工业以太网在实际应用中安全对策解决方案
时间:02-22
来源:互联网
点击:
介绍工业以太网的应用现状及发展趋势,并在详细分析工业以太网安全隐患的基础上,根据近年来几个大型合资石化项目的成功经验,结合仪表自动化领域控制技术发展趋势总结出了一套相对完整的、经过实际生产检验的工业以太网安全对策,对相关控制对象具有很好的安全保护作用。随着以太网技术的进一步发展。有线、无线网络的混合应用,对工业以太网的安全考验会越来越多。从而也要求相应的更为严密的安全措施相距配。 20世纪90年代中期至21世纪初,各DCS厂商以信息技术的发展为依托,先后推出了集成高速工业以太网的第三代开放型DCS并已在现代化大工业中得到了大量的应用。由于工业以太网使用了通用以太网协议IEEE 802.3,一方面使原来封闭的DCS变为开放的DCS网络,使网络中原来使用的专用设备变为可任意插拔的工业用通用设备,大大降低了系统运行中的备品备件成本和维护难度;另一方面,使得DCS作为基础控制系统而进行控制系统集成(采用OPC,Modbus等协议与PLC,ITCC,SIS,MMS 等系统通信),并作为所有生产信息数据汇总和上传的集成化数据平台;再者,使DCS与上层的信息管理网(MES和ERP及工程局域网)和Internet 的连接变得非常方便。同时,也正是由于工业以太网的广泛应用,对DCS网络运行的安全也造成了很大的冲击:装置事故状态下的系统网络通信安全及可能会受到包括病毒感染、黑客的非法入侵与非法操作等网络安全威胁。为确保DCS网络的安全运行,在系统选型、设计和实施过程中必须制订一套切实可行的安全对策。
一、工业以太网的应用现状及发展趋势
一般来讲,控制系统网络可分为3层:信息层、控制层和设备层(传感/执行层)。第三代DCS在信息层大都采用以太网,而在控制层和设备层一般采用不同的现场总线或其他专用网络。目前,以太网已经渗透到了控制层和设备层,很多的PLC和远程I/O供应商都能提供支持TCP/IP以太网接口的产品。以太网之所以在自动化领域得到广泛应用,主要因为:低成本的刺激和速度的提高;现代企业对实时生产信息有越来越多的要求;以太网的开放性和兼容性。
以太网原有的缺点则由于技术的不断进步而获得大幅改进和完善。从以太网的发展进程来看,以太网有两种:共享以太网(Shared Ethernet)和交换以太网(Switched Ethernet)。早期使用的共享以太网是多节点共享同一个传输媒体,节点间通信采用广播方式,易发生冲突,使网络通信具有不确定性,不能用于强实时性场合。现在常用的交换以太网克服了这一缺点,以太网的交换机(Switch)是数据链路层(ISO/OSI参考模型第二层)的多端口网桥,也可以说是智能分配器。交换机将其管理的网络以星型拓扑结构划分为许多物理上互相隔离而逻辑上互相联系的节点,每一节点单独与交换机建立物理连接,在通信的时候交换机会在发送端口与接受端口间建立一个独占的全双工通道,它具有以太网的全部带宽并避免冲突。
交换以太网在获得确定性的同时,传输速度也有极大的提高。千兆以太网已普及,10Gbit/s的交换以太网正在开发。当以太网用于信息技术时,应用层含有 HTTP(超级文本传输协议)、FTP(文件传输协议)、SMTP(简单电子邮件传送协议)和Telnet(远程登录)。这些基于TCP/IP的协议簇已经成为工业界事实上的网络标准,在不同厂商的不同网络系统互联方面起着关键作用。但当以太网用于工业控制时,体现在应用层的是实时通信、用于系统组态的对象以及工程模型的应用协议。工业以太网和Internet技术的发展将完全改变传统工业企业的网络架构。工业以太网已经从信息层向下延伸到控制层和设备层,采用以太网架构以后,控制器的位置已突破传统网络架构的限制,既可以位于现场,也可以位于中央控制室。
