引言

       Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計摹椅，旨在為其提供一種分區(qū)的安全解決方案蛙奖。Tofino擁有極高的性價比惫撰，它能在工廠車間中建立深層防護(hù)架構(gòu)，因此模软，即使有黑客或病毒通過主要的企業(yè)防火墻伟骨，他們也將面對基于控制網(wǎng)絡(luò)特點而設(shè)計的專業(yè)安全設(shè)備。對工業(yè)企業(yè)來說Tofino Security System更意味著最佳的安全效益和技術(shù)支持燃异，并不只是簡單滿足了獨立的關(guān)鍵控制設(shè)備的安全要求携狭。

        Modbus是由Modicon在1979年發(fā)明的，是全球第一個真正用于工業(yè)現(xiàn)場的總線協(xié)議特铝。在我國暑中，Modbus已經(jīng)成為國家標(biāo)準(zhǔn)GB/T19582-2008。Modbus 協(xié)議是應(yīng)用于電子控制器上的一種通用語言鲫剿。通過此協(xié)議，控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)（例如以太網(wǎng)）和其它設(shè)備之間可以通信锭鸣。它已經(jīng)成為一通用工業(yè)標(biāo)準(zhǔn)灌笙。
1、概述
        SCADA局限、DCS汗绰、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)棵辟、能源琴坏、交通、水利以及市政等領(lǐng)域渗蚁，用于控制生產(chǎn)設(shè)備的運行束澄。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟(jì)安全造成重大隱患尖洞。工信部協(xié)[2011]451號通知明確指出妇张，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題，主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠煞秤，管理制度不健全氏仗，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位夺鲜，安全防護(hù)能力和應(yīng)急處置能力不高等皆尔，威脅著工業(yè)生產(chǎn)安全和社會正常運轉(zhuǎn)。對此币励，各地區(qū)床佳、各部門、各單位務(wù)必高度重視榄审，增強(qiáng)風(fēng)險意識砌们、責(zé)任意識和緊迫感，切實加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理搁进。
        使用Modbus協(xié)議浪感，不同廠商生產(chǎn)的控制設(shè)備可以連成工業(yè)網(wǎng)絡(luò),進(jìn)行集中監(jiān)控。此協(xié)議定義了一個控制器能認(rèn)識使用的消息結(jié)構(gòu)饼问，而不管它們是經(jīng)過何種網(wǎng)絡(luò)進(jìn)行通信的影兽。它描述了一控制器請求訪問其它設(shè)備的過程,如何回應(yīng)來自其它設(shè)備的請求，以及怎樣偵測錯誤并記錄莱革。它制定了消息域格局和內(nèi)容的公共格式掂篷。
        當(dāng)在一Modbus網(wǎng)絡(luò)上通信時，此協(xié)議決定了每個控制器須要知道它們的設(shè)備地址揣洁，識別按地址發(fā)來的消息鳖弱，決定要產(chǎn)生何種行動园赴。如果需要回應(yīng)，控制器將生成反饋信息并用Modbus協(xié)議發(fā)出益丘。在其它網(wǎng)絡(luò)上,包含了Modbus協(xié)議的消息轉(zhuǎn)換為在此網(wǎng)絡(luò)上使用的幀或包結(jié)構(gòu)宴凌。這種轉(zhuǎn)換也擴(kuò)展了根據(jù)具體的網(wǎng)絡(luò)解決節(jié)地址、路由路徑及錯誤檢測的方法冲取。
Modbus具有以下幾個特點：
        ●標(biāo)準(zhǔn)凉灯、開放，用戶可以免費鄙吗、放心地使用Modbus協(xié)議玻啡。目前，支持Modbus的廠家超過400家疙鹃，支持Modbus的產(chǎn)品超過600種捌轮。
        ●Modbus可以支持多種電氣接口，如RS-232尸诽、RS-485等甥材，還可以在各種介質(zhì)上傳送，如雙絞線性含、光纖洲赵、無線等。
        ●Modbus的幀格式簡單商蕴、緊湊叠萍，通俗易懂。用戶使用容易绪商，廠商開發(fā)簡單苛谷。
2、現(xiàn)狀與分析

