今日頭條
官方微信
官方抖音
案例頻道★昆侖數(shù)智科技有限責(zé)任公司鄧田,董黎芳,徐軼,王宏巖
摘要:基于油氣田工業(yè)控制系統(tǒng)現(xiàn)場RTU/PLC與上級(jí)控制層之間通訊存在的網(wǎng)絡(luò)安全問題,本項(xiàng)目進(jìn)行了集設(shè)備接入認(rèn)證、數(shù)據(jù)傳輸加/解密和抗攻擊防護(hù)于一體的安全防護(hù)技術(shù)的研究與分析,研發(fā)了一套工業(yè)控制系統(tǒng)一體化防護(hù)系統(tǒng),并在油氣典型場站得到了成功的應(yīng)用,實(shí)現(xiàn)了數(shù)據(jù)加密可信傳輸、設(shè)備接入認(rèn)證與指令級(jí)防護(hù)。
關(guān)鍵詞:工業(yè)控制系統(tǒng);一體化防護(hù);加/解密技術(shù);接入認(rèn)證技術(shù);深度包檢測技術(shù)
工業(yè)控制系統(tǒng)是DCS、PLC、SCADA等多種類型控制系統(tǒng)的總稱[1],屬于重要的關(guān)鍵信息基礎(chǔ)設(shè)施。早期工業(yè)控制系統(tǒng)在架構(gòu)搭建、通訊協(xié)議等方面均未考慮網(wǎng)絡(luò)安全設(shè)計(jì)。兩化融合、數(shù)字化轉(zhuǎn)型等業(yè)務(wù)的發(fā)展和推動(dòng),帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題,國家、行業(yè)、企業(yè)等相繼加大了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全投入[2]。2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全,2019年12月1日實(shí)施的“等保2.0”更是將工業(yè)控制系統(tǒng)安全納入了新型應(yīng)用安全擴(kuò)展要求。而石油石化作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分[3],其網(wǎng)絡(luò)安全直接關(guān)系到國家能源戰(zhàn)略安全。
1 油氣田工業(yè)控制系統(tǒng)存在的安全問題
油氣田工業(yè)控制系統(tǒng)主要由油氣井現(xiàn)場數(shù)據(jù)采集和實(shí)時(shí)監(jiān)控,以及礦區(qū)的SCADA調(diào)度中心組成。油、氣井口和一些無人值守的閥室、站,其特點(diǎn)是溫度要求范圍大、環(huán)境比較惡劣,常使用RTU/PLC系統(tǒng)[4];到了礦區(qū)往往要求多系統(tǒng)集成,常建設(shè)一個(gè)SCADA調(diào)度中心,用于轄區(qū)內(nèi)各工業(yè)控制系統(tǒng)實(shí)時(shí)數(shù)據(jù)的接入。
在油氣田工業(yè)控制系統(tǒng)架構(gòu)中,SCADA調(diào)度中心普遍通過Modbus/TCP協(xié)議對(duì)現(xiàn)場的RTU/PLC等進(jìn)行數(shù)據(jù)采集與指令控制,存在數(shù)據(jù)傳輸過程無接入認(rèn)證、無權(quán)限控制問題,且數(shù)據(jù)采用明文傳輸,只需借助簡單技術(shù)手段,即可實(shí)現(xiàn)入侵與數(shù)據(jù)截獲篡改,存在嚴(yán)峻的安全風(fēng)險(xiǎn)[5]。
(1)缺少接入認(rèn)證:終端無需認(rèn)證即可接入系統(tǒng),在網(wǎng)內(nèi)形成數(shù)據(jù)通道。
(2)數(shù)據(jù)明文傳輸:實(shí)時(shí)生產(chǎn)與控制狀態(tài)數(shù)據(jù)在未加密的情況下傳輸可被輕易截取。
(3)缺少權(quán)限控制:無任何控制手段,數(shù)據(jù)、指令可被輕易復(fù)制和篡改,可實(shí)現(xiàn)對(duì)控制中心入侵或?qū)ΜF(xiàn)場控制器進(jìn)行非法讀寫控制,極易導(dǎo)致生產(chǎn)安全事故。
因此加固油氣田工業(yè)控制系統(tǒng)的安全性變得極為必要。
2 油氣田工業(yè)控制系統(tǒng)一體化安全防護(hù)技術(shù)分析
鑒于油氣田工業(yè)控制系統(tǒng)存在的安全問題,我們研究了集設(shè)備接入認(rèn)證、數(shù)據(jù)傳輸加/解密和抗攻擊防護(hù)于一體的安全防護(hù)技術(shù),實(shí)現(xiàn)了油氣田場站到SCADA調(diào)度中心生產(chǎn)數(shù)據(jù)的安全可信傳輸。其關(guān)鍵技術(shù)包括以下幾個(gè)方面:
(1)數(shù)據(jù)傳輸加密/解密技術(shù):評(píng)估適用于場站到調(diào)度中心建設(shè)模式的加/解密的算法,在確保數(shù)據(jù)通信實(shí)時(shí)性、可靠性的前提下實(shí)現(xiàn)數(shù)據(jù)加密傳輸。
(2)設(shè)備接入認(rèn)證技術(shù):通過對(duì)數(shù)字簽名、驗(yàn)簽技術(shù)的研究,實(shí)現(xiàn)生產(chǎn)網(wǎng)內(nèi)接入設(shè)備的鑒別與認(rèn)證。
(3)數(shù)據(jù)解析與防護(hù)技術(shù):通過對(duì)工業(yè)網(wǎng)絡(luò)報(bào)文的深度解析,梳理業(yè)務(wù)指令以及業(yè)務(wù)數(shù)據(jù)的內(nèi)容,建立合法行為模型,采用“黑+白”名單雙重防護(hù)機(jī)制,拒絕不可信的訪問與控制,實(shí)現(xiàn)指令級(jí)的安全防護(hù)。
2.1 數(shù)據(jù)傳輸加/解密技術(shù)
工業(yè)通信網(wǎng)絡(luò)中存在著嚴(yán)重的數(shù)據(jù)安全隱患,容易遭受到破壞數(shù)據(jù)完整性的攻擊,如錯(cuò)誤數(shù)據(jù)注入攻擊、重放攻擊等,而數(shù)據(jù)加密作為一種保護(hù)數(shù)據(jù)完整性和機(jī)密性的手段,可以有效地阻止上述攻擊[6]。出于工控協(xié)議數(shù)據(jù)加解密的安全性以及性能的考慮,可以采用非對(duì)稱加密和對(duì)稱加密混合型方式。其中非對(duì)稱算法可以實(shí)現(xiàn)密鑰的協(xié)商過程,為數(shù)據(jù)傳輸提供公鑰;對(duì)稱算法可以實(shí)現(xiàn)數(shù)據(jù)加/解密傳輸。
對(duì)稱加密算法:通過比較DES、3DES、AES三種加密算法,如表1所示,從安全性以及性能上考慮,選擇AES加密算法采用128位密鑰長度。
表1 對(duì)稱加密算法比較表
非對(duì)稱加密算法:通過比較RSA、DSA、ECC三種加密算法,如表2所示,選擇ECC加密算法[7],其性能更好、安全性更高、抗攻擊性強(qiáng)、計(jì)算量小、處理速度快、帶寬要求低。當(dāng)對(duì)長消息進(jìn)行加解密時(shí),三類密碼系統(tǒng)有相同的帶寬要求,但應(yīng)用于短消息時(shí)ECC帶寬要求卻低得多。對(duì)于油氣田使用3G無線傳輸?shù)膱稣荆蛶挼默F(xiàn)狀使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景,密鑰強(qiáng)度選擇160位。
表2 非對(duì)稱加密算法比較表
以圖1為例,數(shù)據(jù)傳輸加解密過程如下:
圖1 數(shù)據(jù)傳輸加解密過程示意
(1)當(dāng)上位機(jī)需要發(fā)送數(shù)據(jù)查詢/命令請(qǐng)求時(shí),加/解密平臺(tái)與加/解密終端首先通過TCP三次握手建立連接,然后加/解密終端與加/解密平臺(tái)通過非對(duì)稱加密的方式,協(xié)商后續(xù)數(shù)據(jù)通信的對(duì)稱加密密鑰;
(2)當(dāng)數(shù)據(jù)加密密鑰協(xié)商完成,加/解密平臺(tái)通過該密鑰對(duì)數(shù)據(jù)請(qǐng)求進(jìn)行加密,然后發(fā)送到加/解密終端,加/解密終端收到加密后的請(qǐng)求,將其解密,然后以明文形式發(fā)送到現(xiàn)場RTU設(shè)備;
(3)現(xiàn)場RTU設(shè)備處理完上位機(jī)經(jīng)過解密后的明文請(qǐng)求后,以明文形式將應(yīng)答結(jié)果發(fā)送到加/解密終端;
(4)加/解密終端通過協(xié)商后的對(duì)稱密鑰對(duì)數(shù)據(jù)進(jìn)行加密,然后將加密后的應(yīng)答數(shù)據(jù)傳送到加/解密平臺(tái);
(5)最后加/解密平臺(tái)將加密后的應(yīng)答報(bào)文解密,并發(fā)送到上位機(jī)系統(tǒng)中。
2.2 接入認(rèn)證技術(shù)
目前工業(yè)控制系統(tǒng)缺乏統(tǒng)一的接入認(rèn)證技術(shù),即使某一個(gè)產(chǎn)品制造商會(huì)針對(duì)其所屬的工控設(shè)備加入接入認(rèn)證技術(shù),但是現(xiàn)場同一套控制系統(tǒng)中多家品牌、多個(gè)型號(hào)的組合現(xiàn)象非常普遍,所以從根本上來說也不能解決接入認(rèn)證的問題。因此可以考慮研發(fā)單獨(dú)地接入認(rèn)證系統(tǒng),其由接入認(rèn)證設(shè)備和接入認(rèn)證平臺(tái)組成,在不影響工業(yè)控制系統(tǒng)實(shí)時(shí)性、通訊穩(wěn)定性的基礎(chǔ)上,可以實(shí)現(xiàn)以下兩個(gè)方面的認(rèn)證:
(1)認(rèn)證平臺(tái)與認(rèn)證終端的認(rèn)證:對(duì)設(shè)備的認(rèn)證信息在兩端進(jìn)行預(yù)制,預(yù)制的認(rèn)證信息采用系統(tǒng)本身的加密通道與數(shù)字簽名技術(shù)進(jìn)行安全傳輸,認(rèn)證終端必須通過認(rèn)證平臺(tái)認(rèn)證成功后,才能開啟后續(xù)數(shù)據(jù)通道。
(2)認(rèn)證終端與后端接入設(shè)備的認(rèn)證:認(rèn)證終端部署于RTU/PLC系統(tǒng)數(shù)據(jù)出口端,其防護(hù)范圍內(nèi)的RTU/PLC控制器、攝像機(jī)等IP網(wǎng)絡(luò)元件,通過在設(shè)備中進(jìn)行MAC與IP地址綁定和設(shè)置黑/白名單,實(shí)現(xiàn)接入認(rèn)證,避免非法設(shè)備接入。
2.3 數(shù)據(jù)解析與防護(hù)技術(shù)
工業(yè)控制系統(tǒng)的安全防護(hù)技術(shù)更多的是基于各大主流工業(yè)控制協(xié)議,因此可采用DPI深度包解析技術(shù),形成協(xié)議識(shí)別與匹配技術(shù)方案,并建立防護(hù)模型。
(1)DPI深度包檢測技術(shù)研究[9]
通過對(duì)網(wǎng)絡(luò)通訊的原始數(shù)據(jù)包捕獲,DPI技術(shù)可實(shí)現(xiàn)對(duì)應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識(shí)別、數(shù)據(jù)包內(nèi)容檢測與深度解碼,它基于應(yīng)用數(shù)據(jù)的“特征值”、應(yīng)用層協(xié)議與行為模式三種方式進(jìn)行數(shù)據(jù)檢測。
(2)協(xié)議識(shí)別與匹配技術(shù)
當(dāng)數(shù)據(jù)流到達(dá)應(yīng)用層后,基于源地址、源端口、目的地址、目的端口、傳輸層協(xié)議進(jìn)行網(wǎng)絡(luò)會(huì)話管理,并根據(jù)協(xié)議特征庫對(duì)每個(gè)會(huì)話進(jìn)行協(xié)議識(shí)別,流程如圖2所示。
圖2 協(xié)議識(shí)別流程
采用“特征字”識(shí)別技術(shù)與應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)相結(jié)合的方式進(jìn)行傳輸協(xié)議識(shí)別,在完成識(shí)別后,業(yè)務(wù)數(shù)據(jù)的處理采用DPI深度包解析的技術(shù)進(jìn)行處理與匹配,如圖3所示。
圖3 DPI解析匹配流程
(3)防護(hù)模型
防護(hù)模型采用自適應(yīng)的方式,其基于硬件CPU的資源占用情況,自動(dòng)調(diào)整執(zhí)行的進(jìn)程數(shù)量,可有效降低數(shù)據(jù)處理過程中的數(shù)據(jù)同步工作所占的開銷。數(shù)據(jù)流通過時(shí),首先查詢已有行為模型,如果匹配,直接進(jìn)入后續(xù)輸出隊(duì)列(正常通信、告警、攔截等);若不匹配,將通過應(yīng)用協(xié)議分析、綜合數(shù)據(jù)流量分析等方式建立其行為模型。防護(hù)模型流程如圖4所示。
圖4 防護(hù)模型流程示意圖
3 油氣田工業(yè)控制系統(tǒng)一體化防護(hù)系統(tǒng)應(yīng)用場景
基于以上的技術(shù)研究,我們?cè)趯?shí)際的科研項(xiàng)目上研發(fā)了一體化安全系統(tǒng),其分別由一體化防護(hù)平臺(tái)和一體化防護(hù)終端組成,可實(shí)現(xiàn)數(shù)據(jù)加密可信傳輸、設(shè)備接入認(rèn)證與指令級(jí)防護(hù)。油氣田工業(yè)控制系統(tǒng)一體化安全防護(hù)系統(tǒng)如圖5所示。
(1)一體化防護(hù)終端:部署于場站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)出口(如RTU、PLC等),對(duì)接入場站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證與防護(hù),同時(shí)對(duì)與調(diào)度中心進(jìn)行通訊的生產(chǎn)數(shù)據(jù)進(jìn)行加/解密,以保障工業(yè)控制系統(tǒng)的本質(zhì)安全。
(2)一體化防護(hù)平臺(tái):部署于SCADA調(diào)度中心,通過ACL協(xié)議將擬實(shí)施的有線或無線場站數(shù)據(jù)傳輸至該服務(wù)器,可以進(jìn)行數(shù)據(jù)加/解密、報(bào)文/密文輸出與防護(hù)系統(tǒng)配置管理。該方式可實(shí)現(xiàn)指定場站的數(shù)據(jù)處理,不影響其他場站的數(shù)據(jù)傳輸與控制,有效降低現(xiàn)場試驗(yàn)安全風(fēng)險(xiǎn)。
圖5 油氣田工業(yè)控制系統(tǒng)一體化安全防護(hù)系統(tǒng)部署圖
通過部署一體化防護(hù)系統(tǒng),可以加固井站與上級(jí)控制層(中心站、RCC等)之間數(shù)據(jù)傳輸與指令下達(dá)的安全性,從而提升系統(tǒng)整體安全性:
(1)井站與上級(jí)控制系統(tǒng)所有數(shù)據(jù)、控制指令加密可信傳輸;
(2)生產(chǎn)網(wǎng)內(nèi)接入設(shè)備的鑒別與認(rèn)證;
(3)部署防護(hù)策略,實(shí)現(xiàn)權(quán)限控制與指令級(jí)防護(hù)。
4 總結(jié)與展望
基于一體化防護(hù)技術(shù)研發(fā)的產(chǎn)品已經(jīng)在油氣典型場站中得到了成功的應(yīng)用,實(shí)踐證明了一體化防護(hù)技術(shù)可廣泛應(yīng)用于油氣田行業(yè)工業(yè)控制系統(tǒng),并具有數(shù)據(jù)加密、解析、防護(hù)等功能,可有效消除數(shù)據(jù)傳輸泄密安全隱患,防止非法攻擊。
然而在當(dāng)前工業(yè)互聯(lián)網(wǎng)新形勢下,安全問題越來越重要,攻擊手段的多樣化對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)技術(shù)提出了更高要求,因此需要更多的實(shí)踐才能更好地去迭代促進(jìn)技術(shù)的成熟,需要更多的業(yè)務(wù)場景去證明解決方案的可行性與優(yōu)勢。
作者簡介:
鄧 田(1979-),男,重慶人,工程師,學(xué)士,現(xiàn)就職于昆侖數(shù)智科技有限責(zé)任公司,研究方向?yàn)橛蜌忸I(lǐng)域工業(yè)控制系統(tǒng)安全、物聯(lián)網(wǎng)安全等。
參考文獻(xiàn):
[1] GB/T 30976.1-2014, 工業(yè)控制系統(tǒng)信息安全第一部分評(píng)估規(guī)范[S].
[2] 康榮保, 張曉, 杜艷霞. 工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)研究[J]. 通信技術(shù), 2018 (8) : 1965 - 1971.
[3] 中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室, 網(wǎng)絡(luò)安全協(xié)調(diào)局. 國家網(wǎng)絡(luò)安全檢查操作指南[Z]. 2016 : (6).
[4] 岳妍瑛, 王彬. 油田工業(yè)控制系統(tǒng)信息安全淺析[J]. 自動(dòng)化博覽, 2013 (3) : 38 - 42.
[5] 聞宏強(qiáng), 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護(hù)技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018 (11) : 34 - 35.
[6] 梁耀, 馮冬芹, 等. 加密傳輸在工業(yè)控制系統(tǒng)安全中的可行性研究[N]. 自動(dòng)化學(xué)報(bào), 2018 (3) : 434 - 442.
[7] 梁玉英. 基于Java語言的ECC加密技術(shù)研究[J]. 電腦與電信, 2018 (37) : 7 - 9.
[8] 呂迪, 賈志洋. 常用數(shù)據(jù)加密技術(shù)的對(duì)比研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014 : (2).
[9] 張靜, 周佐. 防火墻深度包檢測技術(shù)研究及算法改進(jìn)[J]. 自動(dòng)化與儀器儀表, 2018 (3) : 46 - 50.
摘自《自動(dòng)化博覽》2023年3月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)