今日頭條
官方微信
官方抖音
資訊頻道王宏善 羅克韋爾自動化(中國)有限公司
為了增加靈活性和提高生產效率,制造商在他們的工業自動化和控制系統中采用開放網絡標準。使用開放標準網絡的益處之一就是具有遠程訪問自動化系統的能力。工程人員和合作伙伴可以共享工廠數據、應用和資源,而與他們的物理位置無關。
這種靈活性對當今的制造商而言是非常重要的,因為提高全球化能力和降低生產成本,需要共享信息數據和快速解決生產中的問題,這對每個制造商都是巨大的挑戰。本文就如何實現高度安全的遠程訪問進行了探討。
1 實施遠程訪問的原則
當允許遠程訪問工廠數據和資源時,要堅守一些原則。這些原則也被羅克韋爾自動化開發的參考架構所使用,包含在嚴格控制遠程訪問自動化和控制應用的重要概念中。
1.1 使用IT認可的用戶訪問、驗證策略和訪問程序
對企業資源和服務的訪問要進行監視和記錄。企業應該事先知道每個用戶的背景,并且分配一個獨有的帳號。用戶每次訪問網絡,要通過驗證并且給予適當在企業內的授權。出于審計目的,對訪問要進行跟蹤和記錄。對工廠現場數據和資源訪問的批準,應該遵照企業IT部門的流程進行。
合作伙伴、遠程工程師或供應商采用其他方案(諸如:因特網直接訪問)訪問工廠和制造區,可能產生對工廠和企業網絡的風險,除非這些方案遵從IT的政策和流程。
1.2 只在工廠內自動化和控制協議
羅克韋爾自動化參考架構中的關鍵原則是“CIP只在工廠”使用。CIP、通用工業協議和其他核心的自動化和控制協議,包括FactoryTalk實時數據、OPC-DA、Modbus TCP應在工廠內使用。這些運行在設備上的協議,在安全防御上非常有限。因為工廠的流程是通過它們對自動化設備實現啟動、停止和操作,所以它們對工業自動化和控制系統有舉足輕重的影響。
因此,自動化和控制協議不應該脫離工廠。在工廠里,自動化和控制設備是在熟悉的物理邊界里,由工控人員安裝、操作和維護。對這個區域的協議限制,可以確保自動化和控制設備在熟知的設備和應用之間正常通信。另外,這些設備和應用的用戶是經過驗證并對于他們的角色給予了相應的授權。
這個原則也許在今后會重新考慮,因為存在的安保設備(諸如防火墻)可以嚴格管轄來自制造區之外的自動化和控制數據流。這會要求這些“應用”防火墻具有一個適當的應用或協議知曉等級,可以對網絡部分通信包和數據部分充分檢查,建立設備的知名度和信任度。在現代企業級防火墻上實現這項技術之前,我們推薦自動化和控制協議“只在制造區”使用。
1.3 控制應用
工廠現場應用考慮的要點是由遠程伙伴或工程師控制應用。當遠程訪問工廠現場時,做為一種最佳實踐,合作伙伴和遠程工程師應使用在控制應用服務器上的自動化和控制應用版本(諸如FactoryTalk View或RSLogix 5000),原因如下:
使得工廠能夠嚴格地控制應用程序的版本升級。
控制訪問的等級和遠程人員的授權。使用安裝在遠程系統的應用(諸如FactoryTalk View)很難區分用戶是在本地還是在遠程,這可能造成自動化和控制協議離開制造區。
防止在遠程系統的病毒或其他危險影響制造區的應用和系統。
在遠程用戶的計算機上使用自動化和控制應用,對自動化和控制會帶來極大的風險,作為最佳實踐,應該避免這種情況發生。
1.4 沒有直接數據流
就像圖1中紅色拒絕圈所標出的,在企業網和控制網之間,不允許有直接的數據流通過。如果存在交互必須要有兩個步驟,先把數據流引到IDMZ中的業務服務器當中,然后再從此服務器送到控制網的設備當中。
圖1 帶有工業隔離區的6層工廠結構
在控制系統中,數據通訊按照上面描述的兩個階段進行,因為數據到生產控制系統之前,必須先在IDMZ中進行驗證。遠程訪問控制網絡上的設備需要登錄,或至少通過一個堡壘服務器。遠程訪問服務器像一條咽喉要道,遠程訪問需要進一步驗證、登錄和過濾,才能到達那臺服務器。這就提供了深度的控制機制。
在這個架構中,工業防火墻成為遠程用戶與工廠自動化和控制應用之間的網關,嚴格管轄進出每個區域的數據流,因而保持了最佳實踐。
1.5 關閉非工業協議端口
關閉非工業協議之外的端口,盡量減少對外開放的窗口,穿越一個防火墻再穿過另一個防火墻,如圖1所示。這就防止了蠕蟲,如:震網(Stuxnet)穿過上層防火墻,在工業隔離區感染系統,進而在控制區域傳播病毒。
1.6 單通道入或出
從IDMZ通過低層防火墻進入工廠的通道僅有一條,或進或出。從企業網通過核心防火墻進入IDMZ的通道也只有一條。
以上的原則其實包含了一個重要的概念,就是首先要嚴格控制對自動化和控制應用的遠程訪問,而不是盲目信賴遠程用戶在訪問工廠應用時不做錯事。
