Modbus TCP通訊安全解決方案
摘要:Modbus TCP通訊安全解決方案資訊由優(yōu)秀的流量計、流量儀生產(chǎn)報價廠家為您提供。Modbus是由Modicon在1979年發(fā)明的,是全球*個真正用于工業(yè)現(xiàn)場的總線協(xié)議。在我國,Modbus已經(jīng)成為國家標(biāo)準(zhǔn)GB/T19582-2008。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語言。通過此協(xié)議,控。更多的流量計廠家選型號價格報價歡迎您來電咨詢,下面是Modbus TCP通訊安全解決方案文章詳情。
Modbus是由Modicon在1979年發(fā)明的,是全球*個真正用于工業(yè)現(xiàn)場的總線協(xié)議。在我國,Modbus已經(jīng)成為國家標(biāo)準(zhǔn)GB/T19582-2008。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語言。通過此協(xié)議,控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)(例如以太網(wǎng))和其它設(shè)備之間可以通信。它已經(jīng)成為一通用工業(yè)標(biāo)準(zhǔn)。1、概述
SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。工信部協(xié)[2011]451號通知明確指出,我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題,主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠,管理制度不健全,相關(guān)標(biāo)準(zhǔn)規(guī)范缺失,技術(shù)防護(hù)措施不到位,安全防護(hù)能力和應(yīng)急處置能力不高等,威脅著工業(yè)生產(chǎn)安全和社會正常運轉(zhuǎn)。對此,各地區(qū)、各部門、各單位務(wù)必高度重視,增強風(fēng)險意識、責(zé)任意識和緊迫感,切實加強工業(yè)控制系統(tǒng)信息安全管理。
使用Modbus協(xié)議,不同廠商生產(chǎn)的控制設(shè)備可以連成工業(yè)網(wǎng)絡(luò),進(jìn)行集中監(jiān)控。此協(xié)議定義了一個控制器能認(rèn)識使用的消息結(jié)構(gòu),而不管它們是經(jīng)過何種網(wǎng)絡(luò)進(jìn)行通信的。它描述了一控制器請求訪問其它設(shè)備的過程,如何回應(yīng)來自其它設(shè)備的請求,以及怎樣偵測錯誤并記錄。它制定了消息域格局和內(nèi)容的公共格式。
當(dāng)在一Modbus網(wǎng)絡(luò)上通信時,此協(xié)議決定了每個控制器須要知道它們的設(shè)備地址,識別按地址發(fā)來的消息,決定要產(chǎn)生何種行動。如果需要回應(yīng),控制器將生成反饋信息并用Modbus協(xié)議發(fā)出。在其它網(wǎng)絡(luò)上,包含了Modbus協(xié)議的消息轉(zhuǎn)換為在此網(wǎng)絡(luò)上使用的幀或包結(jié)構(gòu)。這種轉(zhuǎn)換也擴展了根據(jù)具體的網(wǎng)絡(luò)解決節(jié)地址、路由路徑及錯誤檢測的方法。Modbus具有以下幾個特點:
●標(biāo)準(zhǔn)、開放,用戶可以免費、放心地使用Modbus協(xié)議。目前,支持Modbus的廠家超過400家,支持Modbus的產(chǎn)品超過600種。
●Modbus可以支持多種電氣接口,如RS-232、RS-485等,還可以在各種介質(zhì)上傳送,如雙絞線、光纖、無線等。
●Modbus的幀格式簡單、緊湊,通俗易懂。用戶使用容易,廠商開發(fā)簡單。
2、現(xiàn)狀與分析
簡單的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示,由信息層(Informationzone)、操作站層(Stationzone)和控制器層(Controllerzone)三大部分組成??刂破鲗雍筒僮髡緦又g的通訊遵循Modbus協(xié)議。目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡(luò)中在運行的電腦,很少或沒有機會安裝全天候病毒防護(hù)或更新版本。控制器的設(shè)計都以優(yōu)化實時的I/O功用為主,而並不提供加強的網(wǎng)絡(luò)連接安全防護(hù)功能。并且許多控制網(wǎng)絡(luò)都是“敞開的”,不同的子系統(tǒng)之間都沒有有效的隔離,當(dāng)操作站層面出現(xiàn)問題被攻擊后,病毒就通過網(wǎng)絡(luò)迅速蔓延,影響到控制層設(shè)備,給工廠帶來巨大損失。
