Tofino(多芬諾)工業(yè)網(wǎng)絡安全解決方案

1、工業(yè)網(wǎng)絡安全解決方案一、概述數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)(DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領域，用于控制生產(chǎn)設備的運行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著計算機和網(wǎng)絡技術的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接，高度信息化的同時也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日

2、益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。工信部協(xié)2011451號通知明確指出，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題，主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關標準規(guī)范缺失，技術防護措施不到位,安全防護能力和應急處置能力不高等，威脅著工業(yè)生產(chǎn)安全和社會正常運轉。對此,各地區(qū)、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業(yè)控制系統(tǒng)信息安全管理。二、行業(yè)現(xiàn)狀與分析大多數(shù)企業(yè)模型化后的系統(tǒng)網(wǎng)絡結構如上圖所示，由信息層(Information zone）、操作站層(Station zone）和控制

3、器層（Controller zone)三大部分組成.目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡中在運行的電腦，很少或沒有機會安裝全天候病毒防護或更新版本。控制器的設計都以優(yōu)化實時的I / O功用為主，而並不提供加強的網(wǎng)絡連接安全防護功能。在整個網(wǎng)絡中存在多個網(wǎng)絡端口切入點需要防護，并且許多控制網(wǎng)絡都是“敞開的”，不同的子系統(tǒng)之間都沒有有效的隔離，尤其是基于OPC、MODBUS等通訊的工業(yè)控制網(wǎng)絡，其中某一部分出現(xiàn)問題被攻擊后，病毒就通過網(wǎng)絡迅速蔓延。目前國內(nèi)針對工業(yè)控制網(wǎng)絡的防護標準尚未成型,公安部會同有關部門也在制定計算機信息系統(tǒng)安全等級的劃分標準和安全等級保護的具體辦法。在國際上,美國在2007年頒布的C

4、hemical Facility Anti-Terrorism Standards (CFATS)標準（該標準由美國國土安全部頒布）以及2008年頒布的US Chemical Anti-Terrorism Act（美國化學反恐怖主義法)針對化工設備安全做了強制要求，目前，石油，水處理以及制造業(yè)都還沒有必須按照以上立法規(guī)定作業(yè),但是為了避免重大的風險，基本都遵守行業(yè)標準ANSI/ISA99 Standards的要求進行規(guī)劃.ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP005，均指出過程控制系統(tǒng)或SCADA控

5、制網(wǎng)絡應與其他系統(tǒng)隔離，包括企業(yè)IT網(wǎng)絡。ANSI/ISA-99指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡的控制網(wǎng)絡安全要點如下：要點名稱要點描述達到目標區(qū)域劃分具備相同功能和安全要求的設備在同一區(qū)域內(nèi)安全等級分區(qū)管道建立實現(xiàn)區(qū)域間執(zhí)行管道通信易于控制通信管控通過控制區(qū)域間管道中通信管理控制來實現(xiàn)設備保護數(shù)據(jù)通信可控業(yè)內(nèi)專家建議,控制系統(tǒng)應放置在商業(yè)/過程控制網(wǎng)絡（PCN)防火墻之后(援引自ISA-dTR99.00。02 Integrating Electronic Security into the Manufacturing and Control Systems Environment and

6、 the CPNI Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks）。此外，專家還推薦隔離區(qū)（Demilitarized Zone ,DMZ）采用共享IT / PCN資產(chǎn)（如歷史數(shù)據(jù)）的部署方式。如下圖所示正是這種架構:需要重點解釋的是，商業(yè)網(wǎng)絡的安全需求與控制網(wǎng)絡的安全需求在某些地方完全不同。舉個例子，商業(yè)防火墻通常允許該網(wǎng)絡內(nèi)的用戶使用HTTP瀏覽因特網(wǎng)，而控制網(wǎng)絡則恰恰相反，它的安全性要求明確禁止這一行為；再比如，OPC是工業(yè)通訊中最常用的一種標準，但由于OPC基于DCOM