2 體系架構
按照羅克韋爾自動化參考架構的原則,實施對工廠現場應用和數據的高安全遠程訪問,已成為要直接面對的問題。實現遠程訪問要基于已經存在架構:
最佳實踐企業的遠程工作方案,大多由IT部門負責實施和操作。
羅克韋爾自動化融合工廠以太網的參考架構,采用了在工業隔離區IDMZ部署工業防火墻的方案,使用工業防火墻管理和檢查出入IDMZ的數據流。
圖2 簡化的遠程訪問架構
圖2表示了一種遠程訪問架構的簡單版本。
IDMZ設計為:允許不在本地生產現場的用戶或應用共享數據和應用。這就意味著可以把關鍵數據復制到IDMZ的一個服務器中,使得在其他區域的用戶/應用可以看見那些數據。IDMZ相當于一個代理服務器,允許其他用戶間接連接網絡,讀取位于其他網絡區域中數據和應用。
當把數據復制到IDMZ時,數據在控制網和企業網之間快速而高效地傳輸。在實時訪問實際生產系統和應用時,多數是要解決具體問題,收集實時信息,或進行過程調節。遠程訪問能力除了針對IDMZ使用的終端服務,還可以通過代理服務器實時連接安裝在控制網的專用遠程訪問服務器,訪問自動化和控制應用。本文強調的安全機制,使得外部用戶對企業的訪問具有高度的安全,從企業網絡訪問外部的情況也一樣。
經過互聯網,遠程用戶(伙伴或雇員)也能通過遠程訪問服務器訪問工業自動化和控制系統。遠程用戶的位置通常沒有高帶寬、低延時的連接。可以采用類似瘦客戶機,可以在低帶寬、大延時的網絡環境下較好地運行。這里沒有提出任何帶寬或延時的要求,也沒有探究任何管理或監視應用在低帶寬、大延時情況下的性能。
3 羅克韋爾自動化的解決方案
羅克韋爾自動化融合企業以太網的參考架構包括下面組件:
(1)工業防火墻:Stratix5950工業防火墻提供了對關鍵區域的防衛,包括工業隔離區IDMZ的定義和保護。工業防火墻可以實現多種先進功能,包括防火墻功能,諸如有狀態(stateful)包檢查、應用級防火墻和DPI協議檢查。Stratix5950還可以加入更多的先進功能,諸如侵入檢測和防護、VPN功能等。選用相適應、多功能防火墻是建立牢固的區域防衛、達到預防目標的一個重要步驟。
(2)CPwE體系架構:安全網絡平臺可集成多種安保功能的應用,這對控制網和企業網都很重要,諸如虛擬局域網VLAN,訪問控制列表ACL,端口安全特性和網絡保護特性。
(3)遠程訪問服務器:在控制網的房間內安裝遠程訪問服務器,僅用于遠程工程師和合作伙伴對自動化和控制應用的訪問。遠程訪問服務器是一種專用的物理服務器,具有相應的終點安保功能。作為一種專用服務器,它可以配置在一條專用的遠程訪問VLAN中,能夠很好地管理進出服務器的數據流。
(4)生產的控制和信息:為整個工廠生產控制系統設計的一個公共控制和信息平臺,羅克韋爾自動化的集成架構是一個控制和信息架構,由Logix硬件控制平臺和FactoryTalk生產與管理系列軟件組成,支持EtherNet/IP和其他開放標準。FactoryTalk由模塊化生產策略和多個服務平臺組成, 通過EtherNet/IP緊密地與Logix控制平臺結合。Logix可編程自動化控制器是一種單一的控制架構,提供了離散量、變頻器、運動控制、連續流程和批次生產控制系統。
(5)使用羅克韋爾自動化的Stratix 5410核心管理型交換機:羅克韋爾自動化的工業以太網交換機使用Logix固件為工業控制人員提供可以在RSLOGIX5000中編程和組態,同時還提供web界面為IT人員所熟悉,同時為用戶配備了簡單的安裝方法和基于羅克韋爾自動化集成架構的完整診斷信息。
4 結語
在工業自動化和控制系統中,采用開放網絡標準,為制造商提高生產力和快速響應生產過程中的突發事件,創造了新的機會。使用標準網絡技術,諸如用以太網和TCP/IP連接自動化和控制系統,制造商可以實時與遠程的工程師和合作伙伴共享工廠的數據、應用和資源。這些能力是非常重要的,因為制造商運行在更復雜和全球化的環境下,系統需要保持每周7天、每天24小時的可用性。基于思科和羅克韋爾自動化融合工廠以太網參考架構的遠程訪問,為制造商在恰當的時間提供了正確的方法和資源,與他們的物理位置無關。這樣可以在生產運行過程中實現高效率、少停機和低成本。
作者簡介
王宏善(1978-),男,天津人,高級程序員,碩士,現任羅克韋爾自動化(中國)有限公司客戶與服務部門網絡安全服務產品經理,主要研究方向為工業網絡安全的攻擊與防御。
摘自《工業控制系統信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號