目前控制器甚至远程I/O支持以太网的功能越来越强,在有些控制器和远程I/O模块中已经集成了Web服务器,从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/O模块中的当前状态值。采用以太网架构和开放的软件系统的制造企业也被称为“透明工厂”。此外,通过Internet可以实现对工业生产过程的实时远程监控,将实时生产数据与ERP系统以及实时的用户需求结合起来,使生产不只是面向订单的生产,而是直接面向机会和市场的“电子制造”,从而使企业能够适应经济全球化的要求。
二、工业以太网在应用中的安全隐患
某大型石化项目成功实施的一套完整的工业以太网DCS网络结构及其与上层信息管理网接口界面图。众所周知,一套控制系统的安全隐患除了自身的影响外,就是来自外部界面的威胁。从图1中可以看出,影响工业以太网 DCS网络安全的隐患主要有:以太网运行速度及负荷、网络连接和服务器终端等设备的可靠性;工业以太网与上层信息管理网接口、工业以太网与第三方OPC接口子系统之间的界面;操作站、工程师站和服务器之间的界面。
2.1 网络自身问题带来的安全隐患
工业以太网主要由网络终端设备(服务器、工程师站、操作站及控制器等)和网络连接设备(交换机、防火墙、路由器等)组成,但影响安全的因素主要是网速和设备的可靠性。
2.1.1 网速对安全的影响
由于工业以太网的介质访问控制(MAC)层协议采用带碰撞检测的载波侦听多址访问(CSMA/CD)方式,当网络负荷较重时,网络的确定性不能满足工业控制的实时性要求。有资料显示当一个网络的负荷低于36%时,基本上不会发生冲突,在负荷为10%以下时,10M以太网冲突几率为每5年一次。100M以太网冲突几率为每15年一次。但超过36%后随着负荷的增加发生冲突的几率是以几何级数的速度增加的。如果正常情况下的网速太高,在生产装置事故状态下则由于访问量的急剧增加而大幅提高工业以太网的负荷,从而影响网络数据传输速度和装置事故的及时处理和安全。
2.1.2 工业以太网网络设备的稳定性对安全的影响
以太网用于工业控制必须具有很好的可靠性和运行稳定性,否则将对连续生产的工业流程带来严重的威胁。
2.2 网络对外连接带来的隐患
由于作为DCS网络的工业以太网需经实时数据库将装置生产数据上传至工厂信息管理网的MES和ERP,而工厂信息管理网又与Internet相连。这就难以避免来自Internet和工厂信息管理网的黑客攻击、信息阻塞、病毒,从而导致工业以太网的工作异常或瘫痪,使DCS网络运行速度大幅降低或控制器处于失控状态,严重威胁装置的生产安全。
2.3 网络终端与操作及维护人员界面带来的安全隐患
如前所述,工业以太网终端以操作站、服务器和工程师站为主,主要用于系统维护、组态和生产操作。在工艺操作人员和系统维护工程师实施操作和系统维护时,其开放的光驱、USB接口均可成为危及工业以太网及其终端安全运行的病毒的侵人途径,人为的非法操作、维护也会直接危及生产装置和工业以太网及控制系统的安全运行。
三、安全对策
根据以上分析,在项目执行的不同阶段应设计并实施相应的安全对策:
(1)项目规划和DCS选型阶段(总体设计阶段)
此阶段对所选DCS工业以太网的安全运行提出具体要求:网络负荷、与MES等上层信息管理网的连接接口、终端界面的安全措施、系统使用账户管理、系统的在线可维护性要求及控制系统设备的具体选型等。
(2)基础设计阶段
对所选工业以太网的所有安全内容均提出具体要求和技术方案,编制设计文件作为后续工作的指南。
(3)详细设计阶段
按照上一阶段的基础设计文件进行系统配置、组态和测试。
(4)现场调试和验收阶段
在系统调试完成后对各界面接口的安全对策实施检查确认,与生产和维护单位一起共同制订合理的用户管理策略、编制用户等级和组态实施。
3.1 网络负荷限制和设备稳定性要求
为确保项目DCS网络在任何时候都能安全运行,有必要在系统选型时明确选用冗余容错工业以太网,要求正常时不要超过网络负荷的30%,系统响应时间不超过 1s,控制器负荷正常时不超过50%并留有一定的扩展空间等;同时,尽可能选用网速较高的工业以太网,现在1G的网络已在工业生产中得到了广泛的应用。对于网络设备在选型时必须要求经过实际生产验证的工业用通用设备,这样既保证了设备的稳定性、安全性,也保证了高可用性和可维护性。
