第27卷 第2期2020年2月仪器仪表用户INSTRUMENTATION
Vol.27
2020 No.2
安全RTU的研究与应用
卓 明
(北京安控科技股份有限公司,北京 100095)
工业控制系统的安全随着传统IT技术的不断融合,正面临着各种网络攻击的严峻考验。RTU作为工业控摘 要:
制系统一个重要分支的控制设备,大量应用在国家重点能源领域,如石油、天然气、管道输送、电力的监测和控制,研究安全RTU产品及其应用是一件刻不容缓的事情。试图通过嵌入式的软、硬件技术从网络安全和信息安全两方面入手,实现对RTU安全的升级,从而达到具有抵御各类网络攻击的RTU产品,同时在实际应用中得到验证。关键词:安全RTU;Modbus TCP/IP协议;信息安全;网络安全
DOI:10.3969/j.issn.1671-1041.2020.02.026
中图分类号:TP23 文献标志码:A
文章编号:1671-1041(2020)02-0099-03
Research and Application of Safety RTU
Zhuo Ming
(Beijing Etrol Technologies Co., Ltd.,Beijing,100095,China)
Abstract:With the continuous integration of IT network technology, the industrial control system is facing the severe test of
various network attacks. As an important branch of industrial control system, RTU is widely used in national key energy fields, such as oil, natural gas, pipeline transportation, power monitoring and control. It is an urgent thing to study the safety RTU products and their applications. It attempts to upgrade the RTU function through the embedded software and hardware technology on both network security and information security, so as to achieve the RTU product with resistance to various network attacks, and at the same time, it is verified in practical application.
Key words:safety RTU;modbus TC/IP protocol;information security;network security
0 引言
从2010年伊朗核电站遭到Stuxnet(震网病毒)的侵袭,到2015年12月乌克兰电力部门受到Black Energy的攻击,再到2019年3月委内瑞拉电力网络遭到DDOS风暴袭击而造成的大面积停电事件,说明解决工业控制系统的网络安全问题已经到了刻不容缓的地步。随着工业控制系统与“IT”网络应用技术不断地融合,工业控制系统分布式控制模式对网络的依赖性越来越大,特别是系统所采用
的网络产品和网络协议基本上都是开放的,尤其是灵活方便的无线网络拓展,公共网络不可避免地会被引入到工业控制系统当中。因此,工控系统的网络很容易遭受攻击,网络安全问题将是一个必然会发生的事情,只是时间的问题,发生在近10年里的网络安全事件就是一个印证。正因如此,安控科技作为国内RTU领军企业,从2012年开始就围绕着“安全”两字,以SCADA控制系统的末端RTU为核心入手,从不同方向对安全RTU进行了研究和应用。
收稿日期:2019-12-12
基金项目:基于自主可控工业互联网技术的安全工业控制设备(系统)研制及成果转化(201805012-44)。作者简介:卓明(1970-),男,浙江鄞州人,本科,高级工程师,高级专家,从事RTU的技术研究与应用。
100 仪器仪表用户INSTRUMENTATION第27卷
图1 控制系统的应用架构
Fig.1 Application architecture of the control system
1 什么是安全RTU
“安全RTU”,就是无论网络出现意外事件,或是网络遭到蓄意的攻击破坏,RTU都能够保证自身的安全(Safety)运行。其实就是把多种“安全”方法融合,实现一个具有具体保障措施的集合,通常是利用嵌入式硬件和软件的设计组合手段,通过协议分析、数据流信息处理入手,目的使RTU在工业控制系统的实际应用中,面对开放的网络架构,能够抵御各种已知的和未知的攻击和侵袭,使其自身具有免疫能力,从而保证系统能够安全地运行。
工业控制系统的大部分网络架构组成采用分层设计架构,系统由下及上分为感知层、传输层和应用层。感知层为现场设备,包括传感器、执行器以及智能控制器的集合,安全RTU就是处于末端的智能控制器,用于完成前端生产运行设备的采集与控制,是系统核心部分;传输层为与上位监控系统之间的通讯,通常由移动网络、广域网、局域网、无线网络等组成,是网络入侵的主要途径;应用层是各类数据的行业应用,主要完成数据监控与展示,包括物联网监控平台、智能终端应用、WEB应用等,是网络攻击的入口之一。
