供需大厅

登录/注册

公众号

更多资讯,关注微信公众号

小秘书

更多资讯,关注荣格小秘书

邮箱

您可以联系我们 info@ringiertrade.com

电话

您可以拨打热线

+86-21 6289-5533 x 269

建议或意见

+86-20 2885 5256

顶部

荣格工业资源APP

了解工业圈,从荣格工业资源APP开始。

打开

工业自动化控制系统的网络安全方案设计

来源:荣格 发布时间:2018-12-04 376
金属加工其他测量及控制系统模具及冲模金属切削机床金属成型机床电子芯片电子芯片设计/电子设计自动化(EDA)设计/电子设计自动化(IP类软件) 技术前沿
收藏
在设计和布局全面的、具有深度防御功能的工业网络安全策略时,有一些普遍适用的规则必须得到重视,以此才能保证IACS工业自动化控制系统的整体安全性。本文着重从三个方面讨论建立CPwE工业以太网安全框架时需要考虑的要素。

工业自动化控制系统(Industrial Automation and Control System,简称IACS)的全面防护,不能依靠单一的产品、技术或方案来实现。IACS的安全依赖于全面的、具有深度防御功能的网络安全方案,方案必须充分考虑内部和外部的安全威胁,并且要从IACS的多个层面(包括:物理层面、程序层面、电子层面)出发,针对每个层面所面临的威胁的不同特点,采取不同策略和过程,实施多种层次的防御措施。

为了让上述的深层防御方案得以顺利实施,需要采取一定的操作流程来建立和维持系统的安全性。安全操作流程中既应包括对所有IACS中设备种类和位置的识别,又应包含对内部和外部的威胁或安全薄弱点的识别,进行安全风险评估,在充分了解设备的应用场景和功能特点的基础上,制定出可以平衡应用和功能要求,并保证数据可用性、完整性和机密性的合理方案。

综合化的IACS网络安全框架的设计和实施,应该作为IACS过程的一个自然延伸。工业网络安全框架必须渗透到整个IACS过程中,并且成为核心。一个成功的安全框架方案,必须有效做到技术和非技术(策略和过程)要素的平衡。IACS深层网络防御措施应包括但不仅限于策略、流程、可探查性、物理安全、网络安全、计算机加固、应用安全和设备加固的层面。

工业网络安全框架

在融合型全厂以太网(Converged Plantwide Ethernet,简称CPwE)的构架中,需要使用一定的工业标准构建一个工业网络安全框架。这个工业网络安全框架为数据传输管理和策略执行建立了网络划分的基础。该框架采取深层防御方式并且符合工业安全标准的规定,比如ISA/IEC-62443(前版本ISA-99)工业自动化控制系统(IACS)安全标准和NIST800-82工业控制系统(ICS)安全标准。其主要组成部分包括工业安全政策、工业非军事区(Industrial Demilitarised Zone ,简称IDMZ)、控制器加固、Layer 2访问开关加固、防火墙、网络基础设施访问保护、信任域和远程访问安全策略。

下文将从三方面来拓展讨论CPwE工业网络安全框架的构建,它们分别为:Layer 2访问开关加固、统一威胁管理(Unified Threat Management ,简称UTM)、控制器访问——加密通信。

Layer 2访问开关加固

Layer 2的存取开关可以由以太网管理型交换机来充当,诸如Stratix 5700和Stratix 8000,这样就能实现有效的访问限制。

◆ 物理层面:

a.仅授权人员有对控制面板或区域设备的使用权

b.利用Panduit线缆端子来封锁开放的接入端口,包括铜缆和光纤端口。

◆ 电子层面:

a.Layer 2媒体访问控制(Layer 2 Media Access Control,简称MAC)保障访问端口的安全

b.Layer 3访问控制列表(Layer 3 Access Control Lists,简称ACLs)

c.使用虚拟局域网(VLANs)将单元/区域划分为更小的信任域

d.使用CIP通信协议(EtherNet / IP的应用层协议)来禁用可编程自动控制器(Programmable Automation Controller,简称 PAC)和操作员界面的访问端口

e.流量阈值设置用以监控(通过CIP通信协议)和制止一切潜在的拒绝服务(Denial of Service,简称DOS)攻击

f.启用加密版本的交换机操作系统(OS)

统一威胁管理UTM

现代的防火墙设备提供一系列的安全服务。统一威胁管理(UTM)设备是多功能集成化的安全设备,对IACS的网络安全可以起到有力保障。 Stratix 5900 UTM安全设备就是这样一款产品,它集防火墙,安全路由,虚拟专用网(Virtual Private Network,简称VPN),入侵防御,网络地址转换(Network Address Translation,简称NAT)和内容过滤等多种功能于一身。 在CPwE工业网络安全框架中有3个合适UTM设备的应用场合:

1.站点到站点的连接:通过站点到站点的VPN连接,借由一个“非信任”的网络站点,将“可信任”工业区域网络和远程站点进行对接。

2.细分区域防火墙:保证细分区域免受大工业区域的影响。

3.OEM集成:提供从设备或流程解决方案供应商到客户工厂/站点范围的网络基础架构的无缝集成。

Stratix 5900的站点到站点连接能力

传统的VPN连接是以“不信任”(不安全)原则来保障两个设备之间的网络连接安全的。 不同供应商所选择VPN技术不尽相同; 通常来说, 在“不信任”原则下建立的网络传输,数据将被加密或封装,这样可以有效保证数据的完整性,并能够防止任何形式的数据窃取。 站点到站点的VPN连接则可以通过一个非信任站点(私有,半私有或公有站点),来建立远程IACS应用程序和中心站点(工业区域)之间的连接。 站点到站点的VPN连接所使用到的技术,均为广泛应用于企业网络和IT领域的成熟技术。



由于工业以太网是基于标准的互联网协议(IP)构建的,因此站点到站点的网络连接可以使用任一支持IP协议的Layer 2技术来实现。 Stratix 5900同时具有以太网和智能串行广域网(Smart Serial Wide Area Network ,简称WAN)的端口,可自由应用于各种WAN网络连接中。 站点到站点的VPN连接是一种永久性的“持续在线”技术。 允许对IACS设备的远程连续监控。由于所使用的网络技术是标准化的,IACS VPN连接也可以用于其他关键网络的构建中。

在Stratix 5900站点到站点的连接设计中,需要考虑的因素包括将“非信任”站点(私有,半私有或公有)安装到所有分布的远程站点中(这不是必需的)。 防火墙将起到终止VPN隧道并过滤两端连接流量的作用,这不是一种Ad-Hoc(点对点)模式的、临时性的解决方案。

控制器加固——加密通信

在融合型全厂以太网(CPwE)工业网络安全框架中,控制器通信的安全性是通过一个“可信任 ”的站点来保障的,关键要素有两个分别为额外的访问控制(认证)和数据完整性保护(加密)。 这里举一个批量数据从3级站点传输到单元区域的例子,来说明数据的完整性和加密性是如何得到保护的。 具体来说,ControlLogix(PAC)1756-EN2TSC安全通信模块会利用IP安全协议(IPsec)或Layer 2隧道协议(L2TP),在一个“可信任 ”的CPwE网络上提供身份验证和数据加密服务。

下面从三个特别的应用实例,来看如果在“可信任 ”的CpwE工业以太网安全框架中实现控制器通信加固:

1.从通信模块到通信模块:在同级通信模块间建立永久连接,也就是两个1756-EN2TSC模块间的IPsec加密隧道。

2.从通信模块到工厂对话应用程序(FactoryTalk Application):在通信模块和工厂对话应用程序/数据服务器间建立永久连接。

a.小型应用程序,从1756-EN2TSC 模块到2008 Windows 服务器的 Ipsec加密隧道。

b.大型应用程序,从1756-EN2TSC模块到Cisco ASA防火墙的IPsec加密隧道,以及从ASA防火墙到2008 Windows服务器的IPsec加密隧道。这种方法拓展了Cisco ASA防火墙安全策略的集中管理性,并且简化了大型IACS应用程序的部署和管理流程。

3.从工作站到通信模块:通信模块配置和管理的Ad-Hoc模式临时连接,从Windows 7客户端到1756-EN2TSC模块的L2TP加密隧道。

数据加密设计所需要考虑的因素

数据加密设计可以考虑将不同控制器和设备的加固功能结合起来使用,来获得访问权限的额外配置。 也可以考虑使用单独的通信桥接模块来建立IACS设备(例如I / O端口,驱动器,仪器)间的网络连接。 1756-EN2TSC目前不支持NAT设备间的通信连接。 它所使用的是标准化的Microsoft Windows 7 VPN客户端,可以将Ad-Hoc设备(如工程工作站)连接到控制器。 标准的嵌入式VPN客户端还可用于设备的永久连接,如控制器和Windows Server 2008间的连接等。此模块可应用于“可信任 ”的CPwE工业网络安全框架中,而并不适用于“非信任”网络(私有,半私有或公有)连接中。

IACS网络基础设施的安全保障

IACS工业自动化控制系统的安全保障不能依靠单一的产品、技术或方案来实现。 要对IACS网络基础设施进行有力保护,需要采取具有深度防御功能的工业网络安全框架来对抗来自于内部和外部安全威胁。 这一安全框架必须平衡技术(电子技术)和非技术(例如物理,策略,流程)要素的所占比重。并且它应该基于一组明确定义的安全策略和流程,利用好已建立的IT流程,同时平衡IACS应用程序的各功能要求。

收藏
推荐新闻