3.2 工业以太网与信息管理网接口的安全策略
工业以太网作为上层信息管理网的数据平台,将尽可能多的生产装置上实时数据采集到实时数据库中并经防火墙传送数据至MES和ERP:具体接口连接为工业以太网、防火墙、DMZ中间区域防护和MES数据采集服务器等,如图2所示。由于MES和ERP与商用Internet相连,为保证工业以太网的切实安全,现在的大型项目一般采用如图2所示的DMZ(demilitarized zone隔离区,内网和外网的缓冲区)中间防护策略。
将上层信息管理网需要访问的实时数据库容错服务器置于DMZ层,使来自上层的信息管理网只能通过外部防火墙访问到实时数据库服务器,而不能通过内部防火墙至工业以太网。这样来自Internet的攻击将要通过外部防火墙、堡垒主机和内部防火墙等三道相互独立的防线才能到达工业以太网,使攻击难度大大加强,相应内部网络的安全性也就大大加强。
3.3 全面加强工业以太网的安全管理
在安全管理上主要是防病毒网络的设置和用户管理策略的制订及实施。由于现在以DCS为基础控制系统,其工业以太网上集成了几乎所有的控制系统,所以要保证工业以太网不受病毒攻击,就必须使所有连接在工业以太网上的终端均受到防病毒软件的保护,并实时更新病毒库。具体措施:在DCS信息集成的工业以太网上配置一台防病毒软件服务器并安装防病毒中心软件,而相应需保护的工业以太网终端设备上则安装客户端软件(常用的防病毒软件为西门铁克),并根据需要由服务器直接从Internet实时升级病毒库或由相关维护工程师手动及时更新病毒库。用户管理策略一般可以采取以下措施:
(1)加强工艺操作人员和系统维护工程师的培训工作,严格计算机操作及维护纪律,力争将误操作降到零水准。
(2)将安装有开放的光驱和USB接口的操作站主机与显示器及操作键盘异地放置,对不利于异地放置的地方则需对操作员账户屏蔽其对光驱和USB接口的操作功能;对服务器、工程师站则应对维护工程师的工作制订严格的纪律以确保病毒不从光驱和USB接口进入工业以太网。
(3)根据使用者工作职责的不同建立不同级别的账户,使之操作行为受到相应的限制以保护DCS及其网络的安全运行。
四、结束语
由于行业不同,对工业以太网应用安全的要求也不尽相同,各用户可以根据自己的经验和项目实际要求在应用以太网控制系统时配置自己的安全对策。上述对策是根据近年来几个大型合资石化项目的成功经验,结合仪表自动化领域控制技术发展总结而来的,经过实际生产的检验,对相关控制对象具有很好的安全保护作用。随着以太网技术的进一步发展,有线、无线网络的混合应用,对工业以太网的安全考验会越来越多,从而也要求相应的更为严密的安全措施相匹配。
一、工业以太网的应用现状及发展趋势
一般来讲,控制系统网络可分为3层:信息层、控制层和设备层(传感/执行层)。第三代DCS在信息层大都采用以太网,而在控制层和设备层一般采用不同的现场总线或其他专用网络。目前,以太网已经渗透到了控制层和设备层,很多的PLC和远程I/O供应商都能提供支持TCP/IP以太网接口的产品。以太网之所以在自动化领域得到广泛应用,主要因为:低成本的刺激和速度的提高;现代企业对实时生产信息有越来越多的要求;以太网的开放性和兼容性。
以太网原有的缺点则由于技术的不断进步而获得大幅改进和完善。从以太网的发展进程来看,以太网有两种:共享以太网(Shared Ethernet)和交换以太网(Switched Ethernet)。早期使用的共享以太网是多节点共享同一个传输媒体,节点间通信采用广播方式,易发生冲突,使网络通信具有不确定性,不能用于强实时性场合。现在常用的交换以太网克服了这一缺点,以太网的交换机(Switch)是数据链路层(ISO/OSI参考模型第二层)的多端口网桥,也可以说是智能分配器。交换机将其管理的网络以星型拓扑结构划分为许多物理上互相隔离而逻辑上互相联系的节点,每一节点单独与交换机建立物理连接,在通信的时候交换机会在发送端口与接受端口间建立一个独占的全双工通道,它具有以太网的全部带宽并避免冲突。
