隔离网关技术白皮书.doc

工业网络安全防护网关pSafetyLink技术白皮书 北京力控华康科技有限公司Beijing ForceControl-Huacon Technology Co.,Ltd. 电话真力控华康工业网络安全防护网关pSafetyLink技术白皮书版本号V 1.0当前状态草稿发布日期2011-8-8作者版权和所有权声明北京力控华康科技有限公司对本白皮书持有版权并保留一切权利。未经许可，任何人不得以摘录、复印、剪切等手段复制本文档中的文字、图表、数据的部分和全部。否则，本公司将在适当情况下追究相应责任。商标声明pSafetyLink为北京力控华康科技有限公司的注册商标。本白皮书中涉及的其它所有品牌和产品名称均为相关公司的商标或注册商标。目 录1.概述41.1.工业网络安全形势41.2.常规网络安全产品的不足42.pSafetyLink产品简介63.应用环境63.1.基于OPC的应用73.2.基于Modbus、DNP3的应用84.产品架构84.1.硬件架构84.2.软件架构95.主要技术105.1.安全技术105.1.1.内核安全技术105.1.2.网络隔离技术105.1.3.测点访问控制105.1.4.身份认证115.2.可靠性技术115.3.系统性能116.主要功能126.1.开发工具PSL-Config126.2.监视工具PSL-Monitor136.3.通信标准137.硬件平台137.1.隔离硬件结构137.2.硬件设计147.3.硬件优化147.4.生产流程控制148.产品规格141. 概述1.1. 工业网络安全形势在现代工业企业的信息系统中，由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间，负责完成基本的生产控制。随着企业信息化建设的发展，迫切要求实现过程控制系统与上层管理信息系统之间互通、互联，完成经营管理层与车间执行层的双向信息流交互，使企业对生产情况保证实时反应，消除信息孤岛与断层现象。为了获取现场的生产信息，许多企业采用拷盘或人力传递的方式传送信息，包括人工抄表，定期上报的方式。人工采集不仅极不方便也无法实时地采集到现场的数据，很难满足当今工业控制行业对生产控制和信息管理方面的要求，因此实现信息网络与控制网络的互通、互联已经是大势所趋。但信息网络与控制网络实现互联时，如何保证过程控制网络的安全就变成了一个严峻的问题。特别是对于石油、石化、电力、钢铁、煤矿等生产行业，对连续生产的安全性和可靠性有着极高的要求，一旦实现了信息网络与控制网络之间的互联，就相当于将控制网络直接暴露给外网而面临被攻击的可能。控制网络一旦受到了恶意攻击，感染了病毒、蠕虫，很可能导致整个控制网络瘫痪，网络中的主机崩溃，甚至造成重大安全事故。另外，互联网攻击者可能会利用一些大型工程自动化软件的安全漏洞获取诸如发电厂、污水处理厂、天然气管道以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。 因为生产控制网络中的计算机可以控制诸如发电机组、化学反应釜、供水管阀门、烘干设备器材甚至核电站的安全系统等大型工程化设备。黑客一旦控制该系统，就意味着可能利用被感染的控制中心系统切断整个城市的供电系统，恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的工程系统内部网络接入到互联网当中，这种可能就越来越大。1.2. 常规网络安全产品的不足目前工业自动化市场上还鲜有专门针对工业网络安全的防护产品。因此自动化用户要么将单个的控制网络封闭起来，彻底与外网断开，同时也断绝了信息共享与交互；要么只能选用常规网安产品，如网络防火墙来解决问题。但常规网安产品或者由于自身存在的缺陷与不足，不能满足工业网络较高的防护要求，或者因为不是专门针对工业网络设计，难以在工业场合应用。例如，网络防火墙是目前网络边界上最常用的一种防护设施。提供的主要功能有：包过滤、审核和报警机制、远程管理、NAT、代理、流量控制、统计分析和流量计费等。防火墙本身虽然具有较强的抗攻击能力，但它是提供信息安全服务、实现网络和信息安全的一种基础设施，用于满足各种通用的网络应用。或者说，防火墙并不是专为工业网络应用设计的产品。因此防火墙在防护工业网络时存在较多缺陷。通过防火墙将控制网络与信息网络串联在一起时，要求被控制网络与信息网络间的通信数据必须经过防火墙，同是要求防火墙具有安全性、完整性和异步性。安全性要求防火墙本身不受威胁，也不存在漏洞；完整性要求防火墙能对通过防火墙的所有对象及其内容进行全面审查，不能遗漏；异步性要求防火墙必须对进入防火墙的数据进行严格审查，审查通过后才能放出，否则抛弃，禁止放出任何未经审查完的数据。而目前技术上很难保证防火墙具有安全性，完整性和异步性，更难保证所有进出网络的数据都经过防火墙。