今日頭條
官方微信
官方抖音
案例頻道★昆侖數(shù)智科技有限責任公司鄧田,董黎芳,徐軼,王宏巖
摘要:基于油氣田工業(yè)控制系統(tǒng)現(xiàn)場RTU/PLC與上級控制層之間通訊存在的網(wǎng)絡安全問題,本項目進行了集設備接入認證、數(shù)據(jù)傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù)的研究與分析,研發(fā)了一套工業(yè)控制系統(tǒng)一體化防護系統(tǒng),并在油氣典型場站得到了成功的應用,實現(xiàn)了數(shù)據(jù)加密可信傳輸、設備接入認證與指令級防護。
關(guān)鍵詞:工業(yè)控制系統(tǒng);一體化防護;加/解密技術(shù);接入認證技術(shù);深度包檢測技術(shù)
工業(yè)控制系統(tǒng)是DCS、PLC、SCADA等多種類型控制系統(tǒng)的總稱[1],屬于重要的關(guān)鍵信息基礎設施。早期工業(yè)控制系統(tǒng)在架構(gòu)搭建、通訊協(xié)議等方面均未考慮網(wǎng)絡安全設計。兩化融合、數(shù)字化轉(zhuǎn)型等業(yè)務的發(fā)展和推動,帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題,國家、行業(yè)、企業(yè)等相繼加大了工業(yè)控制系統(tǒng)的網(wǎng)絡安全投入[2]。2017年6月1日實施的《中華人民共和國網(wǎng)絡安全法》規(guī)定了關(guān)鍵信息基礎設施的運行安全,2019年12月1日實施的“等保2.0”更是將工業(yè)控制系統(tǒng)安全納入了新型應用安全擴展要求。而石油石化作為關(guān)鍵信息基礎設施的重要組成部分[3],其網(wǎng)絡安全直接關(guān)系到國家能源戰(zhàn)略安全。
1 油氣田工業(yè)控制系統(tǒng)存在的安全問題
油氣田工業(yè)控制系統(tǒng)主要由油氣井現(xiàn)場數(shù)據(jù)采集和實時監(jiān)控,以及礦區(qū)的SCADA調(diào)度中心組成。油、氣井口和一些無人值守的閥室、站,其特點是溫度要求范圍大、環(huán)境比較惡劣,常使用RTU/PLC系統(tǒng)[4];到了礦區(qū)往往要求多系統(tǒng)集成,常建設一個SCADA調(diào)度中心,用于轄區(qū)內(nèi)各工業(yè)控制系統(tǒng)實時數(shù)據(jù)的接入。
在油氣田工業(yè)控制系統(tǒng)架構(gòu)中,SCADA調(diào)度中心普遍通過Modbus/TCP協(xié)議對現(xiàn)場的RTU/PLC等進行數(shù)據(jù)采集與指令控制,存在數(shù)據(jù)傳輸過程無接入認證、無權(quán)限控制問題,且數(shù)據(jù)采用明文傳輸,只需借助簡單技術(shù)手段,即可實現(xiàn)入侵與數(shù)據(jù)截獲篡改,存在嚴峻的安全風險[5]。
(1)缺少接入認證:終端無需認證即可接入系統(tǒng),在網(wǎng)內(nèi)形成數(shù)據(jù)通道。
(2)數(shù)據(jù)明文傳輸:實時生產(chǎn)與控制狀態(tài)數(shù)據(jù)在未加密的情況下傳輸可被輕易截取。
(3)缺少權(quán)限控制:無任何控制手段,數(shù)據(jù)、指令可被輕易復制和篡改,可實現(xiàn)對控制中心入侵或?qū)ΜF(xiàn)場控制器進行非法讀寫控制,極易導致生產(chǎn)安全事故。
因此加固油氣田工業(yè)控制系統(tǒng)的安全性變得極為必要。
2 油氣田工業(yè)控制系統(tǒng)一體化安全防護技術(shù)分析
