基于OPC协议的工控网络系统防护浅析

一、协议概述

提到OPC协议,大家想到最多的就是OPC Classic
3.0,实际上现在OPC协议有两个大类,一种是基于微软COM/DCOM技术的“Classic”,另一种是基于Web service的OPC
UA。前者在DCOM协议之上,诞生较早,已广泛应用在各种工业控制系统现场,成为工业自动化领域的事实标准。后者与前者比出生较晚,但在设计时考虑了安全因素,有了加密机制,不过目前应用范围较小。本文主要讨论的是前者在工控系统中的防护。

微软的DCOM协议是在网络安全问题被广泛认识之前设计的,而基于DCOM协议的OPC
Classic基本没有增加任何安全相关的特性,几乎所有著名的工业自动化软件(包括HMI软件、先进控制与优化软件、监控平台软件、综合集成软件等)都是基于windows平台开发,都采用或部分采用了OPC技术,所以对使用OPC协议进行通信的工控系统进行防护也变得复杂和困难。

二、动态端口

与大多数应用层协议不同,OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接之前通讯双方还需要协商需要使用的端口。示例图如下:

  OPC动态端口协商过程

上图中,OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接,连接成功后再经过OPC服务器分配新端口1118,并通过接口ISystemActivator的方法RemoteCreateInstance的应答报文返回给客户端,之后客户端使用5569作为源端口向服务器的1118端口发起新的连接用来后面的真正数据的传输。

三、面临的安全威胁

基于OPC协议的工控网络系统面临各种各样的威胁。在“两网”融合的大背景下,工业控制系统的隔离性被打破,面临来自网络的威胁空前加剧。无用端口的开放、工业软件依赖的操作系统本身存在的安全漏洞、工业协议本身安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。在真正接入到企业管理网、互联网之前,基于OPC协议的工业控制系统必须加入相应的安全设备进行防护,才能提高自身网络的安全。由于OPC协议不同与传统的IT应用层协议,对OPC协议的解析深度决定了安全产品在工业控制系统安全防护中的真正作用。

四、防护方案简介

1. 传统IT系统防火墙

如果在基于OPC协议的工业控制系统中安装传统IT系统防火墙(以下简称:传统防火墙)进行防护,由于传统防火墙不支持OPC协议的任何解析,为了能够保证OPC业务的正常使用,不得不开放OPC服务器的所有可开放端口,而OPC服务器可以分配的端口号范围很广-如果OPC服务器安装在Windows
Server 2008,超过16000个端口号都可能被使用,早期的Windows版本则超过了48000个端口号。

  传统防火墙部署示意图

上图中传统防火墙安装在企业管理网和生产控制网的边界进行防护,由于OPC服务器可能使用任何可使用的端口来进行真正的数据连接,而具体使用的端口号在响应客户端请求的应答报文中。传统防火墙无法识别出OPC服务器具体使用的端口号,为确保OPC客户端可以正常连接OPC服务器,防火墙需要配置全部端口可访问,这样的传统防火墙形同虚设,生产控制网的门口大开,几乎安全暴露在攻击者面前。

2. 端口防护工业防火墙

区别与传统防火墙,近年来发展起来的专门用于防护工业控制现场的工业级防火墙基本支持了OPC的深度解析,但依据解析深度的不同,在OPC协议为基础的网络中,工业防火墙的防护能力也有所不同。

对OPC进行简单解析的工业防火墙可以跟踪OPC连接建立的动态端口,最小化的开放工业控制网络的端口。如下图:

  端口防护级工业防火墙部署示意图

端口防护级工业防火墙同样部署在企业生产网和生产控制网的边界,此时配置策略只需要配置开放OPC服务器的135端口,当OPC客户端与服务器建立连接时,端口防护级防火墙跟踪并解析OPC服务器与OPC客户端协商出来的动态端口,然后自动将动态端口加入到防火墙的开放端口中,从而最小化开放生产控制网的端口,与传统防火墙相比,防护能力有了进一步提升。

