网闸技术蓝皮书.pdf

Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 工业工业网络安全防护网关网络安全防护网关 Trusted Trusted OPCOPC 网闸网闸 技 术 蓝 皮 书 上海汉序信息技术上海汉序信息技术有限公司有限公司 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 目目 录录 1、前言. 3 2、安全隐患分析. 3 2.1 安全漏洞 3 2.2 安全隐患 4 2.2.1 入侵 . 4 2.2.2 拒绝服务攻击 . 5 2.2.3 病毒与恶意代码 . 5 3、常规安全防护方案. 6 3.1 防火墙 6 3.2 其他安全技术 7 4、网络隔离防护产品. 8 4.1 网络隔离原理 8 4.2 传统网关 9 5、网络安全防护网关. 9 5.1 OPC 网闸 10 6、产品订购 12 7、典型业绩 错误！未定义书签。错误！未定义书签。 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 1 1、前言、前言 数据采集与监控（SCADA） 、分布式控制系统（DCS） 、过程控制系统（PCS） 、 可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利 及市政等领域， 用于控制生产设备的运行。 一旦工业控制系统信息安全出现漏洞， 将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发 展， 特别是信息化与工业化深度融合，工业控制系统产品越来越多地采用通用协 议、通用硬件和通用软件，以各种方式与 MIS 网络、因特网等公共网络连接，造 成病毒、 木马等威胁向工业控制系统扩散， 工业控制系统安全问题日益突出。 2010 年发生的 “震网” 病毒时间， 充分反映出工业控制系统信息安全面临严峻的形势。 工业控制系统信息安全防护是一个刻不容缓的课题， 我们要从技术层面和管理层 面着手，建设工业控制系统网络安全。 2 2、安全隐患分析安全隐患分析 2 2.1 .1 安全漏洞安全漏洞 由 DCS、PLC 和 SCADA 等控制系统构成的控制网络，在过去几十年的发展中 呈现出整体开放的趋势。 在新一代 DCS 的操作站中， 几乎清一色采用 PC+Windows 的技术架构，同时，DCS 网络技术也呈现出开放的特征。网络技术开放性体现在 DCS 可以从多个层面与第三方系统互联，同时支持多种网络协议。目前在与企业 管理层信息平台互联时，大多采用基于 TCP(UDP)/IP 协议的以太网通信技术，使 用 OPC 等开放接口标准。开放性为用户带来的好处毋庸置疑，但由此引发的各种 安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统，产生安全 漏洞的因素是多方面的。 1) 网络通信协议安全漏洞 缺乏对用户身份的鉴别 缺乏对路由协议的鉴别认证 TCP/UDP 自身缺陷 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 2) 操作系统安全漏洞：微软在设计 Windows 操作系统时是本着简单易用为 原则的，因而忽略了安全方面的考虑，留下了很多隐患。 3) 应用软件安全漏洞: 处于应用层的应用软件产生的漏洞是最直接、最致 命的。一方面这是因为应用软件形式多样，很难形成统一的防护规范以 应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就 必须开放其应用端口。例如，要想实现与操作站 OPC 服务器软件的网络 通信，控制网络就必须完全开放 135 端口，这时防火墙等安全设备已经 无能为力了。而实际上，不同应用软件的安全漏洞还不止于此。 2 2.2 .2 安全隐患安全隐患 安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越 多的控制网络系统通过信息网络连接到互联上，这种威胁就越来越大。目前互联 网上已有几万个黑客站点，黑客技术不断创新，基本的攻击手法已达上千种。这 些攻击技术一旦被不法之徒掌握，将产生不良的后果。 对于控制网络系统，由于安全漏洞可能带来的直接安全隐患有： 1) 入侵 2) 拒绝服务攻击 3) 病毒与恶意代码 2 .1 入侵入侵 系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使 用计算机和网络资源，甚至是完全掌控计算机和网络。控制网络的计算机终端和 网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大 型工程化设备。黑客一旦控制该系统，对系统造成一些参数的修改，就可能导致 生产运行的瘫痪，就意味着可能利用被感染的控制中心系统破坏生产过程、切断 整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些 年来越来越多的控制网络接入到互联网当中，这种可能就越来越大。 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 2 .2 拒绝服务攻击拒绝服务攻击 受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如 Ping Flooding、UDP Flooding 等，以及常见的连接型攻击如 SYN Flooding、ACK Flooding 等，通过消耗系统的资源，如网络带宽、连接数、CPU 处理能力等使得 正常的服务功能无法进行。 拒绝服务攻击难以防范的原因是它的攻击对象非常普 遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻 击。 控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制 系统的通信完全中断等。可以想像，受到拒绝服务攻击后的控制网络可能导致网 络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。而传统的 安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。 2 .3 病毒与恶意代码病毒与恶意代码 病毒与恶意代码: 病毒的泛滥是大家有目共睹的。全球范围内，每年都会发 生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余 种的速度增长。 除了传统意义上的具有自我复制能力但必须寄生在其它实用程序 中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木 马、蠕虫、Zombie 等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕 虫， 从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过 程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或 者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但 蠕虫却可以自我独立完成以下过程： 1) 查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远 程系统地址列表找出下一个攻击对象。 2) 建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接， 如 Telnet 连接等。 3) 实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系 统，并运行它。 一旦计算机和网络染上了恶意代码，安全问题就不可避免。 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 3 3、常规安全防护方案常规安全防护方案 目前,以 MES 为代表的信息系统在实现控制网络接入信息网络时，也基本都 考虑了对控制网络的安全防护。但目前对控制网络的防护，大部分采用的是常规 网络安全技术，主要包括防火墙、IDS、VPN、防病毒等。 3 3.1 .1 防火墙防火墙 防火墙由于其自身机理的原因，存在很多先天不足，主要包括： 1) 由于防火墙本身是基于 TCP/IP协议体系实现的， 所以它无法解决 TCP/IP 协议体系中存在的漏洞。 