因此，防火墙作为网络边界上的主要安全设备并不是坚不可摧的。据有关资料报道，防火墙被攻破的概率已接近1/2，这对工业网络系统安全构成了严重威胁。防火墙的局限性主要表现在以下几个方面： 防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。 防火墙无法防止绕过它的攻击行为。 防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。 防火墙不能防止由自身安全漏洞引起的威胁。 防火墙对用户不完全透明，难于管理和配置，易造成安全漏洞。 防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。 由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。 防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。防火墙的局限性必然导致其存在许多漏洞，这些漏洞表现在： 由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。 防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。 防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。 防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。 防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。从防火墙的实际使用情况来看，通过防火墙很难在根本上保证生产控制区的网络安全。2. pSafetyLink产品简介pSafetyLink是种专为工业网络应用设计的防护设施，用于解决工业SCADA控制网络如何安全接入信息网络（外网）的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接，只完成特定工业应用数据的交换。由于没有了网络的连接，攻击就没有了载体，如同网络的“物理隔离”。由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的分开。pSafetyLink通过内部的双独立主机系统，分别接入到控制网络和信息网络，双主机之间通过专用硬件装置连接，从物理层上断开了控制网络和信息网络的直接网络连接。同时pSafetyLink通过内嵌的高性能工业通信软件，支持各种主流工业SCADA通信标准，如：OPC、Modbus、DNP3等。3. 应用环境pSafetyLink适用于各种工业SCADA系统的网络安全防护。典型应用领域有：流程工业DCS控制系统的网络安全防护；电力系统现场IED设备的网络安全防护；轨道交通ISCS的网络安全防护；煤矿、冶金行业现场控制系统的网络安全防护等。下面分别介绍了几种典型的应用环境。3.1. 基于OPC的应用OPC标准由于其开放性和高效性，现在已被广泛应用于自动化控制领域及生产信息管理中。目前大多数DCS系统、SCADA系统对外都提供了OPC Server，以便为上层MES、生产调度等管理信息系统提供实时生产数据。同时几乎所有的MES系统、生产调度系统的采集接口也都提供了OPC Client以便能实现对OPC Server数据的采集。然而OPC Server与OPC Client的通信依赖过程控制系统网络与管理信息系统网络的直接连通。管理信息系统的网络出于业务需要一般要连接到互联网络，这样会对过程控制系统网络的安全带来极大的隐患。pSafetyLink的双独立主机系统分为控制端和信息端，分别接入过程控制系统网络和管理信息系统网络，各自完成与OPC Server和OPC Client的通信，同时两主机之间采用PSL专用网络隔离技术，在保证OPC数据快速交互的同时彻底阻断了网络的连接，保证了过程控制系统网络的安全。3.2. 基于Modbus、DNP3的应用Modbus是基于PLC的一组通信协议。它已经成为行业内互相通信的标准协议，也是目前最常用的工业系统电子设备之间的通信方式。DNP3(分布式网络协议)是使用在工序自动化系统各部件之间的通信协议规约。它主要用于像电力、水力等公用事业单位。此外，它的发展使得不同形式的数据获取与控制设备之间的交流更为便利。调度自动化系统的后台为了实时获取现场设备的数据，经常需要通过网络使用Modbus、DNP3等通信规约进行数据传输。然而调度数据网络与现场控制设备的直接连通，就相当于将控制系统直接暴露给外网而面临被攻击的可能。pSafetyLink内嵌高性能工业通信软件，支持Modbus、DNP3等标准通信规约，可以实现调度自动化后台系统与现场设备的实时通信，并根据需要可设置数据方向。