引言 工业控制网络 (ICN) 通常是由专用的硬件资源和通信网络组成, 是单独的, 孤立的系 统,用于完成控制功能的计算资源 ( 包括 CPU计算时间和内存 )是极其有限的, 控制系统的设 计需要满足可靠性、 实时性和灵活性等需求。 在工业控制网络的早期开发过程中, 信息安全 的问题还没有凸显出来, 信息安全通常都不是一个重要的设计要求, 因而为了提高性能要求 和节约成本, 通常都忽略了信息交互的考虑。 此外, 信息安全目标有时和控制系统的高可靠 性和实时操作相冲突。
在整个工业控制网络技术体系中,基于 SCADA系统 (监视控制和数据采集系统 )平台 的控制网络是一种使用较为广泛的工业控制网络, 其综合集成了计算机网络、 现代通信, 微 电子以及自动化技术,普遍应用于电力,供水、石油,天然气、轨道交通和化学工业领域, 是国家关键基础设施的重要组成部分,关系到国家的战略安全。 2007 年以来,世界各国政 府和各种网络信息安全机构已经注意到工业 SCADA系统网络的安全问题, 纷纷开展了相关工 作,如欧盟已经开展关于 SCADA安全规范的标准讨论与制定。 为保障工业 SCADA系统网络的 机密性,完整性。同时满足可用性,文中设计了一个安全服务框架,并讨论了该框架的具体 细节。
一、工业 SCADA系统网络结构 SCADA系统广泛应用于诸多行业,功能越来越强大,结构也越来越复杂。一般意义 上,
工业控制 SCADA系统可分为 3 层,如图 1 所示。
图 1:工业 SCADA系统网络 第 1 层为数据采集层, 由 RTU与一次仪表构成, 完成现场原始数据的采集与预处理, 而且根据设计需求还可以实现现场的数据存储,以保证通信中断后数据的连续性;
第 2 层为 SCADA系统通信网络层, 由光纤、微波,卫星, GPRS,数传电台等信道组 成,以实现远距离通信;
第 3 层为 SCADA控制端系统层, 在此层实现对已采集数据的分析、整理,并根据需 要实现多种形式的发布。业界很多公司分别在数据采集层, SCADA系统通信网络层、 SCADA 控制端系统层都拥有极其稳定的产品和丰富的系统集成经验。 此外,根据工业控制网络的具体应用环境和规模,数据采集层会将 SCADA信息数据 进行分布式处理,形成 SCADA系统子站设备层,以减轻 SCADA系统中心控制端的负载。 二、工业 SCADA系统网络的常见安全威胁 工业自动控制领域使用较为普遍的、 成熟的是与 IP 网技术截然不同的工业控制网通 信技术体系,如现场总线网通信系列、 RS485总线通信、 PLC网络通信等。虽然一些研究机 构新近提出了实时控制 IP 网承载技术方案,但离广泛的应用尚存在一定差距。工业 SCADA 系统网络的安全威胁主要来自外部与内部两个方面. 外部威胁主要表现在外部攻击者通过非 授权方式进入控制系统,对工业控制网络内部资源进行访问,造成机密信息的丢失或误用, 危及工业过程安全,突出表现在篡改控制命令、伪造状态信息、传播病毒、关键时刻阻塞控 制信道和导致系统不能正常运转等。 内部威胁主要表现在网络自身故障, 本地用户对设备控 制系统的攻击与非法访问几个方面。
三、工业 SCADA系统网络的防护技术及问题 3.1 SCADA 系统网络安全现状
大型基础设施工业界通常把以非 IP 网络的 sCADA过程控制网络看成一个很大的黑 箱,通过尽量把控制网络环境从 IP 信息网络中分离出来,作为主要的保护工业 SCADA系统 网络安全的方法。所以目前的网络安全现状如下:
① 截止到 2009 年,尚没有出现专门针对工业 SCADA系统网络安全的,已发布的, 确切的国际标准 (ISO/IEC) ;
② 一些国际组织开始发布与 SCADA控制网络安全相关的协议规范讨论稿,但离形成 标准推广应用存在的差距较大;
③ 越来越多的来自工业自动控制领域的高校、科研院所、大型企业开始关注 SCADA 网络的安全性,发表了一定数量的相关论文和报告;
④ 目前业界关注工业控制领域的信息网络安全主要以工业以太网为焦点,以 SCADA 系统为基础的工业控制网络相对较少。 3.2 目前的 SCADA系统网络安全防护方案面临的问题
从 2009 年网络安全技术产品的最新发展看,对于使用 TCP/IP 网络作为 SCADA业务 承载通道的工业控制网 SCADA系统,国内外的信息安全公司已经研发出了相应的网络安全产 品,并形成了相应的安全技术方案。
3.2.1 技术机制 技术机制包括 VPN、密码机制,人像识别,访问控制、防病毒软件、登录认证、网 络隔离技术等。 3.2.2 主要能解决的问题 目前以 IP 网络为基础的 SCADA系统网络安全方案或产品,主要是保证实时 SCADA 工业控制网络安全地接入 Internet 外部信息网络。但是,现有的 SCADA系统网络安全防护 方案面临的问题非常突出,如下所述:
① 没有 SCADA网络系统信息领域的国际标准; ② SCADA网络系统主要应用于实时控制系统,对网络延迟十分敏感; ③ SCADA网络系统的应用领域复杂多样,如电力、供水、石油等,设备类型以及技 术体制多种多样,很难找到一种统一的安全防护模式;
④ 工业控制网络的终端节点设备并非完全属于微机设备,大多为单片机、 PLC等, 很难支持加解密以及认证算法等运算重大的操作,或者会因此而降低设备处理速度;
⑤ SCADA网络安全需求跟 IT 信息网络安全需求不一样, SCADA网络是相对封闭的网 络,面临的安全威胁与 IP 网不一样;
⑥ 不能简单把并非针对 SCADA网络而设计的传统 IP 网络机制生硬地搬到 SCADA网 络,这会造成严重的后果。
四、安全服务框架 针对上文提出的工业 SCADA系统网络的多种安全威胁和现有解决方案的不足,文中 从 SCADA系统安全体系以及设备的角度, 提出了一种分布式的 SCADA系统安全服务框架。 该 框
架采用模块化设计, 分布式的体系架构, 通过对 SCADA网络系统传输业务消息的认证、 签 名、报文过滤等, 形成安全 SCADA业务信息 (指经过安全处理后的控制、 测量,传感等消息 ) , 确保了工业 SCADA系统网络和业务消息的安全性和可靠性。
4.1 安全服务框架的设计目标设计目标如下:
① 安全性: 综合采用消息认证,基于 SCADA协议的包过滤技术,保证 SCADA系统控 制端与受控端节点通信的安全可靠, 解决了传统的 IP 网络安全方案无法适应非 IP 技术的实 时控制系统的问题;
② 独立性: 安全服务框架采用模块化的设计,独立于 SCADA系统的控制端和受控端 节点,易于兼容多种不同协议体制下的 SCADA系统设备。 安全服务框架的升级与维护等操作, 能够独立于 SCADA系统单独进行,同时, SCADA系统端节点设备本身的升级改造,也不会影 响到安全服务框架。
4.2 系统架构
安全服务框架介于 SCADA系统控制端设备与受控端设备之间,采用点对点的部署模 式,整体网络系统架构如图 2 所示。 图 2 :安全服务框架的网络架构 安全服务框架主要实现对 SCADA系统控制端设备与受控端设备待发送消息的安全封 装,并将封装后的安全消息发送到目的 SCADA系统节点; 同时, 安全服务框架负责监听通过 SCADA通信网络发送过来的安全 SCADA业务消息,对消息进行认证,合法性检测处理,并将 处
理后的有效明文 SCADA消息传递给 SCADA系统端设备。 安全服务框架采用模块化设计, 包 括内部接口模块、外部接口模块、安全控制模块、 ISO 5 类安全服务提供模块、安全 SCADA 业务消息处理算法模块, 并分为以下 4 个层次:
①编程接口层: 是安全服务框架的对外统一接口,包括内部接口模块和外部接口模 块。内部接口模块负责与 SCADA系统端节点设备进行明文信息交互, 外部接口模块负责与通 信对端节点设备通过 SCADA通信网络进行安全信息的发送和接收。 编程接口层定义了标准的 调用接口, 便于安全服务框架上层代码以标准的方式进行调用, 保证了安全服务框架的独立 性;
②逻辑控制层: 是安全服务框架的核心调度层, 包括安全控制模块和安全策略配置 文件。 通过调用功能层的功能模块, 结合配置文件的安全处理流程。 能够实现为 SCADA系统 端节点设备待发送消息添加用户身份信息,进行签名和消息认证处理、报文封装等功能;
③ 安全机制层: 是安全处理功能的具体实现层, 将参考 IP 网络信息安全的技术体制, 并改造,优化传统的 IP 网络安全技术,实现通过安全机制层,能提供具有实时控制工业网 络特色的信息安全服务,即 ISO 开放系统互连的 5大类服务:抗抵赖、机密性、完整性、鉴 别、访问控制服务;
④ 安全资源层: 提供安全机制层需要的所有物理和逻辑资源的抽象封装,主要包括 安全机制层实现 5 大类安全服务操作时需要使用的各个管理节点的随机数, ID 身份信息。 安全服务框架模块与层次如图 3 所示:
图 3 :安全服务框架内部模块结构与层次 五、结语 在工业 SCADA系统网络被日益广泛应用,具有工业应用背景的信息安全问题日益严 峻的今天, 一个合理的安全服务框架的建立与安全措施的使用可以保证工业控制网络的有效 及可靠运行, 保证信息机密性、 系统的有效性和数据的完整性, 从而保障国家关键基础设施 的安全。 文中提出了一种针对工业 SCADA系统网络的安全服务框架, 该框架能适应工业控制 网络特殊的应用环境,以 SCADA系统端节点设备为核心,融合了传统 IP 网络安全的技术机 制,有效地保证了工业 SCADA系统网络运行数据的完整性,可靠性、稳定性,保证了数据传 输的安全性,快捷性。
