2.2操作站層防護(hù)部署及原理224.4.2.3操作站層通訊防護(hù)配置清單〔單個(gè)防護(hù)區(qū)域〕235．工程費(fèi)用概算251．工業(yè)控制網(wǎng)絡(luò)平安概述1.1本報(bào)告編制原那么本報(bào)告編制依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例》、《信息平安技術(shù)指南》以及國際《ANSI/ISA-99控制系統(tǒng)網(wǎng)絡(luò)平安指引》面向石化企業(yè)信息化的特點(diǎn)，結(jié)合MES以及現(xiàn)場控制系統(tǒng)的實(shí)際應(yīng)用，針對控制網(wǎng)絡(luò)平安問題進(jìn)行分析與闡述，并提供適合企業(yè)特點(diǎn)的平安方案。1.2工業(yè)控制網(wǎng)絡(luò)平安概述過去十年間，世界范圍內(nèi)的過程控制系統(tǒng)〔DCS/PLC/PCS等〕及SCADA系統(tǒng)廣泛采用信息技術(shù)，Windows?,Ethernet?及TCP/IP，現(xiàn)場總線技術(shù)，OPC等技術(shù)的應(yīng)用使工業(yè)設(shè)備接口越來越開放，減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離。但是，越來越多的案例說明，來自商業(yè)網(wǎng)絡(luò)、因特網(wǎng)以及其它因素導(dǎo)致的網(wǎng)絡(luò)平安問題正逐漸在控制系統(tǒng)及SCADA系統(tǒng)中擴(kuò)散，直接影響了工業(yè)穩(wěn)定生產(chǎn)及人身平安。2003年1月，Slammer蠕蟲病毒入侵大量工廠網(wǎng)絡(luò)，直到防火墻將其截獲，人們依然認(rèn)為系統(tǒng)是平安的。2005年8月13日美國佳士拿汽車工廠的控制系統(tǒng)通過維修人員的筆記本電腦感染病毒，雖然已安裝了IT防火墻，病毒就在幾秒鐘之內(nèi)從一個(gè)車間感染到另一個(gè)車間，從而最終導(dǎo)致停工2006年10月一部被感染的筆記本電腦(維修用的),讓黑客入侵訪問了在美國賓夕法尼亞州的哈里斯堡水處理廠的計(jì)算機(jī)系統(tǒng)。2023年10月，肆虐伊朗國內(nèi)的“超級工廠病毒〞Stuxnet病毒已經(jīng)造成伊朗布什爾核電站推遲發(fā)電，并對伊朗國內(nèi)工業(yè)造成大面積影響。通過專家對大量工業(yè)網(wǎng)絡(luò)平安案例的分析證明，網(wǎng)絡(luò)攻擊頻發(fā)的原因正在于此——不完善的網(wǎng)絡(luò)平安設(shè)計(jì)，配置不當(dāng)?shù)姆阑饓σ约癡PNtunnels、雙網(wǎng)卡效勞器及網(wǎng)絡(luò)共享等。2．西門子Stuxnet控制系統(tǒng)病毒的新警示Stuxnet是一種計(jì)算機(jī)蠕蟲病毒，通過Windows操作系統(tǒng)此前不為人知的的漏洞感染計(jì)算機(jī)，同時(shí)該病毒針對具有西門子WINCC平臺的控制系統(tǒng)以及Step7文件進(jìn)行攻擊，由于該病毒能夠修改WINCC平臺數(shù)據(jù)庫變量，在Step7程序中插入代碼以及功能塊，即能夠?qū)刂葡到y(tǒng)發(fā)動攻擊，故局部專家定義Stuxnet為“超級工廠病毒〞。這是目前第一個(gè)針對工控系統(tǒng)展開攻擊的計(jì)算機(jī)病毒，目前已經(jīng)對伊朗國內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響，Stuxnet可以說是計(jì)算機(jī)病毒界革命性創(chuàng)新，給我們控制系統(tǒng)網(wǎng)絡(luò)平安帶來新警示?！艨刂葡到y(tǒng)網(wǎng)絡(luò)是可以被攻擊的越來越多的控制系統(tǒng)操作站平臺是基于Windows平臺，U盤，維修人員的筆記本接入，信息網(wǎng)絡(luò)的病毒感染等都可以實(shí)現(xiàn)對控制網(wǎng)絡(luò)的攻擊；◆控制系統(tǒng)網(wǎng)絡(luò)需要有病毒及黑客入侵防護(hù)；◆需要實(shí)施一個(gè)縱深防御策略來保證控制系統(tǒng)的穩(wěn)定運(yùn)行；3．目前工廠控制系統(tǒng)網(wǎng)絡(luò)防護(hù)分析3.1工廠網(wǎng)絡(luò)情況概述伴隨國家工業(yè)化、信息化的兩化融合，石化企業(yè)提出管控一體化規(guī)劃，基于實(shí)時(shí)數(shù)據(jù)庫應(yīng)用的MES系統(tǒng)在各大企業(yè)得到大力推廣。