交换以太网在获得确定性的同时,传输速度也有极大的提高。千兆以太网已普及,10Gbit/s的交换以太网正在开发。当以太网用于信息技术时,应用层含有 HTTP(超级文本传输协议)、FTP(文件传输协议)、SMTP(简单电子邮件传送协议)和Telnet(远程登录)。这些基于TCP/IP的协议簇已经成为工业界事实上的网络标准,在不同厂商的不同网络系统互联方面起着关键作用。但当以太网用于工业控制时,体现在应用层的是实时通信、用于系统组态的对象以及工程模型的应用协议。工业以太网和Internet技术的发展将完全改变传统工业企业的网络架构。工业以太网已经从信息层向下延伸到控制层和设备层,采用以太网架构以后,控制器的位置已突破传统网络架构的限制,既可以位于现场,也可以位于中央控制室。
目前控制器甚至远程I/O支持以太网的功能越来越强,在有些控制器和远程I/O模块中已经集成了Web服务器,从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/O模块中的当前状态值。采用以太网架构和开放的软件系统的制造企业也被称为“透明工厂”。此外,通过Internet可以实现对工业生产过程的实时远程监控,将实时生产数据与ERP系统以及实时的用户需求结合起来,使生产不只是面向订单的生产,而是直接面向机会和市场的“电子制造”,从而使企业能够适应经济全球化的要求。
二、工业以太网在应用中的安全隐患
某大型石化项目成功实施的一套完整的工业以太网DCS网络结构及其与上层信息管理网接口界面图。众所周知,一套控制系统的安全隐患除了自身的影响外,就是来自外部界面的威胁。从图1中可以看出,影响工业以太网 DCS网络安全的隐患主要有:以太网运行速度及负荷、网络连接和服务器终端等设备的可靠性;工业以太网与上层信息管理网接口、工业以太网与第三方OPC接口子系统之间的界面;操作站、工程师站和服务器之间的界面。
2.1 网络自身问题带来的安全隐患
工业以太网主要由网络终端设备(服务器、工程师站、操作站及控制器等)和网络连接设备(交换机、防火墙、路由器等)组成,但影响安全的因素主要是网速和设备的可靠性。
2.1.1 网速对安全的影响
由于工业以太网的介质访问控制(MAC)层协议采用带碰撞检测的载波侦听多址访问(CSMA/CD)方式,当网络负荷较重时,网络的确定性不能满足工业控制的实时性要求。有资料显示当一个网络的负荷低于36%时,基本上不会发生冲突,在负荷为10%以下时,10M以太网冲突几率为每5年一次。100M以太网冲突几率为每15年一次。但超过36%后随着负荷的增加发生冲突的几率是以几何级数的速度增加的。如果正常情况下的网速太高,在生产装置事故状态下则由于访问量的急剧增加而大幅提高工业以太网的负荷,从而影响网络数据传输速度和装置事故的及时处理和安全。
2.1.2 工业以太网网络设备的稳定性对安全的影响
以太网用于工业控制必须具有很好的可靠性和运行稳定性,否则将对连续生产的工业流程带来严重的威胁。
2.2 网络对外连接带来的隐患
由于作为DCS网络的工业以太网需经实时数据库将装置生产数据上传至工厂信息管理网的MES和ERP,而工厂信息管理网又与Internet相连。这就难以避免来自Internet和工厂信息管理网的黑客攻击、信息阻塞、病毒,从而导致工业以太网的工作异常或瘫痪,使DCS网络运行速度大幅降低或控制器处于失控状态,严重威胁装置的生产安全。
2.3 网络终端与操作及维护人员界面带来的安全隐患
如前所述,工业以太网终端以操作站、服务器和工程师站为主,主要用于系统维护、组态和生产操作。在工艺操作人员和系统维护工程师实施操作和系统维护时,其开放的光驱、USB接口均可成为危及工业以太网及其终端安全运行的病毒的侵人途径,人为的非法操作、维护也会直接危及生产装置和工业以太网及控制系统的安全运行。
三、安全对策
根据以上分析,在项目执行的不同阶段应设计并实施相应的安全对策:
(1)项目规划和DCS选型阶段(总体设计阶段)
此阶段对所选DCS工业以太网的安全运行提出具体要求:网络负荷、与MES等上层信息管理网的连接接口、终端界面的安全措施、系统使用账户管理、系统的在线可维护性要求及控制系统设备的具体选型等。