鑒于油氣田工業(yè)控制系統(tǒng)存在的安全問題,我們研究了集設備接入認證、數(shù)據(jù)傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù),實現(xiàn)了油氣田場站到SCADA調(diào)度中心生產(chǎn)數(shù)據(jù)的安全可信傳輸。其關(guān)鍵技術(shù)包括以下幾個方面:
(1)數(shù)據(jù)傳輸加密/解密技術(shù):評估適用于場站到調(diào)度中心建設模式的加/解密的算法,在確保數(shù)據(jù)通信實時性、可靠性的前提下實現(xiàn)數(shù)據(jù)加密傳輸。
(2)設備接入認證技術(shù):通過對數(shù)字簽名、驗簽技術(shù)的研究,實現(xiàn)生產(chǎn)網(wǎng)內(nèi)接入設備的鑒別與認證。
(3)數(shù)據(jù)解析與防護技術(shù):通過對工業(yè)網(wǎng)絡報文的深度解析,梳理業(yè)務指令以及業(yè)務數(shù)據(jù)的內(nèi)容,建立合法行為模型,采用“黑+白”名單雙重防護機制,拒絕不可信的訪問與控制,實現(xiàn)指令級的安全防護。
2.1 數(shù)據(jù)傳輸加/解密技術(shù)
工業(yè)通信網(wǎng)絡中存在著嚴重的數(shù)據(jù)安全隱患,容易遭受到破壞數(shù)據(jù)完整性的攻擊,如錯誤數(shù)據(jù)注入攻擊、重放攻擊等,而數(shù)據(jù)加密作為一種保護數(shù)據(jù)完整性和機密性的手段,可以有效地阻止上述攻擊[6]。出于工控協(xié)議數(shù)據(jù)加解密的安全性以及性能的考慮,可以采用非對稱加密和對稱加密混合型方式。其中非對稱算法可以實現(xiàn)密鑰的協(xié)商過程,為數(shù)據(jù)傳輸提供公鑰;對稱算法可以實現(xiàn)數(shù)據(jù)加/解密傳輸。
對稱加密算法:通過比較DES、3DES、AES三種加密算法,如表1所示,從安全性以及性能上考慮,選擇AES加密算法采用128位密鑰長度。
表1 對稱加密算法比較表
非對稱加密算法:通過比較RSA、DSA、ECC三種加密算法,如表2所示,選擇ECC加密算法[7],其性能更好、安全性更高、抗攻擊性強、計算量小、處理速度快、帶寬要求低。當對長消息進行加解密時,三類密碼系統(tǒng)有相同的帶寬要求,但應用于短消息時ECC帶寬要求卻低得多。對于油氣田使用3G無線傳輸?shù)膱稣荆蛶挼默F(xiàn)狀使ECC在無線網(wǎng)絡領(lǐng)域具有廣泛的應用前景,密鑰強度選擇160位。
表2 非對稱加密算法比較表
以圖1為例,數(shù)據(jù)傳輸加解密過程如下:
圖1 數(shù)據(jù)傳輸加解密過程示意
(1)當上位機需要發(fā)送數(shù)據(jù)查詢/命令請求時,加/解密平臺與加/解密終端首先通過TCP三次握手建立連接,然后加/解密終端與加/解密平臺通過非對稱加密的方式,協(xié)商后續(xù)數(shù)據(jù)通信的對稱加密密鑰;
(2)當數(shù)據(jù)加密密鑰協(xié)商完成,加/解密平臺通過該密鑰對數(shù)據(jù)請求進行加密,然后發(fā)送到加/解密終端,加/解密終端收到加密后的請求,將其解密,然后以明文形式發(fā)送到現(xiàn)場RTU設備;
(3)現(xiàn)場RTU設備處理完上位機經(jīng)過解密后的明文請求后,以明文形式將應答結(jié)果發(fā)送到加/解密終端;
(4)加/解密終端通過協(xié)商后的對稱密鑰對數(shù)據(jù)進行加密,然后將加密后的應答數(shù)據(jù)傳送到加/解密平臺;
(5)最后加/解密平臺將加密后的應答報文解密,并發(fā)送到上位機系統(tǒng)中。
2.2 接入認證技術(shù)