實(shí)時(shí)數(shù)據(jù)庫的建立是以采集過程控制系統(tǒng)的數(shù)據(jù)為前提，這就需要MES的信息網(wǎng)絡(luò)必須要實(shí)現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換，控制網(wǎng)絡(luò)不再以一個(gè)獨(dú)立的網(wǎng)絡(luò)運(yùn)行，而要與信息網(wǎng)絡(luò)互通、互聯(lián)，基于TCP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。過程控制系統(tǒng)在近十年的開展中呈現(xiàn)出整體開放的趨勢，計(jì)算機(jī)技術(shù)在工控領(lǐng)域的應(yīng)用使得現(xiàn)代DCS操作站完全是一種PC+Windows的模式，控制系統(tǒng)網(wǎng)絡(luò)也根本都向工業(yè)以太網(wǎng)結(jié)構(gòu)開展，開放性越來越強(qiáng)。3.2目前工業(yè)控制網(wǎng)絡(luò)平安存在的問題開放性為用戶帶來的好處毋庸置疑，但由此引發(fā)的各種平安漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加。對于一個(gè)控制網(wǎng)絡(luò)系統(tǒng)，產(chǎn)生平安漏洞的因素是多方面的。3.2.1操作系統(tǒng)平安漏洞PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)操作站(HMI)的主流，任何一個(gè)版本的Windows自發(fā)布以來都在不停的發(fā)布漏洞補(bǔ)丁，為保證過程控制系統(tǒng)相對的獨(dú)立性，現(xiàn)場工程師通常在系統(tǒng)開車后不會對Windows平臺打任何補(bǔ)丁不理解這句話，不打補(bǔ)丁就可以保證過程控制系統(tǒng)的相對獨(dú)立性嗎？，更為重要的是打過補(bǔ)丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在平安運(yùn)行風(fēng)險(xiǎn)。但是與之相矛盾的是，系統(tǒng)不打補(bǔ)丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成Windows平臺乃至控制網(wǎng)絡(luò)的癱瘓。不理解這句話，不打補(bǔ)丁就可以保證過程控制系統(tǒng)的相對獨(dú)立性嗎？3.2.2病毒與惡意代碼基于Windows平臺的PC廣泛應(yīng)用，病毒也隨之而泛濫。全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。這些惡意代碼具有更強(qiáng)的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過程。它能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等，自動將自身通過已經(jīng)建立的連接復(fù)制到被攻擊的遠(yuǎn)程系統(tǒng)，并運(yùn)行它。基于工控軟件與殺毒軟件的兼容性，在操作站〔HMI〕上通常不安裝殺毒軟件〔美國有因?yàn)榘惭b殺毒軟件導(dǎo)致平安系統(tǒng)運(yùn)行故障的案例〕，即使是有防病毒產(chǎn)品，其基于病毒庫查殺的機(jī)制在工控領(lǐng)域使用也有局限性，主要是對新病毒的處理總是滯后的，這導(dǎo)致每年都會大規(guī)模地爆發(fā)病毒，特別是新病毒。3.2.3拒絕效勞攻擊-網(wǎng)絡(luò)風(fēng)暴拒絕效勞攻擊是一種危害極大的平安隱患，它可以認(rèn)為操縱也可以由病毒自動執(zhí)行，常見的流量型攻擊如PingFlooding、UDPFlooding等，以及常見的連接型攻擊如SYNFlooding、ACKFlooding等，通過消耗系統(tǒng)的資源，如網(wǎng)絡(luò)帶寬、連接數(shù)、CPU處理能力、緩沖內(nèi)存等使得正常的效勞功能無法進(jìn)行。拒絕效勞攻擊非常難以防范，原因是它的攻擊對象非常普遍，從效勞器到各種網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)、IT防火墻等都可以被拒絕效勞攻擊?？刂凭W(wǎng)絡(luò)一旦遭受嚴(yán)重的拒絕效勞攻擊就會導(dǎo)致嚴(yán)重后果，輕那么控制系統(tǒng)的通信完全中斷，重那么可導(dǎo)致控制器死機(jī)等。