工业网络信息安全转向硬件解决方案

摘要：随着IT技术快速进入工业自动化系统的各个层面，工业网络信息安全日益显得十分重要。本文论述办公网络与工业网络信息安全的主要区别，较深入分析工业网络安全的主要威胁，较全面论述工业网络信息安全中涉及的主要技术和解决方案。由于工业网络安全有更高要求，所以工业网络开始采用分层、分布式纵深防御体系结构，并转向基于工业防火墙/VPN技术相结合的硬件解决方案。本文对硬件解决方案进行了较详细阐述，同时全面论述了工业网络安全领域的领导企业菲尼克斯电气公司提出的工业网络三重解决方案及其FL MGUARD工业网络安全系统。

关键词： 工业网络  信息安全   黑客攻击   纵深防御  体系结构    硬件解决方案

1.  概述：
　　在上世纪90年代中期之前，由于Internet 技术尚未成熟，当时的IT技术不能完全满足工业自动化的实时性和环境适应性等要求，于是各家公司都利用自己掌握的计算机技术开发具有专有权操作系统的工业自动化装置、专有权协议的网络及其自动化系统。由于具有较强的专用权，这些系统受外来影响较小。工业自动化系统较为封闭，其信息安全问题未受到重视。

　　最近几年，这种情况发生了急剧变化，传统自动化技术与IT技术加速了融合的进程，工业自动化系统已广泛采用微软Windows操作系统和TCP/IP标准网络协议，工业实时以太网已经被工业自动化领域广泛接受，IT技术快速进入工业自动化系统的各个层面，改变了自动化系统长期以来不能与IT技术同步增长的局面。工厂企业的信息化，可以实现智能工厂中从管理层、控制层直至现场层的信息无缝集成，使得过程控制系统（PCS）与制造执行系统（MES），以及企业管理信息系统（ERP）有机地融为一体，并能通过Internet网完成远程维护与监控。这种不可阻挡的发展趋势随之也带来了工业网络的安全问题，如何保证工业网络的机密性、完整性和可用性成为工业自动化系统必须考虑的一个重要问题。

　　在过去的一、两年中，工业网络的信息安全经历了迅猛的发展。2008年1月，黑客攻击了美国的电力设施，造成多个城市大面积停电，损失很大。近几年，美国公开报道的由于黑客攻击造成巨大损失的事件多达30起。据说，由于各种原因还有很多起事件受害的公司不准报道，保守秘密。而且，黑客攻击在逐年增加。在这种情况下，进入2009年，美国发电厂和大型电力企业对网络安全的重视程度也迈上了一个新的台阶。NERC （北美电力保障组织）制定了对大型电力系统组织有着深远影响的网络安全标准CIP(关键基础设施保护）条例, CIP标准条例监管机构对这些企业下达强制命令：每个发电、传输和配送部门，不论是否属于关键资产部门，都必须履行这些条例。电力供应和输配电部门必须采取明确的安全防范措施，以确保持续供电。不符合该标准的情况一经发现，可能被处以高达每天100万美元的罚款。许多行业外人士（包括化工、炼油、冶金等）也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规，而且是越早越好。由于该标准被界定为一套大型关键基础设施保护标准，其他用到SCADA和DCS的领域也正在对它进行审核。由此可见，工业网络的信息安全已成为工业自动化领域新的关注热点。

2.  工业网络信息安全威胁分析：
　　工业网络信息安全的潜在威胁主要来自黑客攻击、数据操纵（Data manipulation）、间谍（Espionage）、病毒、蠕虫和特洛伊木马等。

　　黑客攻击是通过攻击自动化系统的要害或弱点，使得工业网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成不可估量的损失。黑客攻击又分为来自外部的攻击和来自内部的攻击。

——来自外部的攻击包括非授权访问是指一个非授权用户的入侵；拒绝服务（DOS）攻击，即黑客想办法让目标设备停止提供服务或资源访问。这样一来，一个设备不能执行它的正常功能，或它的动作妨碍了别的设备执行它们的正常功能，从而导致系统瘫痪，停止运行。

——来自内部的安全威胁，主要是由于自动化系统技术人员的技术
水平的局限性以及经验的不足，可能会出现各种意想不到的操作失误，势必对系统或信息安全产生较大的影响。

　　严重黑客攻击（如图1 所示）的性质，已经从单纯的娱乐，扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。在这种情况下，工业自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。