目前工業(yè)控制系統(tǒng)缺乏統(tǒng)一的接入認證技術(shù),即使某一個產(chǎn)品制造商會針對其所屬的工控設備加入接入認證技術(shù),但是現(xiàn)場同一套控制系統(tǒng)中多家品牌、多個型號的組合現(xiàn)象非常普遍,所以從根本上來說也不能解決接入認證的問題。因此可以考慮研發(fā)單獨地接入認證系統(tǒng),其由接入認證設備和接入認證平臺組成,在不影響工業(yè)控制系統(tǒng)實時性、通訊穩(wěn)定性的基礎上,可以實現(xiàn)以下兩個方面的認證:
(1)認證平臺與認證終端的認證:對設備的認證信息在兩端進行預制,預制的認證信息采用系統(tǒng)本身的加密通道與數(shù)字簽名技術(shù)進行安全傳輸,認證終端必須通過認證平臺認證成功后,才能開啟后續(xù)數(shù)據(jù)通道。
(2)認證終端與后端接入設備的認證:認證終端部署于RTU/PLC系統(tǒng)數(shù)據(jù)出口端,其防護范圍內(nèi)的RTU/PLC控制器、攝像機等IP網(wǎng)絡元件,通過在設備中進行MAC與IP地址綁定和設置黑/白名單,實現(xiàn)接入認證,避免非法設備接入。
2.3 數(shù)據(jù)解析與防護技術(shù)
工業(yè)控制系統(tǒng)的安全防護技術(shù)更多的是基于各大主流工業(yè)控制協(xié)議,因此可采用DPI深度包解析技術(shù),形成協(xié)議識別與匹配技術(shù)方案,并建立防護模型。
(1)DPI深度包檢測技術(shù)研究[9]
通過對網(wǎng)絡通訊的原始數(shù)據(jù)包捕獲,DPI技術(shù)可實現(xiàn)對應用層數(shù)據(jù)的應用協(xié)議識別、數(shù)據(jù)包內(nèi)容檢測與深度解碼,它基于應用數(shù)據(jù)的“特征值”、應用層協(xié)議與行為模式三種方式進行數(shù)據(jù)檢測。
(2)協(xié)議識別與匹配技術(shù)
當數(shù)據(jù)流到達應用層后,基于源地址、源端口、目的地址、目的端口、傳輸層協(xié)議進行網(wǎng)絡會話管理,并根據(jù)協(xié)議特征庫對每個會話進行協(xié)議識別,流程如圖2所示。
圖2 協(xié)議識別流程
采用“特征字”識別技術(shù)與應用層網(wǎng)關(guān)識別技術(shù)相結(jié)合的方式進行傳輸協(xié)議識別,在完成識別后,業(yè)務數(shù)據(jù)的處理采用DPI深度包解析的技術(shù)進行處理與匹配,如圖3所示。
圖3 DPI解析匹配流程
(3)防護模型
防護模型采用自適應的方式,其基于硬件CPU的資源占用情況,自動調(diào)整執(zhí)行的進程數(shù)量,可有效降低數(shù)據(jù)處理過程中的數(shù)據(jù)同步工作所占的開銷。數(shù)據(jù)流通過時,首先查詢已有行為模型,如果匹配,直接進入后續(xù)輸出隊列(正常通信、告警、攔截等);若不匹配,將通過應用協(xié)議分析、綜合數(shù)據(jù)流量分析等方式建立其行為模型。防護模型流程如圖4所示。
圖4 防護模型流程示意圖
3 油氣田工業(yè)控制系統(tǒng)一體化防護系統(tǒng)應用場景
基于以上的技術(shù)研究,我們在實際的科研項目上研發(fā)了一體化安全系統(tǒng),其分別由一體化防護平臺和一體化防護終端組成,可實現(xiàn)數(shù)據(jù)加密可信傳輸、設備接入認證與指令級防護。油氣田工業(yè)控制系統(tǒng)一體化安全防護系統(tǒng)如圖5所示。
(1)一體化防護終端:部署于場站工業(yè)控制系統(tǒng)網(wǎng)絡出口(如RTU、PLC等),對接入場站工業(yè)控制系統(tǒng)網(wǎng)絡的設備進行認證與防護,同時對與調(diào)度中心進行通訊的生產(chǎn)數(shù)據(jù)進行加/解密,以保障工業(yè)控制系統(tǒng)的本質(zhì)安全。
