李海星 譚少軒

摘要:工業(yè)數(shù)據(jù)通信與控制網(wǎng)絡(luò)(以下簡(jiǎn)稱“工控網(wǎng)絡(luò)”)是近年來(lái)發(fā)展形成的自動(dòng)控制的網(wǎng)絡(luò)技術(shù),是計(jì)算機(jī)網(wǎng)絡(luò)、通信技術(shù)與自動(dòng)控制技術(shù)結(jié)合的產(chǎn)物。工控系統(tǒng)在設(shè)計(jì)時(shí)沒(méi)有考慮信息安全問(wèn)題,控制軟件、通信協(xié)議和管理系統(tǒng)先天存在漏洞和后門,在面對(duì)外部的網(wǎng)絡(luò)攻擊更加脆弱,本文通過(guò)對(duì)工控網(wǎng)絡(luò)特點(diǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,提出網(wǎng)絡(luò)建設(shè)和安全保護(hù)的方法和措施,減小工控網(wǎng)絡(luò)面對(duì)病毒攻擊和惡意指令等風(fēng)險(xiǎn),最終實(shí)現(xiàn)提升工控網(wǎng)絡(luò)安全防護(hù)能力。
關(guān)鍵詞:GPON;工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全防護(hù)
1.工業(yè)數(shù)據(jù)通信與控制網(wǎng)絡(luò)現(xiàn)狀
企業(yè)工控網(wǎng)絡(luò)由于工控系統(tǒng)設(shè)計(jì)和工控網(wǎng)絡(luò)孤島建設(shè)的歷史原因,工控網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、業(yè)務(wù)之間數(shù)據(jù)獨(dú)立、缺乏信息安全防護(hù)措施。
1)工控系統(tǒng)多以單機(jī)控制或獨(dú)立運(yùn)行,業(yè)務(wù)之間數(shù)據(jù)無(wú)法交互,隨著工控系統(tǒng)向現(xiàn)場(chǎng)總線控制系統(tǒng)的演化,離散網(wǎng)絡(luò)將阻礙企業(yè)生產(chǎn)智能化的發(fā)展,不利于生產(chǎn)大數(shù)據(jù)獲取、集成、管理和分析。
2)以傳統(tǒng)LAN模式構(gòu)建的以太工控網(wǎng)絡(luò),受銅纜傳輸距離的限制,分散的工控終端難以按照設(shè)備類型劃分區(qū)域,實(shí)現(xiàn)分區(qū)防護(hù)。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,實(shí)時(shí)性、易維性大打折扣。
3)工控設(shè)備多應(yīng)用在高低溫差大、濕度多變、油污、粉塵多的惡劣環(huán)境,不利于網(wǎng)絡(luò)設(shè)備的穩(wěn)定運(yùn)行。
4)工控系統(tǒng)設(shè)計(jì)時(shí)未考慮信息安全問(wèn)題。系統(tǒng)中運(yùn)行的控制軟件、通信協(xié)議和管理系統(tǒng)先天存在漏洞和后門,存在木馬、病毒植入的安全風(fēng)險(xiǎn)。
2.建設(shè)目標(biāo)及效果
通過(guò)工控網(wǎng)絡(luò)和安全的建設(shè),將各類工控終端連接在一起,在設(shè)備和通信安全的基礎(chǔ)上打破業(yè)務(wù)之間的數(shù)據(jù)壁壘,實(shí)現(xiàn)工控設(shè)備遠(yuǎn)程集控、形成生產(chǎn)和試驗(yàn)數(shù)據(jù)資源共享環(huán)境,為智能化生產(chǎn)打造網(wǎng)絡(luò)通信基礎(chǔ)。
1)簡(jiǎn)化傳統(tǒng)LAN網(wǎng)絡(luò)結(jié)構(gòu),對(duì)工控終端的進(jìn)行分類連接,分區(qū)管理,實(shí)現(xiàn)終端數(shù)據(jù)的流向控制和信息過(guò)濾。