本文分别从网络安全和信息安全两方面对RTU进行研究探索和应用。
2 网络安全
所谓网络安全,简而言之,就是要保证主机和RTU末端之间的网络畅通,让正常、合法的数据包能够及时响应,而把其他无关的垃圾数据包能够及时抛弃,尽可能抵御利用TCP/IP标准协议的合法性而构建的各种漏洞所进行的攻击。
检验工控设备对网络响应的健硕性、安全性、可靠性,
图2 双CPU的设计Fig.2 Design of dual CPU
目前当属Achilles认证(Achilles Certification)。它是国际知名的工控网络安全认证之一,获得了世界范围内的众多
工控设备厂商、工业企业、标准组织的支持和认可,已经成为实际上的行业标准。Achilles认证,基于一系列严格的测试标准和规范,针对工控网络涉及的嵌入式设备、主机、应用系统等进行测试和认证。
认证分为level 1和level 2,主要是对ETHERNET、TCP、IP、ICMP、ARP的单包、组包、广播包、语法、应答、错帧等方面多达50多项的测试。针对这些测试,分别通过软件的手段增强抵御,以及提高硬件的性能来提升网络响应。
因此,对于安全RTU的设计,从基本的软、硬件着手,主要手段是利用双CPU,把通讯和应用的功能隔离分开,各负其职。其中,1个CPU专门处理网络通讯,并使其具有防火墙的功能,加入白名单及身份认证等机制,只允许符合各种认证后的信息,才能转发给第2个CPU,起到数据过滤作用;第2个CPU处理RTU实际控制器的功能,完成IO输入、输出,数据存储及用户应用程序的运行。
经过研究和实践,采用双CPU设计的RTU成功通过了Achilles的二级认证,达到网络安全的目的。
3 信息安全
信息安全[1]是指保护信息系统(网络)中的硬件、软件及其数据免遭恶意的攻击而导致的系统毁坏、配置更改和信息泄露,保证系统可靠正常地运行和业务服务的连续性。
实际中研究的信息安全,参考北京大学王立福教授的观点。信息安全就是信息保护,保护信息的机密性、可用性和完整性[2]。因为IT领域开放的IP网络协议,实际上是一个通用协议,IP报文可以通过多种不同物理介质实现报文传输,实现了不同应用间的互联互通[3]。因此,在网络安全设计中只是做到了正常IP数据包的及时到达,而没
第2期卓 明·安全RTU的研究与应用
101
图4 加解密数据流向
Fig.4 Encryption and decryption data flow
图3 加解密硬件设计
Fig.3 Encryption and decryption hardware design
机制下,会话过程中提供加密机制保证会话不被窃听,在会话目的达到后及时关闭会话,在会话超时时提供会话超时响应功能,即可以实现会话的一次一密。在标准协议传输过程中,大多以主从轮寻方式进行传输,每一次的信息交互可使用不同的密钥。
有对报文中承载的数据合法性进行甄别,在标准的OSI七层网络模型中,各类工业控制系统的协议就分布在这“七层”架构中,如Modbus TCP/IP协议,基于IP网络传输的Modbus协议是一个非常普遍使用的通讯协议,也是一个非常透明、容易理解的数据协议,很容易被截获或者被篡改。
因此,为了保护信息不被截取、篡改,尝试对某些关键通讯数据包进行加解密处理,结合密钥认证管理机制,密文传输,明文处理,保证了端到端的数据流向。
通过内置基于国产安全芯片的密码模块,使用SM4对称算法和SM2非对称算法,面向PKI应用的芯片操作系统,提供具备高强度密钥和高性能密码运算能力,可实现SM2算法的签名和验签命令。并利用文件系统多层目录文件结构设计,对目录文件和数据进行管理和操作。
在实际应用中,以网络通讯为主要接口的信息安全防御,对以太网接口通讯部分的数据流或协议做加解密处理。
RTU的网络通讯大部分以服务端为工作状态,由上位机或服务器客户端与它通讯,通过非对称算法,进行密钥管理,利用对称算法进行正常数据的交互。
对于安全等级较高的应用场合,会话建立在身份认证
4 结语
工业控制系统的网络和信息安全的战役已经打响,安全RTU就是工业控制系统中迎接这场战役最新的有力武器,是工业安全控制系统发展方向的一个新思路、新方法、新产品。从传统的被动防御到主动防御,使RTU具有网络安全和信息安全的双重保护,必将会给安全RTU加上新的标签。对于一些国家重点的能源行业领域,如石油、天然气、管道、电力、石化等相关的工业控制系统安全领域的产品推广,具有积极的意义。
参考文献:
[1]王雨,江常青,林家骏,等.基于《信息系统安全保障评估框
架》的CAE 证据推理评估模型[J].清华大学学报:自然科学版,2011,51(10):1240-1245.
[2]闫强,陈钟,段云所,等.信息系统安全度量与评估模型[J].电子学
报,2003,31(09):1351-1355.
[3]罗安.国内工业控制系统信息安全面临的紧迫问题分析[J].自动
化博览,2015(11).
(上接第98页)
创了国内同类装置的先例,促进了进口设备国产化推进工作,其响应国家长远规划,顺应国家自主知识产权发展趋势,符合集团公司降本增效管理目标,对团队技术水平提升及公司技术实力积累等方面均起到极其正向与积极的意义。
参考文献:
[1]阀门制造工艺入门与精通[M].北京:机械工业出版社,2010.[2]阀门设计入门与精通[M].北京:机械工业出版社,2009.[3]阀门设计手册[M].北京:机械工业出版社,2004.