(2)基础设计阶段
对所选工业以太网的所有安全内容均提出具体要求和技术方案,编制设计文件作为后续工作的指南。
(3)详细设计阶段
按照上一阶段的基础设计文件进行系统配置、组态和测试。
(4)现场调试和验收阶段
在系统调试完成后对各界面接口的安全对策实施检查确认,与生产和维护单位一起共同制订合理的用户管理策略、编制用户等级和组态实施。
3.1 网络负荷限制和设备稳定性要求
为确保项目DCS网络在任何时候都能安全运行,有必要在系统选型时明确选用冗余容错工业以太网,要求正常时不要超过网络负荷的30%,系统响应时间不超过 1s,控制器负荷正常时不超过50%并留有一定的扩展空间等;同时,尽可能选用网速较高的工业以太网,现在1G的网络已在工业生产中得到了广泛的应用。对于网络设备在选型时必须要求经过实际生产验证的工业用通用设备,这样既保证了设备的稳定性、安全性,也保证了高可用性和可维护性。
3.2 工业以太网与信息管理网接口的安全策略
工业以太网作为上层信息管理网的数据平台,将尽可能多的生产装置上实时数据采集到实时数据库中并经防火墙传送数据至MES和ERP:具体接口连接为工业以太网、防火墙、DMZ中间区域防护和MES数据采集服务器等,如图2所示。由于MES和ERP与商用Internet相连,为保证工业以太网的切实安全,现在的大型项目一般采用如图2所示的DMZ(demilitarized zone隔离区,内网和外网的缓冲区)中间防护策略。
将上层信息管理网需要访问的实时数据库容错服务器置于DMZ层,使来自上层的信息管理网只能通过外部防火墙访问到实时数据库服务器,而不能通过内部防火墙至工业以太网。这样来自Internet的攻击将要通过外部防火墙、堡垒主机和内部防火墙等三道相互独立的防线才能到达工业以太网,使攻击难度大大加强,相应内部网络的安全性也就大大加强。
3.3 全面加强工业以太网的安全管理
在安全管理上主要是防病毒网络的设置和用户管理策略的制订及实施。由于现在以DCS为基础控制系统,其工业以太网上集成了几乎所有的控制系统,所以要保证工业以太网不受病毒攻击,就必须使所有连接在工业以太网上的终端均受到防病毒软件的保护,并实时更新病毒库。具体措施:在DCS信息集成的工业以太网上配置一台防病毒软件服务器并安装防病毒中心软件,而相应需保护的工业以太网终端设备上则安装客户端软件(常用的防病毒软件为西门铁克),并根据需要由服务器直接从Internet实时升级病毒库或由相关维护工程师手动及时更新病毒库。用户管理策略一般可以采取以下措施:
(1)加强工艺操作人员和系统维护工程师的培训工作,严格计算机操作及维护纪律,力争将误操作降到零水准。
(2)将安装有开放的光驱和USB接口的操作站主机与显示器及操作键盘异地放置,对不利于异地放置的地方则需对操作员账户屏蔽其对光驱和USB接口的操作功能;对服务器、工程师站则应对维护工程师的工作制订严格的纪律以确保病毒不从光驱和USB接口进入工业以太网。
(3)根据使用者工作职责的不同建立不同级别的账户,使之操作行为受到相应的限制以保护DCS及其网络的安全运行。
四、结束语
由于行业不同,对工业以太网应用安全的要求也不尽相同,各用户可以根据自己的经验和项目实际要求在应用以太网控制系统时配置自己的安全对策。上述对策是根据近年来几个大型合资石化项目的成功经验,结合仪表自动化领域控制技术发展总结而来的,经过实际生产的检验,对相关控制对象具有很好的安全保护作用。随着以太网技术的进一步发展,有线、无线网络的混合应用,对工业以太网的安全考验会越来越多,从而也要求相应的更为严密的安全措施相匹配。
- 基于Linux的嵌入式测控系统设计(07-03)
- 工业以太网布线与故障保养(12-21)
- 工业以太网在制丝线电控系统的应用(12-21)
- 工业以太网交换机应用于太阳能热电控制系统(12-21)
- 基于工业以太网EtherCAT的DCS控制系统设计(12-21)
- 基于工业以太网和PROFIBUS的FCS实时在线故障诊断系统(12-21)