3. 指令防护工业防火墙

端口防护工业防火墙相比传统防火墙虽然提升了防护能力,但攻击者仍然可以通过建立的数据通道发送恶意的OPC操作指令,所以仅仅做到动态端口跟踪还无法保证基于OPC协议的工业控制系统的安全。所以对OPC协议的进一步解析,催生了指令级防护工业防火墙,这也是目前市面上主流的工业防火墙。OPC协议的深度解析要求也加入到了工业防火墙国家标准的草稿中(此标准尚未正式发布)。下图是指令级防护工业防火墙的典型部署:

  指令级防护工业防火墙部署图

部署在企业管理网和生产控制网边界处的指令级工业防火墙,深度解析OPC协议到指令级别,不仅可以跟踪OPC服务器和OPC客户端之间协商的动态端口,最小化开放生产控制网的端口,还对OPC客户端与OPC服务器之间传输的指令请求进行实时检测,对于不符合安全要求的操作指令进行拦截和报警,极大提升了基于OPC协议的工业控制系统的网络安全。

除了做到指令防护外,还有更人性化一点的工业防火墙内置只读模板,满足使用OPC协议的大部分业务场景,因为使用OPC协议的工业控制现场一般只是用来采集数据,使用只读模板来防护完全满足现场安全要求。工业防火墙内置的只读模板一键部署,安全、方便,降低管理员维护成本,有效保障工业控制系统数据不被恶意篡改。

4. 优缺点比较

  五、结论

随着国家网络安全法的颁布和国家“中国制造2025”战略的要求,逐渐打破物理隔离的工业生产网络对安全的需求越来越迫切。对于生产现场有OPC协议的企业来讲,综合自身实力选择适合自己的安全防护产品显得越来越重要。而对OPC协议的解析到指令级还不够,后续还需要深度解析到OPC协议操作指令所操作的对象是否在安全范围内,对操作对象的值进行安全检测,确保OPC协议发送的每一个字节都是可识别、可控制、安全无害的。

本文转自d1net(转载)

时间: 2024-10-30 05:43:25

基于OPC协议的工控网络系统防护浅析的相关文章

工控网络安全防护分析与建议

随着工业信息化的快速发展,工业化与信息化的融合越来越深入,两者的融合能提高生产效率.提高生产安全性.降低生产成本.工控系统很多采用了传统网络中的通信协议和软硬件系统,或以特定的方式直接连接到传统的网络中,改变了以前封闭式的工作原理,导致工控设备直接接入到互联网中,直接面临着互联网中的各种威胁,对生产安全和公共安全造成潜在的危害. 2010年美国通过"震网"病毒奇袭伊朗布什尔核电站,迟缓了伊朗的核能计划.2015年12月23日,乌克兰电力部门遭受到恶意代码攻击,该事故造成7个110KV变

应对工控安全新形势 提升工业企业防护水平

--<工业控制系统信息安全防护指南>解读 工业和信息化部信息化和软件服务业司 工业控制系统信息安全(以下简称"工控安全")是国家网络和信息安全的重要组成部分,是推动<中国制造2025>.制造业与互联网融合发展的基础保障.2016年10月,工业和信息化部印发<工业控制系统信息安全防护指南>(以下简称<指南>),指导工业企业开展工控安全防护工作. 背景情况 工控安全事关经济发展.社会稳定和国家安全.近年来,随着信息化和工业化融合的不断深入,工

工控系统信息安全技术国家工程实验室建设取得阶段性成果

工业控制系统信息安全技术国家工程实验室理事会第二次会议暨联合创新成果展日前在北京举行.实验室理事会理事长宋黎定介绍,国家工程实验室挂牌成立一年多以来取得了阶段性成果,目前理事单位已经发展到126家,技术专家委员会发展到135名委员. 工业控制系统信息安全技术国家工程实验室由中国电子信息产业集团有限公司第六研究所承建,是第一家由企业承担建立的国家级信息安全技术实验室,于2014年12月揭牌成立,旨在为解决工业控制系统信息安全问题提供技术支撑.宋黎定告诉记者,目前实验室已建设了工业控制系统安全检测研

get最IN工控安全技术,看匡恩网络权威报告

2017年伊始,匡恩网络发布了<2016年工业控制网络安全态势报告>(以下简称 "报告"),匡恩网络已连续三年撰写并发布报告.报告全面介绍了国内外工控系统网络安全发展现状以及当前所面临的主要问题,并在这些问题基础上提出了针对性的对策与建议.以下我们将从技术维度重点解读报告. 见微知著,深挖工控网络安全 报告开篇以全球视野角度分析了当前工业控制系统相关安全问题.文中指出,随着全球物联网技术的迅猛发展,工业控制系统安全逐步向工业物联网安全演化,各类工控安全漏洞数量不断增长造成重

