Tofino(多芬诺)工业网络安全解决方案.doc

工业网络安全解决方案一、概述数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。工信部协2011451号通知明确指出，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。二、行业现状与分析大多数企业模型化后的系统网络结构如上图所示，由信息层（Information zone）、操作站层（Station zone）和控制器层（Controller zone）三大部分组成。目前的现状是大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I / O功用为主，而並不提供加强的网络连接安全防护功能。在整个网络中存在多个网络端口切入点需要防护，并且许多控制网络都是“敞开的”，不同的子系统之间都没有有效的隔离，尤其是基于OPC、MODBUS等通讯的工业控制网络，其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓延。目前国内针对工业控制网络的防护标准尚未成型，公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法。在国际上，美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准（该标准由美国国土安全部颁布）以及2008年颁布的US Chemical Anti-Terrorism Act（美国化学反恐怖主义法）针对化工设备安全做了强制要求，目前，石油，水处理以及制造业都还没有必须按照以上立法规定作业，但是为了避免重大的风险，基本都遵守行业标准ANSI/ISA-99 Standards的要求进行规划。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005，均指出过程控制系统或SCADA控制网络应与其他系统隔离，包括企业IT网络。ANSI/ISA-99指出过程控制系统或SCADA控制网络的控制网络安全要点如下：要点名称要点描述达到目标区域划分具备相同功能和安全要求的设备在同一区域内安全等级分区管道建立实现区域间执行管道通信易于控制通信管控通过控制区域间管道中通信管理控制来实现设备保护数据通信可控业内专家建议，控制系统应放置在商业/过程控制网络（PCN）防火墙之后（援引自ISA-dTR99.00.02 Integrating Electronic Security into the Manufacturing and Control Systems Environment and the CPNI Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks）。此外，专家还推荐隔离区（Demilitarized Zone ，DMZ）采用共享IT / PCN资产（如历史数据）的部署方式。如下图所示正是这种架构：需要重点解释的是，商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子，商业防火墙通常允许该网络内的用户使用HTTP浏览因特网，而控制网络则恰恰相反，它的安全性要求明确禁止这一行为；再比如，OPC是工业通讯中最常用的一种标准，但由于OPC基于DCOM技术，在应用过程中端口在1024-65535间不固定使用，这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中，选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求，Tofino是一种经济高效的方式。三、Tofino解决方案3.1 方案亮点Tofino能够用来分离安全系统网络与过程系统网络，实现关键系统与非关键系统的物理隔离。与普通商用防火墙相比，Tofino更适于工业控制系统安全防护，主要体现在：（1）工业型：参照ANSI/ISA-99 Standards的安全要求为设计理念，产品更具针对性和高效性，专门用于工业控制系统的安全保护。 内置50多种专有工业通信协议，与常规防火墙不同的是，Tofino防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。 具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。（2）独有专利安全连接技术： 首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。 集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。（3）实时网络通讯透视镜：能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。3.2 方案构成一个完整的Tofino安全解决方案包括以下四部分：（1）Tofino安全模块（TSA）增强型工业环境要求设计，即插即用，应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年，能够提供安全系统的工业平台。 Tofino安全模块（TSA-100 ） Tofino安全模块（TSA-220）（2）Tofino可装载安全软插件(LSM)专为工业通讯协议设计的安全软插件，可以直接装载到Tofino安全模块中，并根据系统需求提供各种定制安全服务。基本软插件可分为：Tofino Firewall LSM工业通信防火墙；工业网络交通警察，提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议，预先定义超过25个控制器类型（例如：西门子S7-300/S7-400，Honeywell PKS C200/C300/）；LSM在线协议组态，可自己定制通讯协议或者通过设备学习功能实现通讯协议定制；通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规则”。 符合 ANSI/ISA-99.00.02 的网络分段要求，达到区域隔离目标。Event Logger LSM事件日志与报警管理；Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。OPC Enforcer LSM通信深度检测及防护；专门用于标准OPC协议通讯的网络安全技术，它可以检查，追踪并安全保护每一个OPC应用程序创建的连接。它动态地为指定的OPC客户端和服务器打开端口，并且是只打开每个连接所需要的唯一的TCP端口。