当设置为单向方式时，后台系统的所有数据回置操作将被屏蔽，以保证现场控制设备的安全。4. 产品架构4.1. 硬件架构pSafetyLink内部两端由两个独立主机系统组成，每个主机系统分别具有独立的运算单元和存储单元，各自运行独立的操作系统和应用系统。其中一端的主机系统为控制端，负责接入到SCADA控制网络；另一端为信息端，负责接入到信息网络（外网）。每端主机的硬件均采用高性能嵌入式计算机芯片，底板上各有多个以太网接口用来连接要隔离的两个网络。每侧主机的总线上各安装一块专用隔离通信卡实现双机之间的物理连接。另外还提供一个标准RS232的控制台端口，用来连接配置终端，方便管理人员对网关设备进行控制。双机之间通信协议采用专有加密算法实现数据加、解密处理，保证传输数据的安全性。硬件看门狗时刻监视系统状态，保证装置的稳定、可靠运行。pSafetyLink硬件架构图4.2. 软件架构pSafetyLink的控制端与信息端主机分别运行嵌入式高性能工业通信软件。控制端提供客户端及Master（主端）接口，支持各种主流工业SCADA网络通信标准，如：OPC Client、Modbus TCP Master，实现对SCADA系统的接入与通信；信息端主机提供服务器端及Slave（从端）接口，支持的通信标准有：OPC Server、Modbus TCP Slave，实现与各种远程后台系统、数据中心系统、数据库系统的接入和数据交互。pSafetyLink软件架构图5. 主要技术5.1. 安全技术作为工业网络安全防护产品，pSafetyLink通过多项安全技术保障控制网络的安全。5.1.1. 内核安全技术为了保证系统安全的最大化，pSafetyLink已经将嵌入式内核进行了裁剪和优化。目前，内核中除了与工业标准通信如：OPC、Modbus TCP有关的服务与端口外，裁剪掉了其它所有无关的网络服务、系统功能，屏蔽了无关端口，进一步提高了系统安全性和抗攻击能力，免于黑客对操作系统的攻击，并有效抵御 Dos/DDos 攻击。5.1.2. 网络隔离技术pSafetyLink采用截断 TCP 连接的方法，彻底割断穿透性的 TCP 连接。pSafetyLink的控制端与信息端主机之间采用专有的PSL网络隔离传输技术。PSL的物理层采用专用隔离硬件，链路层和应用层采用私有通信协议，数据流采用128 位以上加密方式传输，更加充分保障数据安全。PSL技术通过物理隔离与专有隔离传输技术，实现了数据完全自我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根本上杜绝了非法数据的通过，确保控制端不会受到攻击、侵入。5.1.3. 测点访问控制由于pSafetyLink内部完全实现了通信协议的接口服务，因此可以实现针对测点一级的访问控制。例如：对于OPC标准可以控制到Item（项）一级，对于Modbus/TCP标准可以控制到具体某个寄存器。对测点的访问，pSafetyLink可以指定在控制端允许接入哪些测点，哪些不允许接入；另一方面，如果信息端存在多个服务，可以指定哪些测点允许暴露给哪个服务，同时对哪些测点进行屏蔽（信息端无法访问）。5.1.4. 身份认证当要对pSafetyLink装置进行各种操作（如：修改网关工程、升级程序、查询日志等）时，pSafetyLink提供了严格的身份认证来管理连接权限。pSafetyLink具备两种连接方式：网络方式（以太网接口）和控制台方式（RS232接口）。两种连接方式采用统一的连接权限管理，均需要使用系统管理员帐号登入。pSafetyLink采用基于数字签名技术的高安全性认证机制，保证了系统的机密性、完整性和不可否认性。5.2. 可靠性技术为了保证产品可靠性，pSafetyLink内嵌的高性能工业通信软件提供完善的系统在线自诊断、故障自动恢复、看门狗管理等系统功能。系统诊断子系统实时检测系统内各进程、线程的运行状态，同时对关键的硬件模块进行诊断，当发现异常时自动产生报警信息，并在符合条件的情况下启动自动恢复逻辑。I/O通信子系统具备完善的故障自动恢复功能。当发生网络通信中断的情况时，I/O通信子系统会立刻报告通信状态位的变化，同时启动通信重连机制，当网络通信恢复后，能迅速重新建立网络连接，恢复数据通信。pSafetyLink内置软件看门狗和硬件看门狗，时刻监视系统状态，保证装置的稳定、可靠运行，确保万无一失并且反应迅速。双侧主机均有独立的看门狗，保障每侧主机的稳定运行。5.3. 系统性能pSafetyLink系列网关产品按照高性能工业通信网关标准设计，硬件平台采用高性能嵌入式计算平台，系统选用优化裁剪的内核系统，内嵌高速实时数据平台和I/O通信组件，使整个系统达到较高的性能，可以满足各种工业应用场合。