安全RTU的研究與應(yīng)用

卓 明

（北京安控科技股份有限公司，北京 100095）

0 引言

從2010 年伊朗核電站遭到Stuxnet（震網(wǎng)病毒）的侵襲，到2015 年12 月烏克蘭電力部門受到Black Energy 的攻擊，再到2019 年3 月委內(nèi)瑞拉電力網(wǎng)絡(luò)遭到DDOS 風(fēng)暴襲擊而造成的大面積停電事件，說明解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題已經(jīng)到了刻不容緩的地步。隨著工業(yè)控制系統(tǒng)與“IT”網(wǎng)絡(luò)應(yīng)用技術(shù)不斷地融合，工業(yè)控制系統(tǒng)分布式控制模式對(duì)網(wǎng)絡(luò)的依賴性越來越大，特別是系統(tǒng)所采用的網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)協(xié)議基本上都是開放的，尤其是靈活方便的無線網(wǎng)絡(luò)拓展，公共網(wǎng)絡(luò)不可避免地會(huì)被引入到工業(yè)控制系統(tǒng)當(dāng)中。因此，工控系統(tǒng)的網(wǎng)絡(luò)很容易遭受攻擊，網(wǎng)絡(luò)安全問題將是一個(gè)必然會(huì)發(fā)生的事情，只是時(shí)間的問題，發(fā)生在近10 年里的網(wǎng)絡(luò)安全事件就是一個(gè)印證。正因如此，安控科技作為國(guó)內(nèi)RTU 領(lǐng)軍企業(yè)，從2012 年開始就圍繞著“安全”兩字，以SCADA 控制系統(tǒng)的末端RTU為核心入手，從不同方向?qū)Π踩玆TU 進(jìn)行了研究和應(yīng)用。

圖1 控制系統(tǒng)的應(yīng)用架構(gòu)Fig.1 Application architecture of the control system

1 什么是安全RTU

“安全RTU”，就是無論網(wǎng)絡(luò)出現(xiàn)意外事件，或是網(wǎng)絡(luò)遭到蓄意的攻擊破壞，RTU 都能夠保證自身的安全（Safety）運(yùn)行。其實(shí)就是把多種“安全”方法融合，實(shí)現(xiàn)一個(gè)具有具體保障措施的集合，通常是利用嵌入式硬件和軟件的設(shè)計(jì)組合手段，通過協(xié)議分析、數(shù)據(jù)流信息處理入手，目的使RTU 在工業(yè)控制系統(tǒng)的實(shí)際應(yīng)用中，面對(duì)開放的網(wǎng)絡(luò)架構(gòu)，能夠抵御各種已知的和未知的攻擊和侵襲，使其自身具有免疫能力，從而保證系統(tǒng)能夠安全地運(yùn)行。

工業(yè)控制系統(tǒng)的大部分網(wǎng)絡(luò)架構(gòu)組成采用分層設(shè)計(jì)架構(gòu)，系統(tǒng)由下及上分為感知層、傳輸層和應(yīng)用層。感知層為現(xiàn)場(chǎng)設(shè)備，包括傳感器、執(zhí)行器以及智能控制器的集合，安全RTU 就是處于末端的智能控制器，用于完成前端生產(chǎn)運(yùn)行設(shè)備的采集與控制，是系統(tǒng)核心部分；傳輸層為與上位監(jiān)控系統(tǒng)之間的通訊，通常由移動(dòng)網(wǎng)絡(luò)、廣域網(wǎng)、局域網(wǎng)、無線網(wǎng)絡(luò)等組成，是網(wǎng)絡(luò)入侵的主要途徑；應(yīng)用層是各類數(shù)據(jù)的行業(yè)應(yīng)用，主要完成數(shù)據(jù)監(jiān)控與展示，包括物聯(lián)網(wǎng)監(jiān)控平臺(tái)、智能終端應(yīng)用、WEB 應(yīng)用等，是網(wǎng)絡(luò)攻擊的入口之一。