        簡單的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示格郁，由信息層（Information zone）腹殿、操作站層（Station zone）和控制器層（Controller zone）三大部分組成±椋控制器層和操作站層之間的通訊遵循Modbus協(xié)議锣尉。目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡(luò)中在運行的電腦，很少或沒有機(jī)會安裝全天候病毒防護(hù)或更新版本牢星◇镄啵控制器的設(shè)計都以優(yōu)化實時的I / O功用為主，而並不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能隐鬼。并且許多控制網(wǎng)絡(luò)都是“敞開的”蜓盯，不同的子系統(tǒng)之間都沒有有效的隔離，當(dāng)操作站層面出現(xiàn)問題被攻擊后柱丐，病毒就通過網(wǎng)絡(luò)迅速蔓延腌径，影響到控制層設(shè)備栗雳，給工廠帶來巨大損失。
        目前探娇，石油化工衍周，水處理以及制造業(yè)等為了避免重大風(fēng)險茄焊，基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99 Standards的要求進(jìn)行規(guī)劃撒沦。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005，均指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)應(yīng)與其他系統(tǒng)隔離茵冗，包括企業(yè)IT網(wǎng)絡(luò)租藻，控制網(wǎng)絡(luò)安全要點如下：

        需要注意的是，商業(yè)網(wǎng)絡(luò)的安全需求與控制網(wǎng)絡(luò)的安全需求在某些地方完全不同唉地。就工業(yè)領(lǐng)域通訊應(yīng)用來講据悔，網(wǎng)閘及普通IT防火墻在功能上存在一定局限性，無法實現(xiàn)基于工業(yè)控制網(wǎng)絡(luò)要求的安全防護(hù)耘沼，并且不利于后期維護(hù)极颓。因此不要試圖將控制系統(tǒng)放入IT解決方案中，選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡(luò)攻擊防御能力群嗤。想要滿足這一安全要求菠隆，Tofino是一種經(jīng)濟(jì)高效的方式。
3狂秘、Tofino解決方案
        本方案主要致力于解決現(xiàn)場以Modbus協(xié)議通訊的控制層設(shè)備的安全問題骇径。
3.1 方案亮點
        Tofino能夠用來分離安全系統(tǒng)網(wǎng)絡(luò)與過程系統(tǒng)網(wǎng)絡(luò)，實現(xiàn)關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的物理隔離者春。與普通商用防火墻相比破衔，Tofino更適于工業(yè)控制系統(tǒng)安全防護(hù)，主要體現(xiàn)在：
（1）工業(yè)型：
        ●參照ANSI/ISA-99 Standards的安全要求為設(shè)計理念钱烟，產(chǎn)品更具針對性和高效性晰筛，專門用于工業(yè)控制系統(tǒng)的安全保護(hù)。
        ●內(nèi)置50多種專有工業(yè)通信協(xié)議昆颇，與常規(guī)防火墻不同的是镐怔，Tofino防火墻不僅是在端口上的防護(hù)，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查得鸳，屬于新一代工業(yè)通訊協(xié)議防火墻遍考，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護(hù)解決方案扳引。
        ●具備在線修改防火墻組態(tài)功能橡宪，可以實時對組態(tài)的防火墻策略進(jìn)行修改，而且不影響工業(yè)實時通訊蛙府。其它防火墻需要斷電慷尸、重啟等揣交。
        ●工業(yè)型設(shè)計，導(dǎo)軌式安裝瘤嗜，低功耗無風(fēng)扇殷靖，具備二區(qū)防爆認(rèn)證。
（2）獨有專利安全連接技術(shù)：
        ●首先防火墻自身是基于非IP的獨有專利安全連接技術(shù)進(jìn)行管理着还，能夠阻擋任何欺騙式攻擊介劫。
        ●能夠隱藏防火墻后端所有設(shè)備的IP地址，讓入侵者無法發(fā)現(xiàn)目標(biāo)案淋，更無從談發(fā)動任何攻擊座韵。
        ●集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)交通警察一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑踢京、對象以及數(shù)據(jù)流的方向誉碴，可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向瓣距。
（3）市面上獨家滿足ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn)
        根據(jù)ANSI/ISA-99 和NERC-CIP標(biāo)準(zhǔn)黔帕，TSA可以很方便的針對PLC、DCS蹈丸、RTU成黄、IED和HMI提供一個性價比很高的安全分區(qū)——一個配置得當(dāng)?shù)谋Ｗo(hù)區(qū)域分組。
（4）特有‘測試’模式
        ‘測試’模式可以在對控制系統(tǒng)無任何風(fēng)險的情況下進(jìn)行防火墻和VPN測試白华。TEST模式不同于實際的操作模式慨默，在TEST模式中，Tofino允許所有的通訊通過弧腥，但是由CMP報告在操作模式下任何可能被攔截的通訊锥酌。這一點對于工業(yè)或SCADA控制系統(tǒng)的安全操作相當(dāng)關(guān)鍵，用傳統(tǒng)的IT防火墻是不可能實現(xiàn)的婚咱。這也是Tofino適合于工業(yè)控制系統(tǒng)的獨特性的一個方面连载。
（5）實時網(wǎng)絡(luò)通訊透視鏡：
        能夠為目前控制網(wǎng)絡(luò)故障分析、監(jiān)控挣徽、記錄提供一個簡單异浸、有效的可靠工具，能夠確切的觀察咙借、分析锐洞、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度脖投、訪問對象等窜交。實現(xiàn)對非法通信的實時報警、來源確認(rèn)防苗、歷史記錄羽址，保證控制網(wǎng)絡(luò)通訊的實時診斷帕恩。
3.2 方案構(gòu)成
        一個完整的Tofino安全解決方案包括以下四部分：
（1）Tofino安全模塊（TSA）
        增強(qiáng)型工業(yè)環(huán)境要求設(shè)計，即插即用剩失，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前屈尼。下圖為Tofino安全模塊硬件的兩種選型。硬件設(shè)計遵循增強(qiáng)型工業(yè)環(huán)境要求拴孤，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前脾歧，設(shè)計使用壽命27年，能夠提供安全系統(tǒng)的工業(yè)平臺乞巧。