目前這種現(xiàn)象已經(jīng)在多家工業(yè)控制系統(tǒng)中已經(jīng)出現(xiàn)，并且造成嚴(yán)重后果。可以想像，一套失控的控制系統(tǒng)可能導(dǎo)致的后果是非常嚴(yán)重的。而傳統(tǒng)的平安技術(shù)對拒絕效勞攻擊幾乎不可防止，缺乏有效的手段來解決。3.2.4黑客入侵與應(yīng)用軟件平安漏洞最后要提到的兩點(diǎn)目前發(fā)生概率較小，分別是黑客入侵和工控應(yīng)用軟件的自身漏洞，這些事情通常發(fā)生在遠(yuǎn)程SCADA控制系統(tǒng)的應(yīng)用上，在此不做詳述。3.3目前的防護(hù)措施石化企業(yè)隨著信息化的不斷深入，大量IT技術(shù)被引入，同時(shí)也包括各種IT網(wǎng)絡(luò)平安技術(shù)，主要有IT商業(yè)防火墻、IDS、VPN、防病毒等，這些技術(shù)目前也根本集中在工廠MES系統(tǒng)企業(yè)信息層面。針對控制網(wǎng)絡(luò)的防護(hù)，也進(jìn)行了一些積極有效地措施，根本如下〔參考下面工廠MES網(wǎng)絡(luò)示意圖〕：〔1〕信息層網(wǎng)絡(luò)與控制層網(wǎng)絡(luò)之間采用雙網(wǎng)卡接口機(jī)〔Buffer機(jī)〕；〔2〕安裝病毒監(jiān)控軟件，保證病毒庫隨時(shí)升級〔病毒庫效勞器〕；〔3〕就操作系統(tǒng)發(fā)現(xiàn)的漏洞及時(shí)打補(bǔ)丁〔補(bǔ)丁效勞器〕；〔4〕OPC數(shù)據(jù)采集客戶端采取只讀數(shù)據(jù)的單向策略；不明白這句話的意思不明白這句話的意思〔5〕OPC數(shù)據(jù)采集效勞器與客戶端之間增加普通IT防火墻；〔6〕參與過程控制高級應(yīng)用的先控站〔APCNode〕單獨(dú)放置；〔7〕面向工程編程組態(tài)的工程師站〔ENGNode〕單獨(dú)放置；〔8〕操作員站主機(jī)機(jī)柜上鎖，或USB口屏蔽，防止操作工任意使用U盤；〔9〕加強(qiáng)管理，對不按照規(guī)程操作的工程師進(jìn)行處分；工廠MES網(wǎng)絡(luò)示意圖由于石化生產(chǎn)過程的重要性和特殊性，嚴(yán)格要求每一生產(chǎn)環(huán)節(jié)都不允許產(chǎn)生紕漏。數(shù)采系統(tǒng)的采集站直接與現(xiàn)場裝置DCS相連，對于〔1〕，雖然考慮了雙網(wǎng)卡配置，管理信息網(wǎng)與控制網(wǎng)通過采集站進(jìn)行了隔離，病毒等破壞性程序不能直接攻擊到控制網(wǎng)絡(luò)，但對于能夠利用Windows系統(tǒng)本身缺陷的網(wǎng)絡(luò)蠕蟲病毒，這種配置幾乎沒有作用，除非能夠把采集站的Windows系統(tǒng)的系統(tǒng)漏洞消除在利用該漏洞的蠕蟲病毒攻擊之前，使得蠕蟲病毒無法攻入采集站系統(tǒng)，從而無法利用采集站作為進(jìn)一步共計(jì)的基地；對于〔2〕和〔3〕，病毒庫及系統(tǒng)補(bǔ)丁的升級總是存在滯后效應(yīng)，對于新型入侵及攻擊無法抵御，因此還不能完全阻止攻擊；對于〔4〕〔5〕項(xiàng)是用戶一直非常頭痛的局部，缺乏有效的解決方案來實(shí)施；對于〔6〕〔7〕〔8〕〔9〕項(xiàng)，根本都是管理方面的內(nèi)容，其作用在于防止非計(jì)算機(jī)的人為破壞因素。常規(guī)的IT網(wǎng)絡(luò)平安技術(shù)沒有專門針對控制網(wǎng)絡(luò)需求進(jìn)行規(guī)劃設(shè)計(jì)，以上所列平安措施只是對控制網(wǎng)絡(luò)入侵的一種限制手段，但無法到達(dá)網(wǎng)絡(luò)平安的要求，需要通過專業(yè)網(wǎng)絡(luò)平安設(shè)備，去限定并且管控有限的連接，來滿足化工裝置對網(wǎng)絡(luò)平安的要求。3.4保證控制網(wǎng)絡(luò)平安必須到達(dá)的兩個(gè)目標(biāo)雖然各個(gè)工廠在針對控制網(wǎng)絡(luò)平安都采取了在本文檔3.2章中描述的防護(hù)措施〔或者其它更高級的措施〕，但我們相信，要保證控制網(wǎng)絡(luò)中基于PC+Windows方式的操作站〔HMI〕100%免受病毒感染或者其它攻擊是根本不可能的。