2)降低惡劣環(huán)境對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行的影響程度,減少因存放環(huán)境造成的網(wǎng)絡(luò)設(shè)備故障,提高接入網(wǎng)絡(luò)的可靠性。
3)構(gòu)建網(wǎng)絡(luò)安全策略,加強(qiáng)訪問(wèn)控制管理、防范木馬病毒傳播、監(jiān)控設(shè)備加工指令,實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)監(jiān)控和預(yù)警。
3.工業(yè)數(shù)據(jù)通信與控制網(wǎng)絡(luò)及安全建設(shè)方案
3.1建設(shè)思路
針對(duì)工控網(wǎng)絡(luò)需求特點(diǎn),接入網(wǎng)可利用GPON網(wǎng)絡(luò)中光纖超長(zhǎng)傳輸距離和ODN無(wú)源設(shè)備的特點(diǎn),簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、提高網(wǎng)絡(luò)可靠性,通過(guò)終端分類和數(shù)據(jù)流向分析,在網(wǎng)絡(luò)區(qū)域之間采取防護(hù)措施,防范病毒和惡意指令,實(shí)現(xiàn)工控設(shè)備安全、數(shù)據(jù)安全和計(jì)算環(huán)境安全。
3.1.1工控終端分類
通過(guò)對(duì)工控終端的功能和設(shè)備屬性進(jìn)行分析,將終端劃分為工控設(shè)備、上位機(jī)和業(yè)務(wù)管理計(jì)算機(jī)。
1)工控設(shè)備:這類設(shè)備無(wú)法安裝殺毒和其他防護(hù)軟件,最容易受到病毒、木馬、惡意指令的破壞。
2)上位機(jī):操作工控設(shè)備的計(jì)算機(jī),可對(duì)工控設(shè)備發(fā)出操作指令,一旦發(fā)送惡意指令代碼,就能夠篡改工控設(shè)備的加工參數(shù),可直接破壞工控設(shè)備或在制產(chǎn)品。
3)業(yè)務(wù)管理計(jì)算機(jī):主要用來(lái)查詢、管理工控業(yè)務(wù)系統(tǒng)中的生產(chǎn)數(shù)據(jù)和管理數(shù)據(jù)。
3.1.2工控?cái)?shù)量流向分析
通過(guò)對(duì)工控網(wǎng)絡(luò)中數(shù)據(jù)類型的分析,可將數(shù)據(jù)劃分為操作指令、生產(chǎn)和試驗(yàn)數(shù)據(jù)和管理數(shù)據(jù),數(shù)據(jù)流向和存在風(fēng)險(xiǎn)如下。
1)操作指令由上位機(jī)發(fā)送至工控設(shè)備,或先上傳至服務(wù)器后再發(fā)送至工控設(shè)備,存在惡意指令發(fā)送至工控設(shè)備的風(fēng)險(xiǎn)。
2)生產(chǎn)和試驗(yàn)數(shù)據(jù)通過(guò)工控設(shè)備上傳至服務(wù)器,或經(jīng)上位機(jī)處理分析后上傳至服務(wù)器,由于工控設(shè)備的不可控性,存在病毒植入服務(wù)器的風(fēng)險(xiǎn)。
3)管理數(shù)據(jù)用于業(yè)務(wù)管理機(jī),服務(wù)器存在數(shù)據(jù)訪問(wèn)控制的需求。
3.2建設(shè)方法
3.2.1網(wǎng)絡(luò)物理鏈路建設(shè)
1)利用GPON網(wǎng)絡(luò)覆蓋面積廣和接入密度高的優(yōu)勢(shì),可將OLT設(shè)備全部安裝在環(huán)境良好的機(jī)房?jī)?nèi),生產(chǎn)現(xiàn)場(chǎng)采用FTTH的方式敷設(shè)網(wǎng)絡(luò),無(wú)源設(shè)備構(gòu)成的ODN可避免因存放環(huán)境惡劣造成的電氣故障。
2)通過(guò)將不同類別的工控終端接入不同的OLT設(shè)備,實(shí)現(xiàn)終端網(wǎng)絡(luò)區(qū)域的劃分,在OLT之間部署防毒墻、工業(yè)防火墻等設(shè)備,實(shí)現(xiàn)數(shù)據(jù)病毒、協(xié)議的過(guò)濾和訪問(wèn)控制的安全。
3)對(duì)于核心交換設(shè)備采用雙節(jié)點(diǎn)虛擬聚合技術(shù),鏈路采用E-Trunk等方式負(fù)載分擔(dān),可提高整個(gè)骨干網(wǎng)絡(luò)的可靠性。
3.2.2網(wǎng)絡(luò)結(jié)構(gòu)劃分
工控網(wǎng)絡(luò)是一種設(shè)備高密度的非運(yùn)營(yíng)網(wǎng)絡(luò),在有限的空間內(nèi)聚集了大量的工控設(shè)備和計(jì)算機(jī)終端。更注重網(wǎng)絡(luò)的實(shí)時(shí)性、可靠性和易維護(hù)性。因此在工控網(wǎng)絡(luò)建設(shè)時(shí),網(wǎng)絡(luò)選擇二層星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
依據(jù)工控終端分類,可將接入網(wǎng)劃分為工控設(shè)備ODN、上位機(jī)ODN和業(yè)務(wù)管理ODN,服務(wù)器區(qū)依據(jù)功能劃分為業(yè)務(wù)區(qū)和安全管理區(qū),業(yè)務(wù)區(qū)提供工控和管理系統(tǒng)的業(yè)務(wù)服務(wù),如TDM、DNC等,安全管理區(qū)提供網(wǎng)絡(luò)安全服務(wù),如防病毒、主機(jī)控制和審計(jì)等。
3.2.3網(wǎng)絡(luò)安全建設(shè)
1)工控設(shè)備ODN邊界部署防毒墻,避免帶毒數(shù)據(jù)輸至服務(wù)器,防護(hù)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全。
2)工控設(shè)備ODN和上位機(jī)ODN邊界部署工業(yè)防火墻,實(shí)現(xiàn)對(duì)非法指令的阻斷、非工業(yè)協(xié)議的攔截,保障工控設(shè)備的操作指令安全。
3)服務(wù)器邊界部署防火墻,防止非法用戶的進(jìn)入,實(shí)現(xiàn)服務(wù)器的訪問(wèn)安全。
4)安全管理區(qū)域部署IDS、主機(jī)控制、準(zhǔn)入控制、綜合審計(jì)、防病毒等安全系統(tǒng),保障網(wǎng)絡(luò)環(huán)境的計(jì)算安全。
4.總結(jié)
工控網(wǎng)絡(luò)是當(dāng)前制造企業(yè)信息集成系統(tǒng)和管理控制一體化系統(tǒng)發(fā)展的必然趨勢(shì)和需求,與傳統(tǒng)信息網(wǎng)絡(luò)相比,工控網(wǎng)絡(luò)對(duì)信息通信的實(shí)時(shí)性要求更高,要求在惡劣環(huán)境中也能保持穩(wěn)定完整的數(shù)據(jù)傳輸,同時(shí)要防止惡意攻擊、人為操作失誤帶來(lái)網(wǎng)絡(luò)安全問(wèn)題,確保自動(dòng)化網(wǎng)絡(luò)化生產(chǎn)工作的連續(xù)性。工控網(wǎng)絡(luò)GPON技術(shù)的應(yīng)用提供了一個(gè)較之傳統(tǒng)以太網(wǎng),傳輸實(shí)效、穩(wěn)定更高的基礎(chǔ)網(wǎng)絡(luò)平臺(tái),同時(shí)也降低了網(wǎng)絡(luò)建設(shè)、故障處理和維護(hù)的成本。經(jīng)過(guò)分析GPON技術(shù)在工控網(wǎng)絡(luò)的應(yīng)用優(yōu)勢(shì)和工控網(wǎng)絡(luò)安全建設(shè)的重要性,在建設(shè)工控網(wǎng)絡(luò)充分利用GPON技術(shù),可使網(wǎng)絡(luò)質(zhì)量和安全性進(jìn)一步提升。
參考文獻(xiàn):
[1]郝瑞,王立軍,GPON技術(shù)下全業(yè)務(wù)傳輸接入網(wǎng)的研究[J]。中國(guó)新通信,2014
作者簡(jiǎn)介:李海星,1987年,男,回族,河南,本科,工程師,研究方向:信息安全。