2) 防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法 判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦 被攻击者控制，由它保护的整个网络就无安全可言了。 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 3) 防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到 流量攻击。 4) 防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高， 需要对数据包检查的项目（即防火墙的功能）就越多越细，对 CPU 和内 存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。 5) 防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全 来解决。 从实际应用来看，防火墙较为明显的局限性包括以下几方面： 1) OPC 基于 DCOM 机制，无法穿透防火墙。 2) 防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络 四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。 3) 防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。 4) 防火墙不能防止由自身安全漏洞引起的威胁。 5) 防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏 洞。 6) 防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标 准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进 行的攻击。 7) 由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略， 所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了 网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。 8) 防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。 防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近 50%。虽 然目前最流行的安全架构是以防火墙为核心的安全体系架构。 通过防火墙来实现 网络的安全保障体系。然而，以防火墙为核心的安全防御体系未能有效地防止目 前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。 3 3.2 .2 其他安全技术其他安全技术 其它安全技术如 IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 的针对性，只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。 1) IDS 作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个 可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是 报错了，这两个特点几乎破坏了入侵检测的可用性。 2) VPN 作为一种加密类技术，不管哪种 VPN 技术，在设计之初都是为了保 证传输安全问题而设计的，而没有动态、实时的检测接入的 VPN 主机的 安全性，同时对其作“准入控制” 。这样有可能因为一个 VPN 主机的不安 全，导致其整个网络不安全。 3) 防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每 年都会大规模地爆发病毒，特别是新病毒。 4 4、网络隔离防护产品网络隔离防护产品 在防火墙的发展过程中， 人们最终意识到防火墙在安全方面的局限性。 高性能、 高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面 的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网 络隔离技术应运而生。 网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保 障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提 下，尽可能支持数据交换，如果不安全则断开。 网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、 TCP/IP 漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目 前唯一能解决上述问题的安全技术。 4 4.1 .1 网络隔离原理网络隔离原理 网络隔离产品主要的技术原理是从 OSI 模型的七层上全面断开网络连接，同 时采用“2+1”的三模块架构，即内置有两个主机系统，和一个用于建立安全通 道可交换数据的隔离单元。 这种架构可以实现连接到外网和内网的两主机之间是 完全网络断开的，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 了 TCP/IP 协议，剥离了应用协议，在安全交换后进行了协议的恢复和重建。通 过 TCP/IP 协议剥离和重建技术消除了 TCP/IP 协议的漏洞。 在应用层对应用协议 进行剥离和重建，消除了应用协议漏洞，并可针对应用协议实现一些细粒度的访 问控制。从 TCP/IP 的 OSI 数据模型的所有七层断开后，就可以消除目前 TCP/IP 存在的所有攻击。 4 4.2 .2 传统传统网关网关 传统网关产品的主要定位是各行业中对安全性要求较高的涉密业务的办公 系统，因此它提供的应用也以通用的互联网功能为主。例如，目前大多数网关都 支持：文件数据交换、HTTP 访问、WWW 服务、FTP 访问、收发电子邮件、关系数 据库同步以及 TCP/UDP 定制等。 在工业领域，网关也开始得到应用和推广。但除了用于办公系统外，当用于 隔离控制网络时，由于网关一般都不支持工业通信标准如 OPC、Modbus，用户只 能使用其 TCP/UDP 定制功能。这种方式需要在连接网关的上、下游增加接口计算 机或代理服务器，并定制通信协议转换接口软件才能实现通信。 5 5、网络安全防护网关网络安全防护网关 网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产 品，它同样采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技 术建立安全通道以安全地实现快速数据交换。与网关不同的是， 网络安全防护网 Trusted OPC网闸技术蓝皮书 上海汉序信息技术有限公司 WWW.CHINASORT.CN 全国免费电话：400-018-6198 关提供的应用专门针对控制网络的安全防护， 因此它只提供控制网络常用通信功 能如 OPC、Modbus 等，而不提供通用互联网功能。因此网络安全防护网关更适合 于控制网络的隔离，但不适合办公系统。 网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化 安全产品。 5.1 5.1 OPCOPC 网闸网闸 Truested OPC 网闸是一款专门为企业过程控制系统和管理信息系统之间进 行单向物理隔离并传输过程数据而开发的一款网络安全隔离设备， 外观如下图所 示： 产品主要功能特点有： 1) OPC 服务器：与 DCS、PLC、SCADA 等系统连接采集实时数据，通过安全 隧道、校验后封装成 OPC Server 工业标准通讯接口，提供给上层应用系 统，如实时数据库系统、MIS、MES 系统 2) 安全隔离：当 OPC 网闸为上层系统提供实时数据时，它一般位于自动化 控制系统和上层系统之间， 由于 OPC 网闸采用了内置安全数据传输隧道、 校验技术，可实现自动化控制系统和上层系统之间的有效安全隔离 3) 该产品操作系统、数据采集程序等均固化，不可修改。一旦被修改，重 新启动后，自动恢复到初始状态，可防止病毒以及黑客软件攻击 产品技术规格如下表所示。 类别类别 指标指标 规格规格 硬件规格硬件规格 处理器 内置 2 个 Intel Atom D525 Dual 网络接口 内置 2 个 100