目前,石油化工,水處理以及制造業(yè)等為了避免重大風(fēng)險,基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99Standards的要求進(jìn)行規(guī)劃。ANSI/ISA-99及NorthAmericanElectricReliabilityCouncil(NERC)CIP-005,均指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)應(yīng)與其他系統(tǒng)隔離,包括企業(yè)IT網(wǎng)絡(luò),控制網(wǎng)絡(luò)安全要點如下:
需要注意的是,商業(yè)網(wǎng)絡(luò)的安全需求與控制網(wǎng)絡(luò)的安全需求在某些地方完全不同。就工業(yè)領(lǐng)域通訊應(yīng)用來講,網(wǎng)閘及普通IT防火墻在功能上存在一定局限性,無法實現(xiàn)基于工業(yè)控制網(wǎng)絡(luò)要求的安全防護(hù),并且不利于后期維護(hù)。因此不要試圖將控制系統(tǒng)放入IT解決方案中,選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡(luò)攻擊防御能力。想要滿足這一安全要求,Tofino是一種經(jīng)濟高效的方式。
3、Tofino解決方案
本方案主要致力于解決現(xiàn)場以Modbus協(xié)議通訊的控制層設(shè)備的安全問題。
3.1方案亮點
Tofino能夠用來分離安全系統(tǒng)網(wǎng)絡(luò)與過程系統(tǒng)網(wǎng)絡(luò),實現(xiàn)關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的物理隔離。與普通商用防火墻相比,Tofino更適于工業(yè)控制系統(tǒng)安全防護(hù),主要體現(xiàn)在:
(1)工業(yè)型:
●參照ANSI/ISA-99Standards的安全要求為設(shè)計理念,產(chǎn)品更具針對性和高效性,專門用于工業(yè)控制系統(tǒng)的安全保護(hù)。
●內(nèi)置50多種專有工業(yè)通信協(xié)議,與常規(guī)防火墻不同的是,Tofino防火墻不僅是在端口上的防護(hù),更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查,屬于新一代工業(yè)通訊協(xié)議防火墻,為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護(hù)解決方案。
●具備在線修改防火墻組態(tài)功能,可以實時對組態(tài)的防火墻策略進(jìn)行修改,而且不影響工業(yè)實時通訊。其它防火墻需要斷電、重啟等。
●工業(yè)型設(shè)計,導(dǎo)軌式安裝,低功耗無風(fēng)扇,具備二區(qū)防爆認(rèn)證。
(2)獨有專利安全連接技術(shù):
●首先防火墻自身是基于非IP的獨有專利安全連接技術(shù)進(jìn)行管理,能夠阻擋任何欺騙式攻擊。
●能夠隱藏防火墻后端所有設(shè)備的IP地址,讓入侵者無法發(fā)現(xiàn)目標(biāo),更無從談發(fā)動任何攻擊。
●集防火墻與虛擬路由于一身,能夠像網(wǎng)絡(luò)交通*一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對象以及數(shù)據(jù)流的方向,可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向。
(3)市面上*滿足ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn)
根據(jù)ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn),TSA可以很方便的針對PLC、DCS、RTU、IED和HMI提供一個性價比很高的安全分區(qū)——一個配置得當(dāng)?shù)谋Wo(hù)區(qū)域分組。
(4)特有‘測試’模式
‘測試’模式可以在對控制系統(tǒng)無任何風(fēng)險的情況下進(jìn)行防火墻和VPN測試。TEST模式不同于實際的操作模式,在TEST模式中,Tofino允許所有的通訊通過,但是由CMP報告在操作模式下任何可能被攔截的通訊。這一點對于工業(yè)或SCADA控制系統(tǒng)的安全操作相當(dāng)關(guān)鍵,用傳統(tǒng)的IT防火墻是不可能實現(xiàn)的。這也是Tofino適合于工業(yè)控制系統(tǒng)的獨特性的一個方面。
(5)實時網(wǎng)絡(luò)通訊透視鏡:
能夠為目前控制網(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個簡單、有效的可靠工具,能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問對象等。實現(xiàn)對非法通信的實時報警、來源確認(rèn)、歷史記錄,保證控制網(wǎng)絡(luò)通訊的實時診斷。
3.2方案構(gòu)成
一個完整的Tofino安全解決方案包括以下四部分:
(1)Tofino安全模塊(TSA)
增強型工業(yè)環(huán)境要求設(shè)計,即插即用,應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為Tofino安全模塊硬件的兩種選型。硬件設(shè)計遵循增強型工業(yè)環(huán)境要求,應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前,設(shè)計使用壽命27年,能夠提供安全系統(tǒng)的工業(yè)平臺。
(2)Tofino可裝載安全軟插件(LSM)
專為工業(yè)通訊協(xié)議設(shè)計的安全軟插件,可以直接裝載到Tofino安全模塊中,并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)。方案中可選的基本軟插件包括:
●TofinoFirewallLSM工業(yè)通信防火墻;
工業(yè)網(wǎng)絡(luò)交通*,提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議,預(yù)先定義超過25個控制器類型(例如:西門子S7-300/S7-400,HoneywellPKSC200/C300/);LSM在線協(xié)議組態(tài),可自己定制通訊協(xié)議或者通過設(shè)備學(xué)習(xí)功能實現(xiàn)通訊協(xié)議定制;通過通訊協(xié)議指令級別的管控,預(yù)先組態(tài)用于高級過濾和攻擊保護(hù)的“特殊規(guī)則”。符合ANSI/ISA-99.00.02的網(wǎng)絡(luò)分段要求,達(dá)到區(qū)域隔離目標(biāo)。
●ModbusTCPEnforcerLSM通信深度檢測及防護(hù);
*能夠深入?yún)f(xié)議內(nèi)部檢測工業(yè)協(xié)議的產(chǎn)品,控制工程師可定義允許的Modbus指令,寄存器和線圈名單列表。自動阻止并報告任何流量不匹配您的規(guī)則。所有協(xié)議要被完整全面的檢查,檢察并阻止任何不符合Modbus通訊協(xié)議的通訊內(nèi)容。
●SecureAssetManagementLSM安全設(shè)備資產(chǎn)管理;
像雷達(dá)一樣,Tofino的安全設(shè)備資產(chǎn)管理(SAM)可裝載模塊可以追蹤每一個通過Tofino安全設(shè)備進(jìn)行通訊的設(shè)備。不過,為了避免引起進(jìn)程干擾,它實現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)。
●EventLoggerLSM事件日志與報警管理;
Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監(jiān)控功能和記錄功能,它是一個專為工業(yè)控制網(wǎng)絡(luò)設(shè)計的日志記錄系統(tǒng)。
(3)Tofino中央管理平臺(CMP)
窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫,用于Tofino安全模塊的配置、組態(tài)和管理,并能實現(xiàn)系統(tǒng)的報警和日志的實時監(jiān)控和歷史查詢。能夠為目前控制網(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個簡單、有效的可靠工具,能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問對象等。實現(xiàn)對非法通信的實時報警、來源確認(rèn)、歷史記錄,保證控制網(wǎng)絡(luò)通訊的實時診斷。具備在線組態(tài)、在線監(jiān)控、資產(chǎn)管理等多種功能。
(4)Tofino安全管理平臺(SMP)
SMPServer接收CMP或TSA的日志和報警記錄,并將日志和報警存儲在服務(wù)器數(shù)據(jù)庫中。SMPClient安裝在辦公局域網(wǎng)上的辦公電腦中,支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄,并且支持日志和報警的查詢。
3.3方案介紹與實施
產(chǎn)品的選型和方案的實施可以概括為以下三步,實際中對于不同的環(huán)境和安全要求,具體的方案和實施過程略有不同。
*步:創(chuàng)建網(wǎng)絡(luò)安全分區(qū)?,確定在何處放置TOFINO安全設(shè)備TSA。
第二步:確定需要哪些可裝載安全功能軟插件(LSMs),以確保每個區(qū)域安全不同的要求。
第三步:選擇一個服務(wù)器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP,CMP和SMP也可以分別安裝在不同的機器。
結(jié)合上述控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),本方案對Modbus通信部分控制設(shè)備需要進(jìn)行的保護(hù)進(jìn)行詳細(xì)介紹。
(1)基于保護(hù)控制層設(shè)備的目的,本方案中將控制層設(shè)備作為一個安全分區(qū),在控制層和操作站層之間部署一個TSA,將控制層設(shè)備置于TSA之后,與操作站層進(jìn)行隔離。
(2)考慮到采用控制層和操作站層之間使用Modbus協(xié)議進(jìn)行通信,建議配置的LSM軟插件如下:
(3)選擇網(wǎng)絡(luò)中合適的機器安裝CMP和SMP,也可以選用單獨的計算機安裝CMP和SMP,創(chuàng)建整個網(wǎng)絡(luò)模型,并設(shè)置合適的通信規(guī)則,確保網(wǎng)絡(luò)中只有合法的通信通過,這樣可以將全廠所有設(shè)備硬件都集中管理,對全廠控制網(wǎng)絡(luò)狀態(tài)一目了然。
3.4方案目標(biāo)
該方案以建立縱深防御策略為主要思想,確保工廠網(wǎng)絡(luò)中即使某一點發(fā)生網(wǎng)絡(luò)安全事故,工廠也能正常運行,同時,工廠操作人員能夠很迅速的找到問題并進(jìn)行處理,主要達(dá)到以下目標(biāo):
●區(qū)域隔離:Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會被控制在zui初發(fā)生的區(qū)域內(nèi),而不會影響到其它部分;
●深度檢查:面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查,告別病毒庫升級缺陷;
●通信管控:通信規(guī)則是可以通過中央管理平臺進(jìn)行在線組態(tài)和測試的;
●實時報警:所有部署的防火墻都能由中央管理平臺統(tǒng)一進(jìn)行實時監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問,都會在中央管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
四、結(jié)束語
Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計,旨在為其提供一種分區(qū)的安全解決方案。Tofino擁有極高的性價比,它能在工廠車間中建立深層防護(hù)架構(gòu),因此,即使有黑客或病毒通過主要的企業(yè)防火墻,他們也將面對基于控制網(wǎng)絡(luò)特點而設(shè)計的專業(yè)安全設(shè)備。對工業(yè)企業(yè)來說TofinoSecuritySystem更意味著zui佳的安全效益和,并不只是簡單滿足了獨立的關(guān)鍵控制設(shè)備的安全要求。
不同于傳統(tǒng)的IT防火墻,Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全而設(shè)計?,F(xiàn)場技術(shù)人員只需簡單為Tofino接入電源,并連接兩個網(wǎng)絡(luò)的電纜即可,無需其他任何操作。一旦安裝成功,技術(shù)人員即可毫不費力地管理任何系統(tǒng),以總攬公司大局的方式對網(wǎng)絡(luò)威脅做出及時反應(yīng)。zui重要的是,Tofino既可以靈活運用在單純由PLC構(gòu)成的小型工廠中,又能夠滿足那些擁有成千上萬個設(shè)備并且分布全球各地的大型跨國集團的使用要求。
以上就是本文全部內(nèi)容,歡迎您來電咨詢我廠家流量計選型、報價等內(nèi)容。
《Modbus TCP通訊安全解決方案》本文地址:http://www.hzxsqk.com/news/1746.html 轉(zhuǎn)載請勿刪除!