7、技術，在應用過程中端口在1024-65535間不固定使用，這就使得基于端口防護的普通商用防火墻根本無法進行設置。因此不要試圖將控制系統(tǒng)放入IT解決方案中，選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡攻擊防御能力。想要滿足這一安全要求，Tofino是一種經(jīng)濟高效的方式。三、Tofino解決方案3。1 方案亮點Tofino能夠用來分離安全系統(tǒng)網(wǎng)絡與過程系統(tǒng)網(wǎng)絡,實現(xiàn)關鍵系統(tǒng)與非關鍵系統(tǒng)的物理隔離.與普通商用防火墻相比，Tofino更適于工業(yè)控制系統(tǒng)安全防護，主要體現(xiàn)在：（1）工業(yè)型：參照ANSI/ISA-99 Standards的安全要求為設計理念，產(chǎn)品更

8、具針對性和高效性，專門用于工業(yè)控制系統(tǒng)的安全保護。 內(nèi)置50多種專有工業(yè)通信協(xié)議，與常規(guī)防火墻不同的是，Tofino防火墻不僅是在端口上的防護，更重要的是基于應用層上數(shù)據(jù)包深度檢查,屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案. 具備在線修改防火墻組態(tài)功能,可以實時對組態(tài)的防火墻策略進行修改,而且不影響工業(yè)實時通訊。其它防火墻需要斷電、重啟等。工業(yè)型設計,導軌式安裝，低功耗無風扇，具備二區(qū)防爆認證.（2）獨有專利安全連接技術： 首先防火墻自身是基于非IP的獨有專利安全連接技術進行管理,能夠阻擋任何欺騙式攻擊。能夠隱藏防火墻后端所有設備的IP地址，讓入侵者無法

9、發(fā)現(xiàn)目標,更無從談發(fā)動任何攻擊。 集防火墻與虛擬路由于一身，能夠像網(wǎng)絡交通警察一樣管控通訊網(wǎng)絡數(shù)據(jù)通訊的路徑、對象以及數(shù)據(jù)流的方向，可以設定數(shù)據(jù)流入、流出的單向或雙向。（3)實時網(wǎng)絡通訊透視鏡：能夠為目前控制網(wǎng)絡故障分析、監(jiān)控、記錄提供一個簡單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問對象等。實現(xiàn)對非法通信的實時報警、來源確認、歷史記錄，保證控制網(wǎng)絡通訊的實時診斷。3。2 方案構成一個完整的Tofino安全解決方案包括以下四部分：(1）Tofino安全模塊（TSA）增強型工業(yè)環(huán)境要求設計，即插即用，應用于受保護的區(qū)域或控制器等關鍵設備之前。下圖為

10、Tofino安全模塊硬件的兩種選型。硬件設計遵循增強型工業(yè)環(huán)境要求，應用于受保護的區(qū)域或控制器等關鍵設備之前,設計使用壽命27年，能夠提供安全系統(tǒng)的工業(yè)平臺. Tofino安全模塊（TSA100 ） Tofino安全模塊（TSA220）（2）Tofino可裝載安全軟插件（LSM）專為工業(yè)通訊協(xié)議設計的安全軟插件，可以直接裝載到Tofino安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務。基本軟插件可分為：Tofino Firewall LSM工業(yè)通信防火墻；工業(yè)網(wǎng)絡交通警察，提供防火墻及網(wǎng)絡交通控制功能的軟插件內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議，預先定義超過25個控制器類型（例如:西門子S7

11、-300/S7400,Honeywell PKS C200/C300/）；LSM在線協(xié)議組態(tài),可自己定制通訊協(xié)議或者通過設備學習功能實現(xiàn)通訊協(xié)議定制；通過通訊協(xié)議指令級別的管控,預先組態(tài)用于高級過濾和攻擊保護的“特殊規(guī)則”。 符合 ANSI/ISA99.00。02 的網(wǎng)絡分段要求，達到區(qū)域隔離目標。Event Logger LSM事件日志與報警管理；Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監(jiān)控功能和記錄功能,它是一個專為工業(yè)控制網(wǎng)絡設計的日志記錄系統(tǒng)。OPC Enforcer LSM通信深度檢測及防護；專門用于標準OPC協(xié)議通訊的網(wǎng)絡安全技術，它可以檢查,追蹤并安全保護每一個O