這些感染或攻擊的途徑可能來自：◆來自上層信息網(wǎng)對控制網(wǎng)的攻擊或病毒感染；◆工程師使用U盤、光盤導(dǎo)致的病毒傳播；◆設(shè)備維修時(shí)筆記本電腦接入而來；總結(jié)以上列舉的種種問題，我們認(rèn)為要保證控制網(wǎng)絡(luò)的平安運(yùn)行必須到達(dá)兩個(gè)目標(biāo)：〔1〕即使在控制網(wǎng)單點(diǎn)出現(xiàn)問題，也能保證裝置或工廠的平安穩(wěn)定運(yùn)行對于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)，我們認(rèn)為最可怕的是病毒的急速擴(kuò)散，它會瞬間令整個(gè)網(wǎng)絡(luò)癱瘓，該防護(hù)目標(biāo)在于當(dāng)控制網(wǎng)絡(luò)的某個(gè)局部存在病毒感染或者其它不平安因素時(shí)，不會向其它設(shè)備或網(wǎng)絡(luò)擴(kuò)散，從而保證裝置或工廠的平安穩(wěn)定運(yùn)行?！?〕能夠及時(shí)準(zhǔn)確確實(shí)認(rèn)故障點(diǎn)，并排解決問題怎樣能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其它問題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)平安的前提。3.5ANSI/ISA-99區(qū)域防護(hù)概念解析目前國內(nèi)針對工業(yè)控制網(wǎng)絡(luò)的防護(hù)標(biāo)準(zhǔn)尚不成形，公安部會同有關(guān)部門也在制定計(jì)算機(jī)信息系統(tǒng)平安等級的劃分標(biāo)準(zhǔn)和平安等級保護(hù)的具體方法，在國際上，美國在2007年公布的ChemicalFacilityAnti-TerrorismStandards(CFATS)標(biāo)準(zhǔn)〔該標(biāo)準(zhǔn)由美國國土平安部公布〕以及2023年公布的USChemicalAnti-TerrorismAct〔美國化學(xué)反恐怖主義法〕針對化工設(shè)備平安做了強(qiáng)制要求，目前，石油，水處理以及制造業(yè)都還沒有必須按照以上立法規(guī)定作業(yè)，但是為了防止重大的風(fēng)險(xiǎn)，根本都遵守ANSI/ISA-99Standards的要求進(jìn)行規(guī)劃。來自國際的行業(yè)標(biāo)準(zhǔn)，如ANSI/ISA-99指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)的控制網(wǎng)絡(luò)平安要點(diǎn)：要點(diǎn)名稱要點(diǎn)描述到達(dá)目標(biāo)區(qū)域劃分具備相同功能和平安要求的設(shè)備在同一區(qū)域內(nèi)平安等級分區(qū)管道建立實(shí)現(xiàn)區(qū)域間執(zhí)行管道通信易于控制通信管控通過控制區(qū)域間管道中通信管理控制來實(shí)現(xiàn)設(shè)備保護(hù)數(shù)據(jù)通信可控想要滿足這一平安要求，TofinoTofino

工業(yè)網(wǎng)絡(luò)平安解決方案是一個(gè)分布式系統(tǒng)，快速、經(jīng)濟(jì)、高效地實(shí)現(xiàn)控制網(wǎng)絡(luò)內(nèi)的平安保護(hù)。是一種經(jīng)濟(jì)高效的方式。Tofino能夠用來別離信息系統(tǒng)網(wǎng)絡(luò)與過程系統(tǒng)網(wǎng)絡(luò)，分隔不同供給商的控制系統(tǒng)，并隔離關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)，保護(hù)控制系統(tǒng)底層邊緣設(shè)備〔例如Tofino

工業(yè)網(wǎng)絡(luò)平安解決方案是一個(gè)分布式系統(tǒng)，快速、經(jīng)濟(jì)、高效地實(shí)現(xiàn)控制網(wǎng)絡(luò)內(nèi)的平安保護(hù)。4．Tofino工業(yè)網(wǎng)絡(luò)平安解決方案Tofino工業(yè)網(wǎng)絡(luò)平安解決方案針對SCADA和過程控制系統(tǒng)特別設(shè)計(jì)，旨在為其提供一種分區(qū)的平安解決方案。Tofino擁有極高的性價(jià)比，它能夠在工廠車間中建立深層防護(hù)架構(gòu)，因此，即使有黑客或病毒通過主要的企業(yè)防火墻，他們也將面對基于控制網(wǎng)絡(luò)特點(diǎn)而設(shè)計(jì)的專業(yè)平安設(shè)備，只有穿過這些設(shè)備才能進(jìn)而造成損害。Tofino模塊采用TofinoCentralManagementPlatform(CMP，中央管理平臺)進(jìn)行集中配置、組態(tài)和管理〔可遠(yuǎn)程甚至跨國使用〕，控制網(wǎng)或企業(yè)網(wǎng)均可以在適當(dāng)位置安裝CMP。