(2)一體化防護平臺:部署于SCADA調(diào)度中心,通過ACL協(xié)議將擬實施的有線或無線場站數(shù)據(jù)傳輸至該服務器,可以進行數(shù)據(jù)加/解密、報文/密文輸出與防護系統(tǒng)配置管理。該方式可實現(xiàn)指定場站的數(shù)據(jù)處理,不影響其他場站的數(shù)據(jù)傳輸與控制,有效降低現(xiàn)場試驗安全風險。
圖5 油氣田工業(yè)控制系統(tǒng)一體化安全防護系統(tǒng)部署圖
通過部署一體化防護系統(tǒng),可以加固井站與上級控制層(中心站、RCC等)之間數(shù)據(jù)傳輸與指令下達的安全性,從而提升系統(tǒng)整體安全性:
(1)井站與上級控制系統(tǒng)所有數(shù)據(jù)、控制指令加密可信傳輸;
(2)生產(chǎn)網(wǎng)內(nèi)接入設備的鑒別與認證;
(3)部署防護策略,實現(xiàn)權(quán)限控制與指令級防護。
4 總結(jié)與展望
基于一體化防護技術(shù)研發(fā)的產(chǎn)品已經(jīng)在油氣典型場站中得到了成功的應用,實踐證明了一體化防護技術(shù)可廣泛應用于油氣田行業(yè)工業(yè)控制系統(tǒng),并具有數(shù)據(jù)加密、解析、防護等功能,可有效消除數(shù)據(jù)傳輸泄密安全隱患,防止非法攻擊。
然而在當前工業(yè)互聯(lián)網(wǎng)新形勢下,安全問題越來越重要,攻擊手段的多樣化對工業(yè)控制系統(tǒng)的安全防護技術(shù)提出了更高要求,因此需要更多的實踐才能更好地去迭代促進技術(shù)的成熟,需要更多的業(yè)務場景去證明解決方案的可行性與優(yōu)勢。
作者簡介:
鄧 田(1979-),男,重慶人,工程師,學士,現(xiàn)就職于昆侖數(shù)智科技有限責任公司,研究方向為油氣領(lǐng)域工業(yè)控制系統(tǒng)安全、物聯(lián)網(wǎng)安全等。
參考文獻:
[1] GB/T 30976.1-2014, 工業(yè)控制系統(tǒng)信息安全第一部分評估規(guī)范[S].
[2] 康榮保, 張曉, 杜艷霞. 工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究[J]. 通信技術(shù), 2018 (8) : 1965 - 1971.
[3] 中央網(wǎng)絡安全和信息化領(lǐng)導小組辦公室, 網(wǎng)絡安全協(xié)調(diào)局. 國家網(wǎng)絡安全檢查操作指南[Z]. 2016 : (6).
[4] 岳妍瑛, 王彬. 油田工業(yè)控制系統(tǒng)信息安全淺析[J]. 自動化博覽, 2013 (3) : 38 - 42.
[5] 聞宏強, 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018 (11) : 34 - 35.
[6] 梁耀, 馮冬芹, 等. 加密傳輸在工業(yè)控制系統(tǒng)安全中的可行性研究[N]. 自動化學報, 2018 (3) : 434 - 442.
[7] 梁玉英. 基于Java語言的ECC加密技術(shù)研究[J]. 電腦與電信, 2018 (37) : 7 - 9.
[8] 呂迪, 賈志洋. 常用數(shù)據(jù)加密技術(shù)的對比研究[J]. 網(wǎng)絡安全技術(shù)與應用, 2014 : (2).
[9] 張靜, 周佐. 防火墻深度包檢測技術(shù)研究及算法改進[J]. 自動化與儀器儀表, 2018 (3) : 46 - 50.
摘自《自動化博覽》2023年3月刊
北京市公安局海淀分局備案號:11010802023656號