它简单易用，在OPC客户端和服务器无需改变任何配置，无需改变任何原有的网络结构，这种先进的解决方案超越了传统的防火墙。优势在于在OPC工业协议上最先应用“连接跟踪技术” ；Tofino的 Sanity Check 检查功能，可拦阻任何不符合OPC标准格式的DCE/RPC 访问；OPC通讯权限管理，OPC协议深度检查，管控通讯安全；只在所跟踪的TCP端口有需要时，防火墙才短暂地打开；可支持多个 OPC 客户端和服务器同时使用； 简单易用，在OPC服务器或客户端上并不需要做任何变化和改动只是在通讯网线中间加入即可；可支持OPC DA, HDA 和 A&E 标准；实现区域防护和病毒隔离，阻挡恶意攻击，得到OPC基金会的大力推荐。 Modbus TCP Enforcer LSM通信深度检测及防护；首个能够深入协议内部检测工业协议的产品，控制工程师可定义允许的Modbus指令，寄存器和线圈名单列表。自动阻止并报告任何流量不匹配您的规则。所有协议要被完整全面的检查, 检察并阻止任何不符合Modbus通讯协议的通讯内容。Secure Asset Management LSM安全设备资产管理；像雷达一样，Tofino的安全设备资产管理（SAM）可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过，为了避免引起进程干扰，它实现这一功能使用的并不是传统的扫描技术。VPN加密等。使用安全套接字协议（SSL）技术创建高度安全的“隧道”来保护控制系统的完整性，安全性。易于敷设，测试和管理配置，通过可视的拖放操作界面使组态简单易行。在不影响正常控制网络通讯的情况下可进行VPN通道测试。支持早期的自动化协议。与其他Tofino产品相互协同操作，提供更加强大细致的VPN接入和SCADA功能的防火墙保护。（3）Tofino中央管理平台（CMP）窗口化的中央管理平台系统及数据库，用于Tofino安全模块的配置、组态和管理，并能实现系统的报警和日志的实时监控和历史查询。能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。具备在线组态、在线监控、资产管理等多种功能。（4）Tofino安全管理平台（SMP）SMP Server接收CMP或TSA的日志和报警记录，并将日志和报警存储在服务器数据库中。SMP Client安装在办公局域网上的办公电脑中，支持以图形的方式实时显示CMP或TSA收集的日志和报警记录，并且支持日志和报警的查询。3.3 方案介绍与实施产品的选型和方案的实施可以概括为以下三步，实际中对于不同的环境和安全要求，具体的方案和实施过程略有不同。第一步：创建网络安全分区，确定在何处放置TOFINO安全设备TSA。第二步：确定需要哪些可装载安全功能软插件(LSMs)，以确保每个区域安全不同的要求。第三步：选择一个服务器或工作站安装TOFINO中央管理平台CMP和Tofino安全管理平台SMP，CMP和SMP也可以分别安装在不同的机器。针对企业流程工业的特点，同时结合上述控制系统的网络结构，Tofino在以下三个方面提供安全高效的全方位防护。（1）信息层与操作站层之间是过程控制网络与企业信息网络的借口部位，是企业目前信息部与仪控部的交叉点，由于来自企业信息层病毒感染与入侵的概率较大，所以该部位是目前防护的重点，可以使用Tofino进行保护。考虑到该部位通常采用OPC接口进行通信，建议选用以下LSM：所需LSM软件功能Firewall LSM工业网络交通警察，内置50多个工业专用及商业IT通信协议，预先定义了超过25个控制器内型，通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规则”。符合ANSI/ISA-99.00.02的网络分段要求。OPC Enforce LSM管控OPC服务器及授权客户端之间的数据通信，并且应用专有技术动态跟踪OPC通信所需端口，同时Tofino特有的Sanity Check检查功能能够阻挡热河不符合OPC标准格式的DCE/RPC访问。同样也对OPC授权客户端发往OPC服务器的OPC对象请求进行检查，以提高OPC服务的安全性。Tofino Argon Event Logger LSM对安全事件提供可靠的监控和记录功能，是一个专门为工业控制网络设计的日志记录系统。通过以上配置，解决下列问题：阻止来自企业信息层的病毒传播；阻挡来自企业信息层的非法入侵；管控OPC客户端与服务器的通讯；（2）针对操作站层各个节点之间的相互影响，方案将OPC Server、工程师站以及高级应用先控站三个节点分为一组，通过Tofino模块进行隔离。 建议可选的LSM如下：所需LSM软件功能Firewall LSM工业网络交通警察，内置50多个工业专用及商业IT通信协议，预先定义了超过25个控制器内型，通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规则”。符合ANSI/ISA-99.00.02的网络分段要求。Tofino Argon Event Logger LSM对安全事件提供可靠的监控和记录功能，是一个专门为工业控制网络设计的日志记录系统。 通过以上配置，解决下列问题：通过CMP对Firewall LSM进行组态，将OPC Server、工程师站和高级应用先控站独立分为一个区域，该区域的所有通讯都由Tofino防火墙进行过滤，只有指定的通讯和相关的数据才被允许通过，从而防止病毒扩散到整个操作站层面； 管控局部网络通讯速率，防止网络风暴的发生；（3）对于控制器层，考虑到该层面通讯通常采用制造商专用协议，且是冗余结果，可以将自身保护能力较弱的控制器进行隔离防护，根据具体情况和不同应用，可单个控制器分别隔离或者多个控制器分组隔离。建议配置以下LSM：所需LSM软件功能Firewall LSM工业网络交通警察，内置50多个工业专用及商业IT通信协议，预先定义了超过25个控制器内型，通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规则”。符合ANSI/ISA-99.00.02的网络分段要求。Tofino Argon Event Logger LSM对安全事件提供可靠的监控和记录功能，是一个专门为工业控制网络设计的日志记录系统。通过以上配置，解决下列问题：通过CMP对Firewall LSM进行组态，只允许制造商专有协议通过，其他任何来自操作站的非法访问都被阻挡在外面；对网络流向进行管控，可以指定专有的某个操作站才能访问某个控制器；管控局部网络的通讯速率，防止控制器遭受网络风暴和其他攻击，从而避免控制器死机；最后选择网络中合适的机器安装CMP和SMP，将全厂所有设备硬件都集中管理