使用CMP，并裝載各種必要的LoadableSecurityModules(LSMs，可裝載平安軟件插件)，就可以實(shí)時(shí)在線調(diào)整Tofino模塊，使之滿足所FWModuleBeingLoadedtoApplianceFWModuleBeingLoadedtoAppliancePLCControllersClusterofDCSControllersSCADARTUHMIStationTofino?CentralManagementPlatformTofino?MonitoringDCSNetworkStatusBeingSenttoCMPCorporateIntranetTofino?ApplianceProtectingPLCTofino?EncryptingTrafficTelcoNetworkTofino?FirewallingControlSystemDCSStationsTofino平安解決方案系統(tǒng)配置示意LSM能夠?yàn)楣S用戶量身定制的加密，入侵檢測及控制協(xié)議識別等平安解決方案。例如，可以將其中一個(gè)Tofino模塊作為專有PLC網(wǎng)絡(luò)的防火墻，將另外一個(gè)Tofino模塊作為網(wǎng)絡(luò)RTU是REMOTETERMINALUNIT的簡稱，即遠(yuǎn)方數(shù)據(jù)終端，用于監(jiān)視、控制與數(shù)據(jù)采集的應(yīng)用。具有遙測、遙信、遙調(diào)、遙控功能。通訊的加密系統(tǒng)。當(dāng)然，單個(gè)Tofino模塊可以同時(shí)裝載多個(gè)LSM，同時(shí)提供多重平安防護(hù)。是REMOTETERMINALUNIT的簡稱，即遠(yuǎn)方數(shù)據(jù)終端，用于監(jiān)視、控制與數(shù)據(jù)采集的應(yīng)用。具有遙測、遙信、遙調(diào)、遙控功能。TofinoSecuritySystem一方面是一個(gè)完整的分布式的平安解決方案，另一方面又可以簡單、平安地進(jìn)行集中管理，這些特性使得它成為一款獨(dú)一無二的產(chǎn)品。對大型工業(yè)企業(yè)來說，TofinoSecuritySystem更意味著最正確的平安效益和技術(shù)支持，并不只是簡單滿足了獨(dú)立的關(guān)鍵控制設(shè)備的平安需求。不同于傳統(tǒng)的IT防火墻，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信平安要求而設(shè)計(jì)?，F(xiàn)場技術(shù)人員只需簡單為Tofino接入電源，并連接兩個(gè)網(wǎng)絡(luò)的電纜即可，無需其他任何操作。一旦安裝成功，平安/技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)，以總攬公司大局的方式對網(wǎng)絡(luò)威脅作出反響。最重要的是，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠中，又能夠滿足那些擁有成千上萬個(gè)設(shè)備并且分布全球各地的大型跨國公司的使用要求。4.1Tofino平安解決方案構(gòu)成一個(gè)完整的Tofino平安解決方案包含以下三局部：Tofino平安模塊〔TSA〕——增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì)，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下列圖為Tofino平安模塊硬件的兩種選型。Tofino可裝載平安軟插件(LSM)——專為TSA設(shè)計(jì)的平安軟插件，提供平安效勞，如工業(yè)通信防火墻、事件與報(bào)警管理，OPC/ModbusTCP通信深度檢查、平安設(shè)備資產(chǎn)管理、VPN加密等。LSM可以直接裝載到Tofino平安模塊中，并根據(jù)系統(tǒng)需求提供各種定制平安效勞。Tofino中央管理平臺〔CMP〕——窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于Tofino平安模塊的配置、組態(tài)何為組態(tài)和管理何為組態(tài)Tofino平安模塊〔TSA-100〕Tofino平安模塊〔TSA-220〕Tofino中央管理平臺界面截圖4.2Tofino平安解決方案到達(dá)的目標(biāo)區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過濾兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信，這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到其它局部。通信管控：通信規(guī)那么是可以在線通過CPM進(jìn)行預(yù)先組態(tài)和測試的。實(shí)時(shí)報(bào)警：任何非法的〔沒有被組態(tài)允許的〕訪問，都會在CMP管理平臺產(chǎn)生實(shí)時(shí)報(bào)警信息，從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決一勞永逸：工業(yè)級硬件設(shè)計(jì)，保證模塊的穩(wěn)定性；特有的專有控制通訊協(xié)議檢查設(shè)計(jì)理念〔白名單理念〕，辭別了傳統(tǒng)防火墻的病毒庫升級等繁瑣工作，在防護(hù)的同時(shí)也不改變控制網(wǎng)原有應(yīng)用軟件的操作模式，大大降低網(wǎng)絡(luò)維護(hù)量。4.3過程控制系統(tǒng)DCS區(qū)域平安分析以在本文檔3.2節(jié)中描述的MES網(wǎng)絡(luò)結(jié)構(gòu)圖為例，首先將網(wǎng)絡(luò)劃分成三大層，每一層作為一個(gè)獨(dú)立的大區(qū)域，分別是信息層〔Informationzone〕、操作站層〔Stationzone〕和控制器層〔Controllerzone〕，如下列圖防護(hù)區(qū)域劃分示意圖考慮到在操作站層〔Stationzone〕中OPCServer，工程師站以及高級應(yīng)用先控站這三個(gè)節(jié)點(diǎn)病毒感染概率較高，為防止病毒擴(kuò)散，特別在大區(qū)中間增加一個(gè)二級子分區(qū)，將這三個(gè)節(jié)點(diǎn)與其它操作站隔離。4.4針對石化企業(yè)的Tofino解決方案針對石化企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結(jié)合控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，Tofino產(chǎn)品可以應(yīng)用在以下兩個(gè)方面：Tofino區(qū)域防護(hù)解決方案示意圖工業(yè)OPC通信防護(hù)針對信息層〔Informationzone〕與操作站層〔Stationzone〕之間，是過程控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的接口部位，是企業(yè)目前信息部與儀控部的交叉點(diǎn)，由于來自企業(yè)信息層病毒感染及入侵的概率較大，所以該部位是目前防護(hù)的重點(diǎn)，該部位通訊一般采用OPC接口。一個(gè)完整的TofinoOPC平安解決方案包含以下六局部：Tofino平安模塊〔TSA〕：硬件設(shè)計(jì)遵循增強(qiáng)型工業(yè)環(huán)境要求，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前，設(shè)計(jì)使用壽命27年，能夠提供平安系統(tǒng)的工業(yè)平臺，適宜溫度-40°Cto+70°C，防護(hù)等級IP20。Tofino可裝載平安軟插件(LSM-Firewall)：工業(yè)網(wǎng)絡(luò)交通警察，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個(gè)工業(yè)專用及商業(yè)IT通信協(xié)議，預(yù)先定義超過25個(gè)控制器類型〔例如：西門子S7-300/S7-400，HoneywellPKSC200/C300/〕，通過通訊協(xié)議指令級別的管控，預(yù)先組態(tài)用于高級過濾和攻擊保護(hù)的“特殊規(guī)那么〞。符合ANSI/ISA-99.00.02的網(wǎng)絡(luò)分段要求，到達(dá)區(qū)域隔離目標(biāo)。Tofino可裝載平安軟插件(LSM-OPCClassicEnforcer)：管控OPC效勞器及授權(quán)客戶端之間的數(shù)據(jù)通信，并且應(yīng)用專有技術(shù)動態(tài)跟蹤OPC通信所需端口，同時(shí)Tofino的‘SanityCheck’檢查功能能夠阻擋任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC訪問。