[DividePage:NextPage]

（2）Tofino可裝載安全軟插件(LSM)
        專為工業(yè)通訊協(xié)議設(shè)計的安全軟插件涨椒，可以直接裝載到Tofino安全模塊中摊鸡，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)绽媒。方案中可選的基本軟插件包括：
        ●Tofino Firewall LSM工業(yè)通信防火墻；
        工業(yè)網(wǎng)絡(luò)交通警察免猾，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議是辕，預(yù)先定義超過25個控制器類型（例如：西門子S7-300/S7-400，Honeywell PKS C200/C300/）猎提；LSM在線協(xié)議組態(tài)获三，可自己定制通訊協(xié)議或者通過設(shè)備學(xué)習(xí)功能實現(xiàn)通訊協(xié)議定制；通過通訊協(xié)議指令級別的管控锨苏，預(yù)先組態(tài)用于高級過濾和攻擊保護(hù)的“特殊規(guī)則”豁登。 符合 ANSI/ISA-99.00.02 的網(wǎng)絡(luò)分段要求，達(dá)到區(qū)域隔離目標(biāo)旺民。
        ●Modbus TCP Enforcer LSM通信深度檢測及防護(hù)嗦府；
        首個能夠深入?yún)f(xié)議內(nèi)部檢測工業(yè)協(xié)議的產(chǎn)品，控制工程師可定義允許的Modbus指令阵拜，寄存器和線圈名單列表肺致。自動阻止并報告任何流量不匹配您的規(guī)則。所有協(xié)議要被完整全面的檢查, 檢察并阻止任何不符合Modbus通訊協(xié)議的通訊內(nèi)容楣导。
        ●Secure Asset Management LSM安全設(shè)備資產(chǎn)管理运嗜；
        像雷達(dá)一樣竣篷，Tofino的安全設(shè)備資產(chǎn)管理（SAM）可裝載模塊可以追蹤每一個通過Tofino安全設(shè)備進(jìn)行通訊的設(shè)備。不過勺处，為了避免引起進(jìn)程干擾，它實現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)撕拇。
        ●Event Logger LSM事件日志與報警管理痪酸；
        Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監(jiān)控功能和記錄功能，它是一個專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的日志記錄系統(tǒng)李根。
（3）Tofino中央管理平臺（CMP）
        窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫槽奕，用于Tofino安全模塊的配置几睛、組態(tài)和管理，并能實現(xiàn)系統(tǒng)的報警和日志的實時監(jiān)控和歷史查詢粤攒。能夠為目前控制網(wǎng)絡(luò)故障分析所森、監(jiān)控、記錄提供一個簡單夯接、有效的可靠工具焕济，能夠確切的觀察、分析盔几、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議晴弃、數(shù)據(jù)速度、訪問對象等逊拍。實現(xiàn)對非法通信的實時報警上鞠、來源確認(rèn)、歷史記錄芯丧，保證控制網(wǎng)絡(luò)通訊的實時診斷芍阎。具備在線組態(tài)、在線監(jiān)控懊霹、資產(chǎn)管理等多種功能冈瞪。

