工业控制防火墙在烟草生产中的应用
2018-08-30刘军锋
刘军锋
摘 要:本文介绍烟草企业的生产系统普遍存在系统性的信息安全问题,结合蚌埠卷烟厂易地搬迁技术改造项目中的应用情况,以制丝中控的工业防火墙为例,实现工业网同管理网之间的工业网络边界全防护,提出“实现纵深防御能力,从管理网到生产网,空间安全防护”理念。实施证明,该防火墙适应于严苛复杂的工业生产环境。
关键词:工业环网;管理网;控制网;MES系统;操作站
中图分类号:TN915 文献标识码:A 文章编号:1671-2064(2018)14-0048-02
1 引言
烟草行业两化融合和工业网络与办公网络的互联互通是一个必然的趋势,工业控制网络自身的安全缺陷使其对传统网络的安全威胁不具有抵抗力。从烟草行业普遍性角度来看,工业控制网络与办公网络的连接基本上没有进行任何逻辑隔离和检测防护,外部威胁源一旦进入蚌埠烟厂的办公网络,则可以一通到底的连接到工业网络的工业执行层。另外工业控制网络中的工控机系统采用Windows系统,为保证工业软件的稳定运行,无法进行补丁升级甚至不能安装杀毒软件,导致的工业网络的安全风险不言而喻。
2 烟草管控系统特点
烟草行业工控系统主要有SCADA和PLC两大类。由于各企业所涉及的工控系统在组网方式、系统构成等方面存在差别,可归纳为如下几类具有典型特征的工控系统,包括物流控制类、丝叶生产类、独立控制类、动力控制类。系统特点为严格安全预先设计的流程顺序操作,现场控制设备分段完成各个工艺现场机械设备的控制。该控制信息传递涉及到网络信息互连安全。蚌埠烟厂制丝生产线采用启明星辰生产的IFW-3000-201D工业防火墙,在蚌埠烟厂制丝中控同厂级生产调度中心边界部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防护。
3 整个网络信息安全系统架构
为了保障生产与管理的信息安全可靠搭建制丝车间的现场控制网络与管理网络,如图1所示。
在集中监控层中控室,配置2台互为冗余的三层工业控制汇聚交换机;配置2台互为冗余的三层管理网汇聚交换机;在集中监控层中控室,还配置1台商用交换机,作为制丝中控监控计算机、管理计算机、网络打印机等设备的接入。
现场管理星型网络,配套8台工业交换机,在制丝车间区域组成一个光纤管理网,每台现场管理网交换机通过星型双链路接入集中监控层中控室管理汇聚交换机,经启明星辰IFW-3000-201D工业防火墙接入厂级生产调度中心,现场控制星型网配置相似于现场管理星型网络。
3.1 MES系统与制丝集控系统的网络隔离
生产执行层作为管理网与生产工控系统直接相连的部分,MES服务器下发生产工单。一旦MES系统出现病毒、蠕虫可能会影响到直接与其相连的制丝集控系统,而制丝集控系统的工控机又直接与I/O服务器及PLC通讯,进而可能会影响生产设备状态监测,参数的采集以及指令的下发。
3.2 安全域划分
存在IP地址冲突、网络故障、蠕虫等严重影响生产的问题。目前,I/O服务器基本采用双网卡及多网卡机制实现生产管理和工控网的通讯,使I/O服务器可能成为打通不同网络的点,需要通过划分网络安全域减少风险影响的范围。
3.3 网络实时监测
制丝系统存在较多的工艺段,发生故障或安全问题后需要运维人员知道各段操作站与PLC之间的访问关系及相关信息,因此需要有效的技术手段对制丝集控或打叶复烤的工控网络进行实时监测,以辅助故障定位和解决。
4 部署防护功能
在蚌埠烟厂网络中部署的工业防火墙内置上百种专有工业通信协议,基于内置工业通讯协议的防护模式,工业通讯协议通常是基于常规TCP/IP在应用层的高级开发,所以该产品不仅是在端口上的防护,而且还基于应用层上进行数据包深度检查,为工业通讯提供独特的、工业级的专业隔离防护解决方案;解决网络适应性、工业网络可视化、访问控制、工业VPN和工业安全防护等方面需求。
4.1 对MES系统到控制系统的访问控制
在防火墙内部通过安全策略方式实现来自管理网的SYN Flood、抗UDP Flood、抗ICMP Flood、抗Ping of Death等攻击的防护,并且在修改OPC维护策略实现对MES系统与工控系统的OPC协议的动态端口防护及完整性、碎片等细粒度防护。
4.2 可實现对操作站到PLC的访问控制
西门子PLC到操作站的网络类型一般是profinet,需要在防火墙上设置允许S7协议通过,如有其它必要服务,也需要设置允许相应的协议通过,且可以对协议传输的指令进行控制,防止黑客利用不必要的服务和端口攻击系统。
4.3 立体的纵深防御能力
该防火墙具备以太网口和串行链路通信接口,用以满足不同的生产环境。也支持三层工业网络边界和关键节点防护;可部署在管理网、监控网和生产网的边界;可部署在关键的工程师站的前面;可部署在PLC的前面。利用网御工业防火墙,对工业网络进行分区、分域隔离,层层防护直达工业网络的核心生产线。
4.4 安全功能灵活组合定制
该防火墙预置了基本的防火墙系统,支持基于IP、端口、时间和工业协议进行安全过滤,实现工业网络边界安全防护的需求;同时针对不同自动化行业预置了相应的高级安全防护模块,如工业协议应用层深度解析控制模块、工业VPN模块等,这样可以减少用户的投资,提高利用价值。
5 网络攻击
工业以太网在提高信息互连的同时也通过基于OPC数据交换、基于FTP协议的DNC网络的指令传递等,使传统安全威胁可以很快渗透到工业网络中,而早期工控网络并没有考虑相应的安全防护措施,包括缺失的数据加密、数据流及控制流的访问控制、用户认证机制、无线安全连接和安全审计等等。同时大量的厂家或协会公布了工控协议的实现细节和标准,使得攻击者可以深入的挖掘其中的漏洞,并借此展开攻击。正是由于工业网络的互联互通,并缺乏边界防护措施,导致生产线直接暴露在攻击者面前。
综上所述,目前的工业网络存在很大的安全隐患,需要提供纵深防御的安全策略。其中边界安全防护是整个防护环节最重要的一环。如果网络中的部分设备因配置错误,硬件故障,或病毒等原因发生问题,几秒钟内便可传播到整个网络。通过部署适用于工业环境的专用防火墙,可以提供安全区域划分,从边界、区域到终端的完整防护,可有效的降低网络被入侵及安全威胁迁移扩散的风险。
6 结语
在蚌埠烟厂厂级生产调度中心边界部署IFW-3000-201D工业防火墙进行管理网和生产网的逻辑隔离。实现工业网络边界的安全防护,数据信息的纵深防御,从管理网到生产网的数据空间安全防护,该产品适应于严苛复杂的工业生产环境。
参考文献
[1]吕昆.计算机网络安全中防火墙技术运用探析[J].无线互联科技,2017,(16):37-38.
[2]谢燕梅.防火墙技术在计算机网络信息安全中的应用探析[J].科研,2017,(2):213-213.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑(理论版),2016,(9):193-194.
[4]谢平.计算机网络信息安全中防火墙技术的有效运用研究[J].通讯世界,2016,(19):97-98.
[5]黄仁书.计算机网络安全中的防火墙技术及应用实践分析[J].信息与电脑(理论版),2017,(15)219-220.