同樣也對OPC授權(quán)客戶端發(fā)往OPC效勞器的OPC對象請求進(jìn)行檢查，以提高OPC效勞的平安性。資產(chǎn)管理插件〔LSM-SecureAssetManagement〕像雷達(dá)一樣，Tofino的平安設(shè)備資產(chǎn)管理〔SAM〕可裝載模塊可以追蹤每一個(gè)通過Tofino平安設(shè)備進(jìn)行通訊的設(shè)備。不過，為了防止引起進(jìn)程干擾，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)事件報(bào)警插件〔LSM-TofinoArgonEventLogger〕：Tofino事件記錄可裝載模塊對您的平安事件提供了可靠的監(jiān)控功能和記錄功能，它是一個(gè)專為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。Tofino中央管理平臺〔CMP〕——窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于Tofino平安模塊的配置、組態(tài)和管理，界面參照下面截圖：Tofino中央管理平臺界面截圖.1方案架構(gòu)圖TofinoOPC通訊防護(hù)解決方案架構(gòu)圖.2OPCClassicEnforcer防護(hù)原理OPCClassicEnforcer一個(gè)可加載的軟插件，具備OPC防火墻的功能，利用協(xié)議深層檢測技術(shù)來幕后管理OPC的交連通訊〔1〕OPCEnforcer接受從客戶端發(fā)連接的請求，并檢查：它是否發(fā)給經(jīng)批準(zhǔn)的效勞器；它是否來自認(rèn)可的客戶端；它是否一個(gè)OPC正確的請求訊息格式；〔2〕OPCEnforcer隨后審查從效勞器返回的訊息，并檢查：它是否一個(gè)OPC正確的返回信息格式；它是否返回給發(fā)出請求的客戶端；效勞器告訴客戶端去使用哪個(gè)TCP端口；〔3〕OPCEnforcer僅針對正確的OPC連接開放TCP端口,并設(shè)定以下限制:只容許該客戶端和這效勞器之間的通信；只容許該客戶端使用此指定的端口通信；只容許正確的TCP通訊發(fā)生在特定連接的時(shí)間內(nèi)；〔4〕OPCEnforcer阻擋一切非OPC標(biāo)準(zhǔn)的通訊請求：阻止一切沒有OPC標(biāo)準(zhǔn)格式的DCE/RPC訪問請求；阻止嘗試使用其它TCP端口號的通訊連接；試圖“借用〞其它客戶端或效勞器的端口號；阻止其它一切黑客、蠕蟲、病毒等非法的訪問；〔4〕TofinoOPCEnforcer優(yōu)勢：在OPC工業(yè)協(xié)議上最先應(yīng)用“連接跟蹤技術(shù)〞；Tofino的‘SanityCheck’檢查功能，可攔阻任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC訪問；OPC通訊權(quán)限管理，OPC協(xié)議深度檢查，管控通訊平安；只在所跟蹤的TCP端口有需要時(shí)，防火墻才短暫地翻開；可支持多個(gè)OPC客戶端和效勞器同時(shí)使用；簡單易用，在OPC效勞器或客戶端上并不需要做任何變化和改動只是在通訊網(wǎng)線中間參加即可；可支持OPCDA,HDA和A&E標(biāo)準(zhǔn)；實(shí)現(xiàn)區(qū)域防護(hù)和病毒隔離，阻擋惡意攻擊；得到OPC基金會的大力推薦。.3TofinoOPC通訊防護(hù)配置清單〔單個(gè)OPC連接〕〔1〕TofinoTSA硬件及插件方案所需軟、硬件功能數(shù)量Tofino平安模塊FA-TSA-220-TX/TX能夠提供平安系統(tǒng)的工業(yè)平臺，適宜溫度-40°Cto+70°C，防護(hù)等級IP20。1Firewall插件LSM-FW-100提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件，符合ANSI/ISA-99.00.02的網(wǎng)絡(luò)分段要求，到達(dá)區(qū)域隔離目標(biāo)。1OPCEnforcer插件LSM-OPC-100管控OPC效勞器及授權(quán)客戶端之間的數(shù)據(jù)通信，并且應(yīng)用專有技術(shù)動態(tài)跟蹤OPC通信所需端口，同時(shí)Tofino的‘SanityCheck’檢查功能能夠阻擋任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC訪問。同樣也對OPC授權(quán)客戶端發(fā)往OPC效勞器的OPC對象請求進(jìn)行檢查，以提高OPC效勞的平安性。1PowerAdapterDC-24PA-TSA-01電源適配器DC-24VDC-24電源適配器，2臺構(gòu)成冗余結(jié)構(gòu)。2TofinoArgonEventLoggerLSM事件報(bào)警插件LSM-LOG-100Tofino事件記錄可裝載模塊對您的平安事件提供了可靠的監(jiān)控功能和記錄功能，它是一個(gè)專為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。1TofinoArgonSecureAssetManagementLSM資產(chǎn)管理插件LSM-SAM-100像雷達(dá)一樣，Tofino的平安設(shè)備資產(chǎn)管理〔SAM〕可裝載模塊可以追蹤每一個(gè)通過Tofino平安設(shè)備進(jìn)行通訊的設(shè)備。不過，為了防止引起進(jìn)程干擾，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)1〔2〕Tofino中央管理平臺軟件CMP〔CentralManagementPlatform〕：是一個(gè)基于Windows平臺的軟件，具備在線組態(tài)、在線監(jiān)控、資產(chǎn)管理等多種功能，可以將全廠所有設(shè)備硬件都集中管理，對全廠控制網(wǎng)絡(luò)狀態(tài)一目了然。CMP中央管理平臺工程描述訂貨號單位數(shù)量1TofinoArgonCentralManagementPlatform(SoftwareLicense,CD,Quickstart)-unlimitedSA'S中央管理平臺軟件-無限點(diǎn)FA-CMP-100套12TofinoCMPUser'sGuideCMP用戶手冊DOC-UG-CMP-100冊13TofinoCMPSoftwareInstallationGuideCMP安裝指導(dǎo)手冊DOC-IG-CMP-100冊14TofinoCMPQuickStartGuideCMP速配手冊DOC-QS-CMP-100冊1操作站層面防護(hù)針對操作站層面〔Stationzone〕各個(gè)節(jié)點(diǎn)之間的相互影響，杜絕由于局部操作站的病毒傳染整個(gè)網(wǎng)絡(luò)，我們將工程師站，OPCServer以及高級應(yīng)用先控站或局部操作站進(jìn)行分組，通過Tofino模塊進(jìn)行隔離一個(gè)完整的TofinoOPC平安解決方案包含以下五局部：Tofino平安模塊〔TSA〕：硬件設(shè)計(jì)遵循增強(qiáng)型工業(yè)環(huán)境要求，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前，設(shè)計(jì)使用壽命27年，能夠提供平安系統(tǒng)的工業(yè)平臺，適宜溫度-40°Cto+70°C，防護(hù)等級IP20。Tofino可裝載平安軟插件(LSM-Firewall)：工業(yè)網(wǎng)絡(luò)交通警察，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個(gè)工業(yè)專用及商業(yè)IT通信協(xié)議，預(yù)先定義超過25個(gè)控制器類型〔例如：西門子S7-300/S7-400，HoneywellPKSC200/C300/〕，通過通訊協(xié)議指令級別的管控，預(yù)先組態(tài)用于高級過濾和攻擊保護(hù)的“特殊規(guī)那么〞。符合ANSI/ISA-99.00.02的網(wǎng)絡(luò)分段要求，到達(dá)區(qū)域隔離目標(biāo)。資產(chǎn)管理插件〔LSM-SecureAssetManagement〕像雷達(dá)一樣，Tofino的平安設(shè)備資產(chǎn)管理〔SAM〕可裝載模塊可以追蹤每一個(gè)通過Tofino平安設(shè)備進(jìn)行通訊的設(shè)備。不過，為了防止引起進(jìn)程干擾，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)事件報(bào)警插件〔LSM-TofinoArgonEventLogger〕：Tofino事件記錄可裝載模塊對您的平安事件提供了可靠的監(jiān)控功能和記錄功能，它是一個(gè)專為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。Tofino中央管理平臺〔CMP〕——窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于Tofino平安模塊的配置、組態(tài)和管理。4.4.2.1方案架構(gòu)圖操作站層防