（4）Tofino安全管理平臺（SMP）
        SMP Server接收CMP或TSA的日志和報警記錄，并將日志和報警存儲在服務(wù)器數(shù)據(jù)庫中凹田。SMP Client安裝在辦公局域網(wǎng)上的辦公電腦中找仙，支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄，并且支持日志和報警的查詢链坝。
3.3 方案介紹與實施
        產(chǎn)品的選型和方案的實施可以概括為以下三步亲敷，實際中對于不同的環(huán)境和安全要求，具體的方案和實施過程略有不同涎舞。
        第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)?契叔，確定在何處放置TOFINO安全設(shè)備TSA。
        第二步：確定需要哪些可裝載安全功能軟插件(LSMs)栗怪，以確保每個區(qū)域安全不同的要求麸应。
        第三步：選擇一個服務(wù)器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP，CMP和SMP也可以分別安裝在不同的機(jī)器娘瞻。
        結(jié)合上述控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)损侄，本方案對Modbus通信部分控制設(shè)備需要進(jìn)行的保護(hù)進(jìn)行詳細(xì)介紹。

       （1）基于保護(hù)控制層設(shè)備的目的叶雹，本方案中將控制層設(shè)備作為一個安全分區(qū)财饥，在控制層和操作站層之間部署一個TSA，將控制層設(shè)備置于TSA之后，與操作站層進(jìn)行隔離钥星。
       （2）考慮到采用控制層和操作站層之間使用Modbus協(xié)議進(jìn)行通信沾瓦，建議配置的LSM軟插件如下：

[DividePage:NextPage]

       （3）選擇網(wǎng)絡(luò)中合適的機(jī)器安裝CMP和SMP，也可以選用單獨的計算機(jī)安裝CMP和SMP谦炒，創(chuàng)建整個網(wǎng)絡(luò)模型贯莺，并設(shè)置合適的通信規(guī)則，確保網(wǎng)絡(luò)中只有合法的通信通過宁改，這樣可以將全廠所有設(shè)備硬件都集中管理缕探，對全廠控制網(wǎng)絡(luò)狀態(tài)一目了然。
3.4 方案目標(biāo)
        該方案以建立縱深防御策略為主要思想还蹲，確保工廠網(wǎng)絡(luò)中即使某一點發(fā)生網(wǎng)絡(luò)安全事故爹耗，工廠也能正常運行，同時谜喊，工廠操作人員能夠很迅速的找到問題并進(jìn)行處理劣秦，主要達(dá)到以下目標(biāo)：

        ●區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)低案，而不會影響到其它部分裹融；
        ●深度檢查：面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查，告別病毒庫升級缺陷辕憋；
        ●通信管控：通信規(guī)則是可以通過中央管理平臺進(jìn)行在線組態(tài)和測試的；
        ●實時報警：所有部署的防火墻都能由中央管理平臺統(tǒng)一進(jìn)行實時監(jiān)控卷俱，任何非法的（沒有被組態(tài)允許的）訪問寒焚，都會在中央管理平臺產(chǎn)生實時報警信息，從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決百郊。
四鞭玩、結(jié)束語
        Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計，旨在為其提供一種分區(qū)的安全解決方案捉为。Tofino擁有極高的性價比离览，它能在工廠車間中建立深層防護(hù)架構(gòu)，因此焚趴，即使有黑客或病毒通過主要的企業(yè)防火墻限番，他們也將面對基于控制網(wǎng)絡(luò)特點而設(shè)計的專業(yè)安全設(shè)備。對工業(yè)企業(yè)來說Tofino Security System更意味著最佳的安全效益和技術(shù)支持呀舔，并不只是簡單滿足了獨立的關(guān)鍵控制設(shè)備的安全要求弥虐。
        不同于傳統(tǒng)的IT防火墻，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全而設(shè)計∶睦担現(xiàn)場技術(shù)人員只需簡單為Tofino接入電源霜瘪，并連接兩個網(wǎng)絡(luò)的電纜即可，無需其他任何操作。一旦安裝成功颖对，技術(shù)人員即可毫不費力地管理任何系統(tǒng)捻撑，以總攬公司大局的方式對網(wǎng)絡(luò)威脅做出及時反應(yīng)。最重要的是缤底，Tofino既可以靈活運用在單純由PLC構(gòu)成的小型工廠中布讹，又能夠滿足那些擁有成千上萬個設(shè)備并且分布全球各地的大型跨國集團(tuán)的使用要求。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)训堆，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享描验，并不代表本站贊同其觀點和對其真實性負(fù)責(zé)，也不構(gòu)成任何其他建議坑鱼。本站部分作品是由網(wǎng)友自主投稿和發(fā)布帘染、編輯整理上傳，對此類作品本站僅提供交流平臺谅璧，不為其版權(quán)負(fù)責(zé)耕疟。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻、圖片拆鹉、文字如涉及作品版權(quán)問題上互，請第一時間告知，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容舷翰，以保證您的權(quán)益匀冈！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn。