工业应用场景下安全交换机的技术探讨
2019-05-23赵跃东阚涛
赵跃东 阚涛
摘要:本文主要讨论针对工业互联网体系中存在的攻击、病毒、漏洞等安全隐患,通过身份识别的端口阻塞控制等关键技术,实现接入、传输、出口安全控制;采用IEEE 1588 PTP协议,实现精密时钟同步功能;采用G.8032 ERPS以太多环网保护协议,解决收敛时间过长、实时性和安全性等问题。
关键词:工业互联网;攻击、病毒、漏洞;IEEE 1588 PTP;精密时钟;G.8032 ERPS;安全布防
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2019)05-0058-02
1 前言
2018年8月3日台积电遭到电脑病毒入侵,造成竹科晶圆12厂、中科晶圆15厂、南科晶圆14厂等主要厂区停机,企业损失重大。据后期自查,台积电的晶圆制造与测试机台都是外购,并且由厂商灌装好软件系统,送至厂房安装后,按照标准作业流程(SOP)进行杀毒之后再进行并线生产,但是此次由于新的机台到厂之后,台积电员工未按照SOP进行操作,导致病毒在机台并线之后,经公司内网进行扩散。
台积电作为全球最大晶圆制造商,其企业网络与信息的安全应该是密集防护、细粒度防护,不应该出现该类问题。但是仔细评估事件原因,根本原因其主要责任并不在企业外部,反而出现在企业内部。
经过深入走访与调研,很多企业在生产车间会有报工台、工位机等设备,企业员工会将个人U盘或移动存储设备接入工位机进行数据转存,由于U盘或移动存储设备可能属于个人,平時会用作个人行为,不在公司监管范围内,因此是否存在威胁无从知晓。更有甚者,曾在企业生产线上见到员工将个人手机连接到工位机进行充电,根据现在人们的生活习惯,手机会无时无刻不在连接互联网,互联网属于开放式的环境,病毒、漏洞、攻击、垃圾程序等无所不在,此类威胁可以轻易渗透到生产网络,哪怕现在随着企业管理者安全意识的提高,将办公网与生产网物理隔离,威胁因素依然可直接经过手机作用于生产网。
随着“工业4.0”及“中国制造2025”提出,工业互联网作为智能制造的信息传递的纽带,其重要性不言而喻;同时工业互联网也是各类病毒、攻击等威胁因素的传播路径。针对外部威胁,业内已经有各种各样的安全防护措施,但是针对来自内部的威胁,依旧没有更好的防护措施。
2 目前工业应用中通信网络存在的问题
2.1 网络稳定性问题
工业网络中普遍采用工业以太环网来解决网络稳定性问题,实现网络中断之后的快速倒换与恢复。目前,国内工业以太网交换机在快速环网冗余保护这项重要功能上普遍是私有协议。私有协议的优点是开发简单,没有规范要求,不需要支持复杂拓扑,仅满足单环保护即可。但缺点非常明显,首先由于是私有协议,导致各个公司的产品在环网应用中互不兼容,用户在一个环网中无论扩容还是维修替换都必须是同一个品牌产品,严重制约了用户的选择权利。同时,由于是私有协议,各个品牌下的环网冗余保护协议技术水平参差不齐,很多仅支持非常简单的单环拓扑,稳定性各异,给用户带来不少的问题。
2.2 工业环境适应性问题
工业生产环境不同于商用环境,处在相对稳定的环境中。而工业场景则更为复杂恶劣,如熔炼、锻造存在高温强震动;焊接、高压反应、强电输送、变电站等存在强电磁干扰;室外应用中存在粉尘、高温、高湿等。该类恶劣因素均会对传输设备造成影响。
2.3 网络实时性问题
工业生产过程中对生产节拍要求较高,而传统工业控制总线具有实时性优势,而传统网络采用SNTP协议进行网络时钟同步,进而实现网络实时性的要求,但是SNTP协议其同步收敛时间在几百毫秒,随着网络规模的扩大与节点的增多,其同步时间会达到数秒之久,难以满足现有工业应用需求。
2.4 安全性问题
工业以太网是一种透明开放的网络,任何终端均可接入,并且由于智能业务的发展,分厂间、企业间、上下游间需要经过互联网进行信息传递,而企业内部由于ERP、MES、PLM等系统需要同时连接内外网,一旦任一环节感染病毒或被攻击,那么整个网络将会被侵入。但是目前市场上的工业交换机只能实现快速转发及简单的黑白名单或简单的防火墙功能,不能实现危险识别与接入控制,而普遍采用的防火墙与安全服务器则会对企业的IT维护造成大量的困扰与大量的资源投入。随着网络规模与节点的增多,远端的交换机位于企业底层生产线,往往不是企业关注的重点,而员工对于网络安全的认知度相对较低,部分企业由于管理不善或疏忽,会出现员工手机或U盘等设备插入工控机的情况,会对企业网络产生极大的潜在危险。
3 工业应用场景下安全交换机的关键技术
交换机作为网络的主要设备,新一代工业交换机既要能适应工业应用场景,满足生产企业的应用条件,又要能实现主动防御、主动报警的安全防护,实现自动防护、主动监测,避免因监管漏洞或者员工疏忽造成的信息安全事件。
3.1 采用G.8032 ERPS协议提高网络稳定性
采用国际标准G.8032 ERPS多环保护协议,在该协议下可以支持复杂的多环拓扑结构,任意两个交换机端口可以成环,理论最大冗余保护倒换时间小于50毫秒,经特殊算法实测保护时间小于20毫秒,远优于国内现有产品。并能够跟支持该协议的其他品牌交换机互联互通。解决私有协议及多品牌、多环网对接的问题。
3.2 工业级设计解决工业环境适应性问题
采用IP40以上设计,针对内部PCB与硬件,采用高安全、阻燃、低功耗设计。利用外壳与PCB结构特殊化设计方式,增大散热面积,取消传统交换机风扇开孔,避免所造成的粉尘进入、湿气腐蚀等情况。并且所有硬件均采用工业级产品,满足高温高湿、震动等环境要求。并且采用单板与特殊工艺处理,将核心、电源、业务分开,避免各模块之间电磁干扰及隔离外界电磁干扰。
3.3 基于IEEE 1588提升网络实时性
该技术需要基于IEEE1588国际标准进行工业交换机的软硬件开发。满足电力系统和工业自动化控制系统对高精度时钟的要求。具体要求如下:
支持IEEE 1588 PTP v2,支持硬件时间戳;
支持IEEE1588边界时钟和透明时钟功能;
透明时钟功能支持端对端和点对点模式;
時间精度高(<1 μs);
安全防御与控制技术
3.4 采用安全布防等策略提升安全性
采用安全布防策略,用户可以在认为适合的时间从中心端安全管理软件对全网交换机发布“初始安全状态锁定”命令,所有外场和中心端安全交换机即锁定当前端口状态和配置为初始状态,端口状态包括是否在线、在线设备MAC地址和IP地址并做与交换机端口的绑定;交换机配置信息也锁定,防范非法的篡改,保证交换机系统稳定和安全;
“布防” 后空置端口一旦有接入设备会马上读取接入设备MAC地址并向上报警,同时封闭该端口。只有中心端安全管理软件有权限重新开启端口;
“布防”后在线端口一旦有设备连接中断且重联后MAC地址以及IP地址任一不同交换机马上向上报警并关闭该端口,只有中心端安全管理软件有权限重新开启端口。如果MAC和IP地址一致则交换机仅向上发送中断掉线告警信息;
采用交换机安全防护策略。交换机配置时,交换机认证、签名,只有合法证书用户可修改。
4 工业应用场景下安全交换机实现的效果
由具有安全防御功能的工业交换机组成的工业互联网,在使用过程中可形成自主防御体系,实时监测信息传递过程中可能存在的非法操作如:非法接入、攻击、信息窃取等,从而综合管理工业互联网的信息传递过程,实现安全、可靠、实时的信息传递。其主要解决以下问题:
底层接入安全:对于执行层设备及人员进行身份及权限管理,控制接入、信息加密保证底层接入安全;
传输过程的安全:信息传递过程中,监测信息动向即从源端口到目的端口,实现端口监听,如果发现有非法用户或设备在目的交换机的端口上,则自动锁定并关闭信息传递端口,防止信息丢失或被窃取;
上层危险防御:对于网络出口实现入侵防御,当入侵发生时交换机自身可动态分析信息与数据流,发现潜在和显见的攻击威胁并制定防范策略;
应用环境安全:超强的环境适应能力,能完美应对复杂恶劣的使用环境,针对高温高湿、电磁干扰、震动冲击等环境,可稳定运行;
信息传递的时效性:<1 μs的时间同步,实现与现场总线同要求的时间要求,满足工业控制过程中的精确实效;
链路的稳定性:以通用标准协议为基础,建立局用开放性、兼容性的工业网络环境,为企业扩容、网络扩大及多元化应用提供基础。
5 总结
目前工业信息安全形势严峻,之前对工业安全的重视程度不够,相关的工业安全产品也相对匮乏,工业安全产品大多继承于传统互联网的安全思维,如工业防火墙、工业网闸,其技术的根本存在数据的延时、阻塞、丢失等问题,与工业场合对数据的稳定性、实时性、安全性的高要求有不合之处。为保证工业数据传输的各项性能(稳定性、实时性、安全性)要求,达到对工业数据保护的目的,开展3个方面的研究非常具有必要性,即一是借助基于MAC身份识别的端口阻塞控制等关键技术,实现出入口及传输过程的安全控制,安全MAC统一管理、统一下发及验证,并且由安全控制中心集中跟踪、监测及智能分析,实现通信网络中的关键节点安全;二是采用IEEE 1588 PTP协议,实现精密时钟同步功能,解决工业交换机实时性问题;三是采用G.8032 ERPS以太多环网保护协议,解决收敛时间过长等网络稳定性问题。在使用过程中可形成自主防御体系,能实时监测信息传递过程中可能存在的非法操作,例如:非法接入、攻击、信息窃取等,从而综合管理工业互联网的信息传递过程,实现安全、可靠、实时的信息传递,为工控系统安全提供最基础的安全保障。
参考文献:
[1] 李挺. 2017年中国互联网网络安全报告[M]. 北京: 中国工信出版集团,人民邮电出版社, 2018.
[2] [美]通用电气公司(GE). 工业互联网[M]. 北京: 机械工业出版社, 2017.
[3] 杜霖. 全面推进工业互联网等融合领域安全工作[J]. 北京:现代电信科技, 2017,12(6).
【通联编辑:张薇】