本文分別從網(wǎng)絡(luò)安全和信息安全兩方面對(duì)RTU 進(jìn)行研究探索和應(yīng)用。

2 網(wǎng)絡(luò)安全

所謂網(wǎng)絡(luò)安全，簡(jiǎn)而言之，就是要保證主機(jī)和RTU 末端之間的網(wǎng)絡(luò)暢通，讓正常、合法的數(shù)據(jù)包能夠及時(shí)響應(yīng)，而把其他無關(guān)的垃圾數(shù)據(jù)包能夠及時(shí)拋棄，盡可能抵御利用TCP/IP 標(biāo)準(zhǔn)協(xié)議的合法性而構(gòu)建的各種漏洞所進(jìn)行的攻擊。

圖2 雙CPU的設(shè)計(jì)Fig.2 Design of dual CPU

檢驗(yàn)工控設(shè)備對(duì)網(wǎng)絡(luò)響應(yīng)的健碩性、安全性、可靠性，目前當(dāng)屬Achilles 認(rèn)證（Achilles Certification）。它是國(guó)際知名的工控網(wǎng)絡(luò)安全認(rèn)證之一，獲得了世界范圍內(nèi)的眾多工控設(shè)備廠商、工業(yè)企業(yè)、標(biāo)準(zhǔn)組織的支持和認(rèn)可，已經(jīng)成為實(shí)際上的行業(yè)標(biāo)準(zhǔn)。Achilles 認(rèn)證，基于一系列嚴(yán)格的測(cè)試標(biāo)準(zhǔn)和規(guī)范，針對(duì)工控網(wǎng)絡(luò)涉及的嵌入式設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等進(jìn)行測(cè)試和認(rèn)證。

認(rèn)證分為level 1 和level 2，主要是對(duì)ETHERNET、TCP、IP、ICMP、ARP 的單包、組包、廣播包、語(yǔ)法、應(yīng)答、錯(cuò)幀等方面多達(dá)50 多項(xiàng)的測(cè)試。針對(duì)這些測(cè)試，分別通過軟件的手段增強(qiáng)抵御，以及提高硬件的性能來提升網(wǎng)絡(luò)響應(yīng)。

因此，對(duì)于安全RTU 的設(shè)計(jì)，從基本的軟、硬件著手，主要手段是利用雙CPU，把通訊和應(yīng)用的功能隔離分開，各負(fù)其職。其中，1 個(gè)CPU 專門處理網(wǎng)絡(luò)通訊，并使其具有防火墻的功能，加入白名單及身份認(rèn)證等機(jī)制，只允許符合各種認(rèn)證后的信息，才能轉(zhuǎn)發(fā)給第2 個(gè)CPU，起到數(shù)據(jù)過濾作用；第2 個(gè)CPU 處理RTU 實(shí)際控制器的功能，完成IO 輸入、輸出，數(shù)據(jù)存儲(chǔ)及用戶應(yīng)用程序的運(yùn)行。

經(jīng)過研究和實(shí)踐，采用雙CPU 設(shè)計(jì)的RTU 成功通過了Achilles 的二級(jí)認(rèn)證，達(dá)到網(wǎng)絡(luò)安全的目的。

3 信息安全

信息安全[1]是指保護(hù)信息系統(tǒng)（網(wǎng)絡(luò)）中的硬件、軟件及其數(shù)據(jù)免遭惡意的攻擊而導(dǎo)致的系統(tǒng)毀壞、配置更改和信息泄露，保證系統(tǒng)可靠正常地運(yùn)行和業(yè)務(wù)服務(wù)的連續(xù)性。

實(shí)際中研究的信息安全，參考北京大學(xué)王立福教授的觀點(diǎn)。信息安全就是信息保護(hù)，保護(hù)信息的機(jī)密性、可用性和完整性[2]。因?yàn)镮T 領(lǐng)域開放的IP 網(wǎng)絡(luò)協(xié)議，實(shí)際上是一個(gè)通用協(xié)議，IP 報(bào)文可以通過多種不同物理介質(zhì)實(shí)現(xiàn)報(bào)文傳輸，實(shí)現(xiàn)了不同應(yīng)用間的互聯(lián)互通[3]。因此，在網(wǎng)絡(luò)安全設(shè)計(jì)中只是做到了正常IP 數(shù)據(jù)包的及時(shí)到達(dá)，而沒有對(duì)報(bào)文中承載的數(shù)據(jù)合法性進(jìn)行甄別，在標(biāo)準(zhǔn)的OSI 七層網(wǎng)絡(luò)模型中，各類工業(yè)控制系統(tǒng)的協(xié)議就分布在這“七層”架構(gòu)中，如Modbus TCP/IP 協(xié)議，基于IP 網(wǎng)絡(luò)傳輸?shù)腗odbus 協(xié)議是一個(gè)非常普遍使用的通訊協(xié)議，也是一個(gè)非常透明、容易理解的數(shù)據(jù)協(xié)議，很容易被截獲或者被篡改。

圖3 加解密硬件設(shè)計(jì)Fig.3 Encryption and decryption hardware design

因此，為了保護(hù)信息不被截取、篡改，嘗試對(duì)某些關(guān)鍵通訊數(shù)據(jù)包進(jìn)行加解密處理，結(jié)合密鑰認(rèn)證管理機(jī)制，密文傳輸，明文處理，保證了端到端的數(shù)據(jù)流向。

通過內(nèi)置基于國(guó)產(chǎn)安全芯片的密碼模塊，使用SM4 對(duì)稱算法和SM2 非對(duì)稱算法，面向PKI 應(yīng)用的芯片操作系統(tǒng)，提供具備高強(qiáng)度密鑰和高性能密碼運(yùn)算能力，可實(shí)現(xiàn)SM2算法的簽名和驗(yàn)簽命令。并利用文件系統(tǒng)多層目錄文件結(jié)構(gòu)設(shè)計(jì)，對(duì)目錄文件和數(shù)據(jù)進(jìn)行管理和操作。

在實(shí)際應(yīng)用中，以網(wǎng)絡(luò)通訊為主要接口的信息安全防御，對(duì)以太網(wǎng)接口通訊部分的數(shù)據(jù)流或協(xié)議做加解密處理。

RTU 的網(wǎng)絡(luò)通訊大部分以服務(wù)端為工作狀態(tài)，由上位機(jī)或服務(wù)器客戶端與它通訊，通過非對(duì)稱算法，進(jìn)行密鑰管理，利用對(duì)稱算法進(jìn)行正常數(shù)據(jù)的交互。

圖4 加解密數(shù)據(jù)流向Fig.4 Encryption and decryption data flow

對(duì)于安全等級(jí)較高的應(yīng)用場(chǎng)合，會(huì)話建立在身份認(rèn)證機(jī)制下，會(huì)話過程中提供加密機(jī)制保證會(huì)話不被竊聽，在會(huì)話目的達(dá)到后及時(shí)關(guān)閉會(huì)話，在會(huì)話超時(shí)時(shí)提供會(huì)話超時(shí)響應(yīng)功能，即可以實(shí)現(xiàn)會(huì)話的一次一密。在標(biāo)準(zhǔn)協(xié)議傳輸過程中，大多以主從輪尋方式進(jìn)行傳輸，每一次的信息交互可使用不同的密鑰。

4 結(jié)語(yǔ)

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和信息安全的戰(zhàn)役已經(jīng)打響，安全RTU就是工業(yè)控制系統(tǒng)中迎接這場(chǎng)戰(zhàn)役最新的有力武器，是工業(yè)安全控制系統(tǒng)發(fā)展方向的一個(gè)新思路、新方法、新產(chǎn)品。從傳統(tǒng)的被動(dòng)防御到主動(dòng)防御，使RTU 具有網(wǎng)絡(luò)安全和信息安全的雙重保護(hù)，必將會(huì)給安全RTU 加上新的標(biāo)簽。對(duì)于一些國(guó)家重點(diǎn)的能源行業(yè)領(lǐng)域，如石油、天然氣、管道、電力、石化等相關(guān)的工業(yè)控制系統(tǒng)安全領(lǐng)域的產(chǎn)品推廣，具有積極的意義。