3、 办公网络和工业自动化网络之间主要差别：
　　众所周知，用于工业自动化系统的网络通信技术来源于IT信息技术的办公自动化网络技术，但是又不同于办公环境使用的计算机网络技术，这是因为办公网络通信是以传递信息为最终目的，而工业网络传递信息是以引起物质或能量的转移为最终目标。众所周知，在办公应用环境，计算机病毒和蠕虫往往会导致公司网络故障，因而办公网络的信息安全越来越受到重视，通常采用杀毒软件和防火墙等软件方案解决安全问题。在工业应用环境，恶意软件的入侵，将会造成生产线停顿，导致严重后果。因而，工业网络安全有更高要求，办公应用的信息安全解决方案已不能满足这些需要。办公网络与工业网络主要的差别在于：

4． 工业网络信息安全转向硬件解决方案：
（1） 网络安全软件解决方案：
　　早期，工业自动化系统曾采用办公环境使用的网络安全软件解决方案。软件主要包括杀毒程序，将它们通常安装在基于Windows的控制器、机器人或工业PC上。但是，由于在工厂大多是多种多样设备混合使用，有可能它们之间会产生相反作用，从而影响被保护的系统。例如，美国的一家过程自动化工厂在一台工业PC上安装了杀毒程序，该杀毒软件妨碍了一个重要锅炉系统的紧急停机，导致了严重后果。另一个例子是某制造工厂在多台工业PC上装了杀毒程序，由于多个杀毒软件执行时进程之间可能会发生冲突，使得工厂的流水线不能启动，造成巨大损失。

(2) 工业网络安全硬件解决方案：
　　为了确保工业自动化系统的信息安全，工业网络目前都转向采用基于硬件的防火墙和VPN技术。

　　硬件防火墙主要是在优化过的Intel架构的专业工业控制计算机硬件平台上，集成防火墙软件形成的产品。硬件防火墙具有高速、高安全性、高稳定性等优点。硬件平台一般均采用几百兆甚至上千兆的高速CPU芯片，以多芯片模式工作，个别甚至采用了ASIC芯片来提高系统的处理能力；硬件平台的操作系统一般针对安全需要做了最小化优化，并且结合防火墙这一唯一的功能环境要求在采集数据包的底层驱动上也做了优化。在存储方面，采用Flash存储使系统的关键数据存储相对传统技术在读写速度和稳定性上都有很大提高。另外，加固的设备外壳、标准的设计尺寸以及优化的电源使硬件防火墙更适用于大型工业生产环境。防火墙主要采用简单包过滤、代理服务和状态检测（Stateful Inspection）三种安全控制技术来控制网络中流量的输入和输出。状态检测技术是包过滤、代理服务技术相结合的产物，兼具系统处理速度快、安全性高的特点，是当前硬件防火墙中比较广泛应用的主流安全控制技术。防火墙的工作模式主要涉及防火墙的安全分区，组网方式，对VPN加密隧道的支持，业务流控制，虚拟子系统设置，以及为提高系统可靠性采取的双机倒换保护等内容。在组网方面，硬件防火墙的接口可以工作在透明桥接、路由和NAT三种模式下，路由模式是防火墙普通使用的接口模式。

　　VPN（Virtual Private Network）是一种在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统的专网所需的端到端的物理链路，而是架构在公用网络平台（如Internet等）之上的逻辑网络，用户数据在逻辑链路中传输。这种逻辑路径也被称为隧道（Tunnel）VPN的主要功能是通过隧道或虚电路实现网络互联；数据加密以及信息认证、身份认证；能够进行访问控制、网络监控和故障诊断。VPN可以帮助远程用户、工厂企业分支机构、以及供应商等和工厂企业内部网络建立可信的安全连接，并保证数据的安全传输。对于工业自动化系统而言，为了能够保证数据不被窃听，VPN在站点之间建立了一个虚拟通道，数据在这个隧道中传送。这样的机制意味着每个地方所使用的网络协议是无关的。为了保证因特网上的数据传输的安全，在发送之前对数据进行加密，接收者对数据进行解 密。在隧道的两端可以连接单个站点或完整的局域网。连接的端点是特殊的VPN网关。为了防止对数据通信的监听或操纵，这些VPN网关使用所谓的隧道协议在协议层对所要传输的数据进行加密。

　　VPN网关与防火墙一样是一类比较成熟的网络安全产品。对于工厂企业自动化系统而言，只有把两种安全产品配合起来使用才能实现一个较完整的安全解决方案。在这方面，有两种做法：一种是VPN网关作为一个独立设备与防火墙配合使用；另一种方案是在防火墙内集成VPN网关。后者具备如下优点：可以保护VPN网关免受DOS攻击；对VPN加密隧道承载的数据可以施加安全控制；可以简化组网路由，提高效率；可以共享用户认证信息；以及有利于统一日志和网络管理。

　　硬件防火墙系统性能在不断提升，除了可以满足高带宽接口环境的要求之外，也为采用多个较小型防火墙的网络环境提供了防火墙设备集成的可能，从而能够实现小型分布式信息安全系统的架构。

5． 菲尼克斯电气公司三重安