12、PC應用程序創(chuàng)建的連接.它動態(tài)地為指定的OPC客戶端和服務器打開端口，并且是只打開每個連接所需要的唯一的TCP端口。它簡單易用，在OPC客戶端和服務器無需改變?nèi)魏闻渲?無需改變?nèi)魏卧械木W(wǎng)絡結構，這種先進的解決方案超越了傳統(tǒng)的防火墻。優(yōu)勢在于在OPC工業(yè)協(xié)議上最先應用“連接跟蹤技術 ；Tofino的 Sanity Check 檢查功能，可攔阻任何不符合OPC標準格式的DCE/RPC 訪問;OPC通訊權限管理,OPC協(xié)議深度檢查，管控通訊安全;只在所跟蹤的TCP端口有需要時，防火墻才短暫地打開;可支持多個 OPC 客戶端和服務器同時使用； 簡單易用，在OPC服務器或客戶端上并不需要做任何變化和改

13、動只是在通訊網(wǎng)線中間加入即可；可支持OPC DA， HDA 和 AE 標準；實現(xiàn)區(qū)域防護和病毒隔離，阻擋惡意攻擊，得到OPC基金會的大力推薦. Modbus TCP Enforcer LSM通信深度檢測及防護;首個能夠深入?yún)f(xié)議內(nèi)部檢測工業(yè)協(xié)議的產(chǎn)品，控制工程師可定義允許的Modbus指令，寄存器和線圈名單列表.自動阻止并報告任何流量不匹配您的規(guī)則。所有協(xié)議要被完整全面的檢查, 檢察并阻止任何不符合Modbus通訊協(xié)議的通訊內(nèi)容.Secure Asset Management LSM安全設備資產(chǎn)管理；像雷達一樣，Tofino的安全設備資產(chǎn)管理(SAM)可裝載模塊可以追蹤每一個通過Tofino安全

14、設備進行通訊的設備。不過，為了避免引起進程干擾，它實現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術。VPN加密等.使用安全套接字協(xié)議（SSL）技術創(chuàng)建高度安全的“隧道”來保護控制系統(tǒng)的完整性,安全性.易于敷設，測試和管理配置，通過可視的拖放操作界面使組態(tài)簡單易行。在不影響正?？刂凭W(wǎng)絡通訊的情況下可進行VPN通道測試。支持早期的自動化協(xié)議。與其他Tofino產(chǎn)品相互協(xié)同操作，提供更加強大細致的VPN接入和SCADA功能的防火墻保護。（3）Tofino中央管理平臺（CMP）窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于Tofino安全模塊的配置、組態(tài)和管理,并能實現(xiàn)系統(tǒng)的報警和日志的實時監(jiān)控和歷史查詢。能夠為目前控

15、制網(wǎng)絡故障分析、監(jiān)控、記錄提供一個簡單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問對象等。實現(xiàn)對非法通信的實時報警、來源確認、歷史記錄,保證控制網(wǎng)絡通訊的實時診斷。具備在線組態(tài)、在線監(jiān)控、資產(chǎn)管理等多種功能。（4）Tofino安全管理平臺（SMP）SMP Server接收CMP或TSA的日志和報警記錄，并將日志和報警存儲在服務器數(shù)據(jù)庫中.SMP Client安裝在辦公局域網(wǎng)上的辦公電腦中，支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄,并且支持日志和報警的查詢。3。3 方案介紹與實施產(chǎn)品的選型和方案的實施可以概括為以下三步，實際中對于不

16、同的環(huán)境和安全要求,具體的方案和實施過程略有不同.第一步:創(chuàng)建網(wǎng)絡安全分區(qū)#8482;，確定在何處放置TOFINO安全設備TSA。第二步：確定需要哪些可裝載安全功能軟插件(LSMs)，以確保每個區(qū)域安全不同的要求。第三步：選擇一個服務器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP,CMP和SMP也可以分別安裝在不同的機器。針對企業(yè)流程工業(yè)的特點，同時結合上述控制系統(tǒng)的網(wǎng)絡結構，Tofino在以下三個方面提供安全高效的全方位防護。（1)信息層與操作站層之間是過程控制網(wǎng)絡與企業(yè)信息網(wǎng)絡的借口部位，是企業(yè)目前信息部與儀控部的交叉點，由于來自企業(yè)信息層病毒感染與入侵的概率

17、較大，所以該部位是目前防護的重點，可以使用Tofino進行保護?？紤]到該部位通常采用OPC接口進行通信，建議選用以下LSM：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡交通警察，內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議，預先定義了超過25個控制器內(nèi)型，通過通訊協(xié)議指令級別的管控，預先組態(tài)用于高級過濾和攻擊保護的“特殊規(guī)則”。符合ANSI/ISA99。00。02的網(wǎng)絡分段要求。OPC Enforce LSM管控OPC服務器及授權客戶端之間的數(shù)據(jù)通信,并且應用專有技術動態(tài)跟蹤OPC通信所需端口,同時Tofino特有的Sanity Check檢查功能能夠阻擋熱河不符合OPC標準格式的DCE/RP

18、C訪問。同樣也對OPC授權客戶端發(fā)往OPC服務器的OPC對象請求進行檢查，以提高OPC服務的安全性.Tofino Argon Event Logger LSM對安全事件提供可靠的監(jiān)控和記錄功能，是一個專門為工業(yè)控制網(wǎng)絡設計的日志記錄系統(tǒng)。通過以上配置,解決下列問題：阻止來自企業(yè)信息層的病毒傳播；阻擋來自企業(yè)信息層的非法入侵；管控OPC客戶端與服務器的通訊；（2）針對操作站層各個節(jié)點之間的相互影響，方案將OPC Server、工程師站以及高級應用先控站三個節(jié)點分為一組，通過Tofino模塊進行隔離。 建議可選的LSM如下：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡交通警察，內(nèi)置50多個工

19、業(yè)專用及商業(yè)IT通信協(xié)議,預先定義了超過25個控制器內(nèi)型，通過通訊協(xié)議指令級別的管控,預先組態(tài)用于高級過濾和攻擊保護的“特殊規(guī)則.符合ANSI/ISA-99。00。02的網(wǎng)絡分段要求。Tofino Argon Event Logger LSM對安全事件提供可靠的監(jiān)控和記錄功能，是一個專門為工業(yè)控制網(wǎng)絡設計的日志記錄系統(tǒng)。 通過以上配置,解決下列問題：通過CMP對Firewall LSM進行組態(tài),將OPC Server、工程師站和高級應用先控站獨立分為一個區(qū)域，該區(qū)域的所有通訊都由Tofino防火墻進行過濾,只有指定的通訊和相關的數(shù)據(jù)才被允許通過，從而防止病毒擴散到整個操作站層面; 管控局部網(wǎng)絡

20、通訊速率，防止網(wǎng)絡風暴的發(fā)生;(3）對于控制器層，考慮到該層面通訊通常采用制造商專用協(xié)議，且是冗余結果，可以將自身保護能力較弱的控制器進行隔離防護，根據(jù)具體情況和不同應用,可單個控制器分別隔離或者多個控制器分組隔離。建議配置以下LSM：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡交通警察，內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議，預先定義了超過25個控制器內(nèi)型，通過通訊協(xié)議指令級別的管控,預先組態(tài)用于高級過濾和攻擊保護的“特殊規(guī)則”。符合ANSI/ISA99。00.02的網(wǎng)絡分段要求。Tofino Argon Event Logger LSM對安全事件提供可靠的監(jiān)控和記錄功能，是一個專門為工業(yè)控制網(wǎng)絡設計的日志記錄系統(tǒng).通過以上配置,解決下列問題：通過CMP對Firewall LSM進行組態(tài),只允許制造商專有協(xié)議通過，其他任何來自操作站的非法訪問都被阻擋在外面；對網(wǎng)絡流向進行管控，可以指定專有的某個操作站才能訪問某個控制器；管控局部網(wǎng)絡的通訊速率，防止控制器遭受網(wǎng)絡風暴和其他攻擊，從而避免控制器死機；最后選擇網(wǎng)絡中合適的機器安裝CMP和SMP,將全廠所有設備硬件都集中管理