工控信息安全:“十三五”末有望国产可替代

近期,乌克兰西部地区的电力系统被具有高度破坏性的恶意软件攻击并导致大规模停电.据当地新闻机构TSN报道称,匿名黑客获取了机械系统已更新的远程管理控制权限,可能是通过负责工业过程自动化可编程逻辑控制器(PLC)实施的.这一事件,进一步提高了业界对工业控制系统信息安全重要性的认识. "和2010年伊朗核设施被震网病毒攻击一样,乌克兰停电事件再一次给我们敲响了警钟,事件表明仅有物理安全隔离是远远不够的,工控系统还要具备安全机制."1月15日,工业控制系统信息安全技术国家工程实验室理事会第二次

企业到底需要什么样的工控安全

本文在对工业控制系统特点和面临的安全风险进行分析的基础上,提出了工业控制系统安全体系架构,在深入了解企业工控系统安全现状的情况下,结合业界专家的观点提出了适用于工控系统的信息安全研究思路及解决办法,对广大制造企业具有一定的借鉴意义. 一.概述 当前,随着工业控制信息化.三网融合.物联网.云计算等在内的多种新型信息技术的发展与应用,越来越多的信息技术应用到了工业领域,给工业控制系统信息安全保障工作提出了新的挑战: 工业控制系统需要利用最新的计算机网络技术来提高系统间的集成.互联以及信息化管理水平;

烽火18台系列之十五: 工控资产普查与漏洞安全检测

2010年,首个武器级的病毒发现,也是第一个在真实世界中专门针对能源基础设施的病毒,其通过攻击伊朗的铀浓缩设备,令德黑兰的核计划拖后了两年,这个病毒被命名为"震网"(Stuxnet). 2015年,一个名为"黑暗力量"(BlackEnergy)的恶意软件,在诱骗乌克兰电力公司员工运行之后,控制了电力公司的主控电脑,将其与变电站断连,让乌克兰首都基辅的部分地区和乌克兰西部的140万名居民在圣诞节前感受了恐怖的黑暗力量. 当前黑客行为愈发产业化.组织化,网络安全攻防对抗

CyberX推出ICS攻击向量预测服务 进行工控安全演练 满足Gartner自适应安全架构要求

上周四,工业网络安全与威胁情报公司CyberX宣布推出ICS攻击向量预测技术,这是一种模拟技术,可以对当前工控环境中的漏洞及资产进行高级分析,并能够可视化的模拟攻击形式及路径,进而预演各种缓解措施的效果,组织可利用这种技术,更有效而熟练地利用有限资源和狭窄的维护时间窗口. 工控安全ICS攻击向量预测技术 CyberX公司将这种新型的 工业控制系统(ICS)安全 服务命名为"ICS攻击向量预测".基于公司专有的分析技术,该服务可持续预测潜在的攻击位置,帮助组织预防攻击. 方案可针对运营技

BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

本文将展示的是一种新型的PLC蠕虫病毒,该病毒可以不借助上位PC机,仅通过PLC之间进行互相传播.该病毒的实现思路,适用于多个厂家的PLC设备,并且可以在一定规则范围内相互进行传播.本文采用西门子PLC举例进行说明. 随着"互联网+制造"的工业4.0概念的提出,独立.隔离的传统工控领域迎来了新的大数据互联时代.与此同时,工控安全的问题,也随着互联,被更广泛的暴露在了Internet中.近几年来,越来越多的工控设备被暴露在了互联网上. 在Black Hat2011,Dillon Bere