下面列出了pSafetyLink的主要性能指标： 单机额定容量：10,00040,000点； 额定数据吞吐量：10,000 TPS； 峰值数据吞吐量：20,000 TPS； 单机额定连接数：控制端512个，信息端512个； 系统MTBF 30000小时6. 主要功能6.1. 开发工具PSL-ConfigPSL-Config工具软件是专为 pSafetyLink系列产品设计的通用智能化配置、管理与调试工具。它基于Windows NT/2000/XP 平台，提供基于 XP 风格的表格化交互式人机界面，采用基于向导的操作模式，操作十分简便。 工程化配置管理PSL-Config按照工程方式进行配置管理。PSL-Config可以对不同网关的不同现场应用案例分别按照不同的工程进行管理。每个工程包含了一种特定型号网关针对一个特定工程应用的全部配置文件，包括：内嵌数据库配置、I/O通信配置、网络配置、系统参数配置等。每个工程的配置文件都存放在不同的目录下。 模板化测点管理PSL-Config对测点除了提供单点配置功能外，还提供了非常适用的模板功能。模板功能可以大大提供用户工程组态的效率，减少组态的差错率。对于OPC服务器，PSL-Config可自动遍历服务器所有测点并生成模板。用户也可以手工编辑模板然后导入到工程中。 测点级访问权限管理一方面，通过PSL-Config可以控制在控制端允许接入哪些测点，哪些不允许接入；另一方面，如果信息端存在多个服务，通过PSL-Config可以指定哪些测点允许暴露给哪个服务，同时对哪些测点进行屏蔽（信息端无法访问）。 测点读写访问控制pSafetyLink对每个测点均可设为“只读”或“读/写”属性。当设为“只读”属性时，所有数据回置操作被禁止以控制数据流向为单向。 网关远程管理及控制台管理PSL-Config对网关提供2种管理方式：远程管理方式和控制台管理方式。远程管理是通过网络接口实现对网关的管理，包括：联机及用户登录、查询网关状态、上传或下载工程、修改密码、升级软件等功能。另一种方式为控制台管理方式，通过网关的控制台端口（RS232）实现对网关的管理。2种方式的操作方式完全相同。无论采用哪种方式，pSafetyLink均提供了严格的身份认证来管理连接权限。6.2. 监视工具PSL-MonitorPSL-Monitor工具软件是专为 pSafetyLink系列产品设计的通用监视工具。基于Windows NT/2000/XP 平台，提供基于 XP 风格的交互式人机界面。与PSL-Config类似，PSL-Monitor可通过：远程管理方式和控制台管理方式2种方式对网关进行监视。无论采用哪种方式，pSafetyLink均提供了严格的身份认证来管理连接权限。PSL-Monitor提供的监视功能包括：查询网关状态、查询运行状态、在线监视测点数据、在线监视通信报文信息、查询授权状态、查询程序版本信息、查询调试信息、查询日志信息等。6.3. 通信标准pSafetyLink支持各种主流的SCADA通信标准。同时pSafetyLink是个开放系统，支持自定义通信协议扩展。控制端： OPC Client（支持OPC DA1.0,DA 2.0,DA3.0）； Modbus TCP Master、IEC60870-5-104 Master、DNP3 Master等； 支持自定义通信协议扩展；信息端： OPC Server； Modbus TCP Slave、IEC60870-5-104 Slave、DNP3 Slave等； 支持自定义通信协议扩展；7. 硬件平台pSafetyLink硬件平台专门面向工业应用场合设计，从设计到生产流程都严格遵照工业品标准进行，以满足苛刻工业现场的要求，具有极高的可靠性、稳定性。7.1. 隔离硬件结构pSafetyLink系列网关产品由两个独立高性能嵌入式主机及辅助装置形成安全隔离系统。双主机之间采用基于总线通信的隔离通信卡实现两个安全区之间的非网络方式的数据交换，并且采用安全算法保证内外两个处理系统之间通信的安全性，在保证安全隔离的前提下，实现数据的高速交换。7.2. 硬件设计pSafetyLink系列网关产品硬件采用高可靠设计原则。供电系统采用高可靠开关电源，平均无故障时间达60000小时以上。在 PCB 板的设计中，加有线性稳压及滤波装置，并严格按照 EDA 对高频电路设计的要求，设计了单独的电源层与地层，进一步保证了整个板上电源的稳定性。7.3. 硬件优化pSafetyLink系列网关产品硬件充分考虑工业现场的特殊运行环境。硬件模块都采用电子式长寿命设计，设计遵循分布均匀、布局合理的原则，风扇处增加了防护罩，而且紧靠散热源，起过滤作用，避免灰尘和湿气；机箱散热风扇也采用滚轴风扇，保证了风扇的长期可靠运行；通过增加专用转接板，起到了更好的加固和抗震作用；即使在长途的运输过程中，也能充分地保障设备内部的完整性和可用性。7.4. 生产流程控制pSafetyLink系列网关产品严格遵循 ISO9000 2000