[ 关闭 ]
首页

新闻资讯

[ 分类 ]

分类:

Modbus TCP通讯安全解决方案

Modbus是由Modicon在1979年发明的,是全球*个真正用于工业现场的总线协议。在我国,Modbus已经成为国家标准GB/T19582-2008。Modbus协议是应用于电子控制器上的一种通用语言。通过此协议,控制器相互之间、控制器经由网络(例如以太网)和其它设备之间可以通信。它已经成为一通用工业标准。

1、概述

SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。工信部协[2011]451号通知明确指出,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。

使用Modbus协议,不同厂商生产的控制设备可以连成工业网络,进行集中监控。此协议定义了一个控制器能认识使用的消息结构,而不管它们是经过何种网络进行通信的。它描述了一控制器请求访问其它设备的过程,如何回应来自其它设备的请求,以及怎样侦测错误并记录。它制定了消息域格局和内容的公共格式。

当在一Modbus网络上通信时,此协议决定了每个控制器须要知道它们的设备地址,识别按地址发来的消息,决定要产生何种行动。如果需要回应,控制器将生成反馈信息并用Modbus协议发出。在其它网络上,包含了Modbus协议的消息转换为在此网络上使用的帧或包结构。这种转换也扩展了根据具体的网络解决节地址、路由路径及错误检测的方法。Modbus具有以下几个特点:

●标准、开放,用户可以免费、放心地使用Modbus协议。目前,支持Modbus的厂家超过400家,支持Modbus的产品超过600种。

●Modbus可以支持多种电气接口,如RS-232、RS-485等,还可以在各种介质上传送,如双绞线、光纤、无线等。

●Modbus的帧格式简单、紧凑,通俗易懂。用户使用容易,厂商开发简单。

2、现状与分析

简单的系统网络结构如上图所示,由信息层(Informationzone)、操作站层(Stationzone)和控制器层(Controllerzone)三大部分组成。控制器层和操作站层之间的通讯遵循Modbus协议。目前的现状是大多数控制网络中在运行的电脑,很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I/O功用为主,而並不提供加强的网络连接安全防护功能。并且许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,当操作站层面出现问题被攻击后,病毒就通过网络迅速蔓延,影响到控制层设备,给工厂带来巨大损失。

目前,石油化工,水处理以及制造业等为了避免重大风险,基本都遵守行业标准ANSI/ISA-99Standards的要求进行规划。ANSI/ISA-99及NorthAmericanElectricReliabilityCouncil(NERC)CIP-005,均指出过程控制系统或SCADA控制网络应与其他系统隔离,包括企业IT网络,控制网络安全要点如下:

需要注意的是,商业网络的安全需求与控制网络的安全需求在某些地方完全不同。就工业领域通讯应用来讲,网闸及普通IT防火墙在功能上存在一定局限性,无法实现基于工业控制网络要求的安全防护,并且不利于后期维护。因此不要试图将控制系统放入IT解决方案中,选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求,Tofino是一种经济高效的方式。

3、Tofino解决方案

本方案主要致力于解决现场以Modbus协议通讯的控制层设备的安全问题。

3.1方案亮点

Tofino能够用来分离安全系统网络与过程系统网络,实现关键系统与非关键系统的物理隔离。与普通商用防火墙相比,Tofino更适于工业控制系统安全防护,主要体现在:

(1)工业型:

●参照ANSI/ISA-99Standards的安全要求为设计理念,产品更具针对性和高效性,专门用于工业控制系统的安全保护。

●内置50多种专有工业通信协议,与常规防火墙不同的是,Tofino防火墙不仅是在端口上的防护,更重要的是基于应用层上数据包深度检查,属于新一代工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

●具备在线修改防火墙组态功能,可以实时对组态的防火墙策略进行修改,而且不影响工业实时通讯。其它防火墙需要断电、重启等。

●工业型设计,导轨式安装,低功耗无风扇,具备二区防爆认证。

(2)独有专利安全连接技术:

●首先防火墙自身是基于非IP的独有专利安全连接技术进行管理,能够阻挡任何欺骗式攻击。

●能够隐藏防火墙后端所有设备的IP地址,让入侵者无法发现目标,更无从谈发动任何攻击。

●集防火墙与虚拟路由于一身,能够像网络交通*一样管控通讯网络数据通讯的路径、对象以及数据流的方向,可以设定数据流入、流出的单向或双向。

(3)市面上*满足ANSI/ISA-99和NERC-CIP标准

根据ANSI/ISA-99和NERC-CIP标准,TSA可以很方便的针对PLC、DCS、RTU、IED和HMI提供一个性价比很高的安全分区——一个配置得当的保护区域分组。

(4)特有‘测试’模式

‘测试’模式可以在对控制系统无任何风险的情况下进行防火墙和VPN测试。TEST模式不同于实际的操作模式,在TEST模式中,Tofino允许所有的通讯通过,但是由CMP报告在操作模式下任何可能被拦截的通讯。这一点对于工业或SCADA控制系统的安全操作相当关键,用传统的IT防火墙是不可能实现的。这也是Tofino适合于工业控制系统的独特性的一个方面。

(5)实时网络通讯透视镜:

能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具,能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录,保证控制网络通讯的实时诊断。

3.2方案构成

一个完整的Tofino安全解决方案包括以下四部分:

(1)Tofino安全模块(TSA)

增强型工业环境要求设计,即插即用,应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。硬件设计遵循增强型工业环境要求,应用于受保护的区域或控制器等关键设备之前,设计使用寿命27年,能够提供安全系统的工业平台。

(2)Tofino可装载安全软插件(LSM)

专为工业通讯协议设计的安全软插件,可以直接装载到Tofino安全模块中,并根据系统需求提供各种定制安全服务。方案中可选的基本软插件包括:

●TofinoFirewallLSM工业通信防火墙;

工业网络交通*,提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议,预先定义超过25个控制器类型(例如:西门子S7-300/S7-400,HoneywellPKSC200/C300/);LSM在线协议组态,可自己定制通讯协议或者通过设备学习功能实现通讯协议定制;通过通讯协议指令级别的管控,预先组态用于高级过滤和攻击保护的“特殊规则”。符合ANSI/ISA-99.00.02的网络分段要求,达到区域隔离目标。

●ModbusTCPEnforcerLSM通信深度检测及防护;

*能够深入协议内部检测工业协议的产品,控制工程师可定义允许的Modbus指令,寄存器和线圈名单列表。自动阻止并报告任何流量不匹配您的规则。所有协议要被完整全面的检查,检察并阻止任何不符合Modbus通讯协议的通讯内容。

●SecureAssetManagementLSM安全设备资产管理;

像雷达一样,Tofino的安全设备资产管理(SAM)可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过,为了避免引起进程干扰,它实现这一功能使用的并不是传统的扫描技术。

●EventLoggerLSM事件日志与报警管理;

Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能,它是一个专为工业控制网络设计的日志记录系统。

(3)Tofino中央管理平台(CMP)

窗口化的中央管理平台系统及数据库,用于Tofino安全模块的配置、组态和管理,并能实现系统的报警和日志的实时监控和历史查询。能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具,能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录,保证控制网络通讯的实时诊断。具备在线组态、在线监控、资产管理等多种功能。

(4)Tofino安全管理平台(SMP)

SMPServer接收CMP或TSA的日志和报警记录,并将日志和报警存储在服务器数据库中。SMPClient安装在办公局域网上的办公电脑中,支持以图形的方式实时显示CMP或TSA收集的日志和报警记录,并且支持日志和报警的查询。

3.3方案介绍与实施

产品的选型和方案的实施可以概括为以下三步,实际中对于不同的环境和安全要求,具体的方案和实施过程略有不同。

*步:创建网络安全分区?,确定在何处放置TOFINO安全设备TSA。

第二步:确定需要哪些可装载安全功能软插件(LSMs),以确保每个区域安全不同的要求。

第三步:选择一个服务器或工作站安装TOFINO中央管理平台CMP和Tofino安全管理平台SMP,CMP和SMP也可以分别安装在不同的机器。

结合上述控制系统的网络结构,本方案对Modbus通信部分控制设备需要进行的保护进行详细介绍。

(1)基于保护控制层设备的目的,本方案中将控制层设备作为一个安全分区,在控制层和操作站层之间部署一个TSA,将控制层设备置于TSA之后,与操作站层进行隔离。

(2)考虑到采用控制层和操作站层之间使用Modbus协议进行通信,建议配置的LSM软插件如下:

(3)选择网络中合适的机器安装CMP和SMP,也可以选用单独的计算机安装CMP和SMP,创建整个网络模型,并设置合适的通信规则,确保网络中只有合法的通信通过,这样可以将全厂所有设备硬件都集中管理,对全厂控制网络状态一目了然。

3.4方案目标

该方案以建立纵深防御策略为主要思想,确保工厂网络中即使某一点发生网络安全事故,工厂也能正常运行,同时,工厂操作人员能够很迅速的找到问题并进行处理,主要达到以下目标:

●区域隔离:Tofino工业防火墙插件能够过滤两个区域网络间的通信。这样意味着网络故障会被控制在zui初发生的区域内,而不会影响到其它部分;

●深度检查:面向应用层对特有的工业通讯协议进行内容深度检查,告别病毒库升级缺陷;

●通信管控:通信规则是可以通过中央管理平台进行在线组态和测试的;

●实时报警:所有部署的防火墙都能由中央管理平台统一进行实时监控,任何非法的(没有被组态允许的)访问,都会在中央管理平台产生实时报警信息,从而故障问题会在原始发生区域被迅速的发现和解决。

四、结束语

Tofino工业网络安全解决方案针对控制系统网络特别设计,旨在为其提供一种分区的安全解决方案。Tofino拥有极高的性价比,它能在工厂车间中建立深层防护架构,因此,即使有黑客或病毒通过主要的企业防火墙,他们也将面对基于控制网络特点而设计的专业安全设备。对工业企业来说TofinoSecuritySystem更意味着zui佳的安全效益和,并不只是简单满足了独立的关键控制设备的安全要求。

不同于传统的IT防火墙,Tofino专为工业环境控制网络通信安全而设计。现场技术人员只需简单为Tofino接入电源,并连接两个网络的电缆即可,无需其他任何操作。一旦安装成功,技术人员即可毫不费力地管理任何系统,以总揽公司大局的方式对网络威胁做出及时反应。zui重要的是,Tofino既可以灵活运用在单纯由PLC构成的小型工厂中,又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国集团的使用要求。

文章推荐: