OPC通讯安全解决方案

        在现代工业企业的信息系统中，由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间，负责完成基本的生产控制。随着企业信息化建设的发展，迫切要求实现过程控制系统与上层的管理信息系统之间的互联，完成经营管理层与车间执行层的双向信息流交互，使企业对生产情况保证实时反应，消除信息孤岛与断层现象。OPC接口技术作为一种通用的解决方案，已经越来越广泛地被应用于工业、能源、交通、水利以及市政等领域。
1、概述
       随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。工信部协[2011]451号通知明确指出，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

2、现状与分析
       OPC是Object Linking and Embedding（OLE）for Process Control的缩写，它是微软公司的对象链接和嵌入技术在过程控制方面的应用。由一些世界上占领先地位的自动化系统和硬件、软件公司与微软（Microsoft）紧密合作而建立的，OPC基金会负责OPC规范的制定和发布。OPC提出了一套统一的标准，采用CLIENT/SERVER模式，针对硬件设备的驱动程序由硬件厂商或专门的公司完成，提供具有统一OPC接口的SERVER程序，软件厂商按照OPC标准访问SERVER程序，即可实现与硬件设备的通信。
       对于客户应用程序而言，底层的现场设备是透明的，它在调用现场设备的数据时，无需知道具体的数据格式。OPC把开发访问接口的任务放在硬件生产厂家或第三方厂家，以服务器的形式提供给客户，并规定了一系列的接口标准，而客户负责创建服务器的对象及访问服务器支持的接口。最终用户按照OPC标准开发的在客户机上运行的应用程序，可以通过OPC服务器与任何数据源交换数据，不必知道数据源的特性。硬件和数据库的开发商根据自己产品的特性，并遵循OPC标准开发的OPC服务器，则可适用于任何应用软件。通过OPC，不同厂家的系统可以互相通讯，减少了因通讯协议不同相互通讯需单独开发大量接口的繁琐工作，目前已成为应用最广泛的工业通讯标准之一。

       典型的系统网络结构如上图所示，由信息层（Information zone）、操作站层（Station zone）和控制器层（Controller zone）三大部分组成。目前的现状是大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I / O功用为主，而並不提供加强的网络连接安全防护功能。在整个网络中存在多个网络端口切入点需要防护，并且许多控制网络都是“敞开的”，不同的子系统之间都没有有效的隔离，尤其是基于OPC、MODBUS等通讯的工业控制网络，其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓延。
       目前国内针对工业控制网络的防护标准尚未成型，公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法。在国际上，美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准以及2008年颁布的US Chemical Anti-Terrorism Act（美国化学反恐怖主义法）针对化工设备安全做了强制要求，目前，石油，水处理以及制造业都还没有必须按照以上立法规定作业，但是为了避免重大的风险，基本都遵守行业标准ANSI/ISA-99 Standards的要求进行规划。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005，均指出过程控制系统或SCADA控制网络应与其他系统隔离，包括企业IT网络。ANSI/ISA-99指出过程控制系统或SCADA控制网络的控制网络安全要点如下：

       需要重点解释的是，商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子，商业防火墙通常允许该网络内的用户使用HTTP浏览因特网，而控制网络则恰恰相反，它的安全性要求明确禁止这一行为；尤其OPC作为工业通讯中最常用的一种标准，是基于微软的COM/DCOM技术，在应用过程中端口在1024-65535间不固定使用，这一特性使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中，选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求，Tofino?是一种经济高效的方式。
3、Tofino解决方案
3.1 方案亮点
       OPC Classic的核心技术（RPC和DCOM）在设计之初尚未考虑到安全问题。因此OPC Classic采用了动态端口分配技术，使得传统IT类防火墙在OPC安全防护上毫无用武之地。Tofino OPC Enforcer LSM使用Deep Packet Inspection（深度包检测）技术自动跟踪和管理OPC Classic 动态端口的使用情况，从而解决了这个问题。使得Tofino能够被安装到运行有OPC DA、HAD、A&E通信的网络中，并且无需对现有的OPC客户端和服务器做任何改变。Tofino能够用来分离安全系统网络与过程系统网络，实现关键系统与非关键系统的物理隔离。与普通商用防火墙相比，Tofino更适于工业控制系统安全防护，主要体现在：
（1）工业型：
       ●参照ANSI/ISA-99 Standards的安全要求为设计理念，产品更具针对性和高效性，专门用于工业控制系统的安全保护。
       ●内置50多种专有工业通信协议，与常规防火墙不同的是，Tofino防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。
       ●具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。
       ● 工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。
（2）独有专利安全连接技术：
       ●首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。
       ●能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。
       ●集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。
（3）实时网络通讯透视镜：
       能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。
（4）市面上独家满足ANSI/ISA-99和NERC-CIP标准
       根据ANSI/ISA-99 和NERC-CIP标准，TSA可以很方便的针对PLC、DCS、RTU、IED和HMI提供一个性价比很高的安全分区——一个配置得当的保护区域分组。
（5）特有‘测试’模式
       ‘测试’模式可以在对控制系统无任何风险的情况下进行防火墙和VPN测试。TEST模式不同于实际的操作模式，在TEST模式中，Tofino允许所有的通讯通过，但是由CMP报告在操作模式下任何可能被拦截的通讯。这一点对于工业或SCADA控制系统的安全操作相当关键，用传统的IT防火墙是不可能实现的。这也是Tofino适合于工业控制系统的独特性的一个方面。
3.2 方案构成
       一个完整的Tofino安全解决方案包括以下四部分：
（1）Tofino安全模块（TSA）
       增强型工业环境要求设计，即插即用，应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年，能够提供安全系统的工业平台。

（2）Tofino可装载安全软插件(LSM)
       专为工业通讯协议设计的安全软插件，可以直接装载到Tofino安全模块中，并根据系统需求提供各种定制安全服务。本方案中可选的基本软插件包括：
       ●Tofino Firewall LSM工业通信防火墙；
       工业网络交通警察，提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议，预先定义超过25个控制器类型（例如：西门子S7-300/S7-400，Honeywell PKS C200/C300/）；LSM在线协议组态，可自己定制通讯协议或者通过设备学习功能实现通讯协议定制；通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规则”。 符合 ANSI/ISA-99.00.02 的网络分段要求，达到区域隔离目标。
       ●Event Logger LSM事件日志与报警管理；
       Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。
       ●OPC Enforcer LSM通信深度检测及防护；
       专门用于标准OPC协议通讯的网络安全技术，它可以检查，追踪并安全保护每一个OPC应用程序创建的连接。它动态地为指定的OPC客户端和服务器打开端口，并且是只打开每个连接所需要的唯一的TCP端口。可通过自定义数据通讯延迟时间达到关闭无效通讯的功能。它简单易用，在OPC客户端和服务器无需改变任何配置，无需改变任何原有的网络结构，这种先进的解决方案超越了传统的防火墙。
       优势在于在OPC工业协议上最先应用“连接跟踪技术” ；Tofino的 ‘Sanity Check’ 检查功能，可拦阻任何不符合OPC标准格式的DCE/RPC 访问；OPC通讯权限管理，OPC协议深度检查，管控通讯安全；只在所跟踪的TCP端口有需要时，防火墙才短暂地打开；可支持多个 OPC 客户端和服务器同时使用； 简单易用，在OPC服务器或客户端上并不需要做任何变化和改动只是在通讯网线中间加入即可；可支持OPC DA, HDA 和 A&E 标准；实现区域防护和病毒隔离，阻挡恶意攻击，使用OPC基金会的测试套件OPC协议完成测试，得到OPC基金会的大力推荐。
       ●Secure Asset Management LSM安全设备资产管理；
       像雷达一样，Tofino的安全设备资产管理（SAM）可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过，为了避免引起进程干扰，它实现这一功能使用的并不是传统的扫描技术。
       ● VPN加密；

       使用安全套接字协议（SSL）技术创建高度安全的“隧道”来保护控制系统的完整性，安全性。易于敷设，测试和管理配置，通过可视的拖放操作界面使组态简单易行。在不影响正常控制网络通讯的情况下可进行VPN通道测试。支持早期的自动化协议。与其他Tofino产品相互协同操作，提供更加强大细致的VPN接入和SCADA功能的防火墙保护。
（3）Tofino中央管理平台（CMP）
       窗口化的中央管理平台系统及数据库，用于Tofino安全模块的配置、组态和管理，并能实现系统的报警和日志的实时监控和历史查询。能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。具备在线组态、在线监控、资产管理等多种功能。

（4）Tofino安全管理平台（SMP）
       SMP Server接收CMP或TSA的日志和报警记录，并将日志和报警存储在服务器数据库中。SMP Client安装在办公局域网上的办公电脑中，支持以图形的方式实时显示CMP或TSA收集的日志和报警记录，并且支持日志和报警的查询。
3.3 方案介绍与实施
       产品的选型和方案的实施可以概括为以下三步，实际中对于不同的环境和安全要求，具体的方案和实施过程略有不同。
       第一步：创建网络安全分区?，确定在何处放置TOFINO安全设备TSA。
       第二步：确定需要哪些可装载安全功能软插件(LSMs)，以确保每个区域安全不同的要求。
       第三步：选择一个服务器或工作站安装TOFINO中央管理平台CMP和Tofino安全管理平台SMP，CMP和SMP也可以分别安装在不同的机器。
       针对企业流程工业的特点，同时结合上述控制系统的网络结构，网络中有多处关键点需要保护，本方案仅针对OPC通信部分需要进行的防护进行详细介绍。

       （1） 信息层与操作站层之间是过程控制网络与企业信息网络的借口部位，是企业目前信息部与仪控部的交叉点，由于来自企业信息层病毒感染与入侵的概率较大，所以该部位是目前防护的重点，可以使用Tofino进行保护。
考虑到该部位通常采用OPC接口进行通信，建议选用以下LSM：

       通过以上配置，解决下列问题：
       ●阻止来自企业信息层的病毒传播；
       ●阻挡来自企业信息层的非法入侵；
       ●管控OPC客户端与服务器的通讯；
       （2） 针对操作站层各个节点之间的相互影响，方案将OPC Server、工程师站以及高级应用先控站三个节点分为一组，通过Tofino模块进行隔离，建议可选的LSM如下：

       通过以上配置，解决下列问题：
       ●通过CMP对Firewall LSM进行组态，将OPC Server、工程师站和高级应用先控站独立分为一个区域，该区域的所有通讯都由Tofino防火墙进行过滤，只有指定的通讯和相关的数据才被允许通过，从而防止病毒扩散到整个操作站层面；
       ●管控局部网络通讯速率，防止网络风暴的发生；
       最后选择网络中合适的机器安装CMP和SMP创建整个网络模型，并设置合适的通信规则，确保网络中只有合法的通信通过，这样可以将全厂所有设备硬件都集中管理，对全厂控制网络状态一目了然。
3.4 方案目标
       该方案以建立纵深防御策略为主要思想，确保工厂网络中即使某一点发生网络安全事故，工厂也能正常运行，同时，工厂操作人员能够很迅速的找到问题并进行处理，主要达到以下目标：
       ●区域隔离：Tofino工业防火墙插件能够过滤两个区域网络间的通信。这样意味着网络故障会被控制在最初发生的区域内，而不会影响到其它部分；
       ●深度检查：面向应用层对特有的工业通讯协议进行内容深度检查，告别病毒库升级缺陷；
       ●通信管控：通信规则是可以通过中央管理平台进行在线组态和测试的；
       ●实时报警：所有部署的防火墙都能由中央管理平台统一进行实时监控，任何非法的（没有被组态允许的）访问，都会在中央管理平台产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解决。
4、结束语
       Tofino Security System一方面是一个完整的分布式安全解决方案，另一方面又可以简单、安全地进行集中管理，这些特性使其成为一款独一无二的产品。对工业企业来说Tofino Security System更意味着最佳的安全效益和技术支持，并不只是简单满足了独立的关键控制设备的安全要求。
       不同于传统的IT防火墙，Tofino专为工业环境控制网络通信安全而设计。现场技术人员只需简单为Tofino接入电源，并连接两个网络的电缆即可，无需其他任何操作。一旦安装成功，技术人员即可毫不费力地管理任何系统，以总揽公司大局的方式对网络威胁做出及时反应。最重要的是，Tofino既可以灵活运用在单纯由PLC构成的小型工厂中，又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国集团的使用要求。