唐 林,兰 昆
(中国电子科技网络信息安全有限公司,四川成都610041)
智能仪表的网络安全威胁及防护框架研究
唐 林,兰 昆
(中国电子科技网络信息安全有限公司,四川成都610041)
智能仪表在工业自动化生产的显示、测量、调节与控制等环节发挥了重要作用,在工业自动化领域应用非常广泛。智能仪表的网络安全问题伴随其应用不断显现,已经引起工业界的高度关注。先分析智能仪表面临的网络安全威胁和脆弱性,研究智能仪表网络安全防护的技术体制,提出一种智能仪表网络安全防护框架,并分析该框架的一种实际应用设计。
智能仪表;网络安全;脆弱性;信息安全防护框架
智能仪表是传感器技术、仪器测控技术、计算机技术、网络通信技术与微电子技术深度融合的产物,智能仪表将计算机技术与测试技术进行结合,仪器内部带有处理能力很强的智能软件[5]。随着网络化的发展,工业自动化领域对具备网络功能的仪器仪表的需求越来越大,市场上涌现出许多支持现场总线协议的仪表,比如 HART、MODBUS、PROFIBUS、FF、CAN 等总线仪表。 智能仪表的广泛应用,给工业用户带来仪表操作及管理方便的同时,也造就了新的仪表安全问题,大量的敏感信息未经保护的在网络的各个装置之间传送,黑客们完全可以利用通信协议上的漏洞攻击仪表装置、获取或者篡改仪表信息。美国工业控制系统网络紧急应变小组(ICS-CERT)于2015年1月、2月、8月和9月分别公布了 Emerson HART仪表、CodeWrights HART 仪表、Endress+Hauser HART仪表、Endress+Hauser HART管理软件 Fieldcare和 Code-Wrights HART通讯服务软件存在的缓冲区溢出和恶意代码注入等严重漏洞,引起全球工业界的高度关注。如何确保智能仪表的网络信息安全,事关自动化工业企业的正常稳定运行,以及工业企业的降本增效问题。
1983年美国霍尼韦尔公司研制出智能压力变送器,标志着仪器仪表制造从传统的模拟仪表向数字化智能仪表时代转变。智能仪表的特点主要是:一方面具备了数字通信接口能力,这是由于生产现场为提高控制质量、控制可靠性和安全性,而大量部署传感器和执行器的要求;另一方面,智能仪表具备自诊断、确认信息处理、信息管理等功能,使智能仪表在安装、配置、参数设定、正常使用、维护等阶段都能向用户提供额外的服务,如在线调试、自动故障定位等[6]。智能仪表的典型结构如下图1所示:
智能仪表主要分为三大功能模块:模拟量输入\输出、人-机接口、通信接口[5]。智能仪表的硬件部分主要包括主机电路、模拟量输入\输出通道、人机接口电路、通信接口电路。智能仪表的软件一般分为监控程序模块和接口管理程序模块两部分。监控程序是面向仪器面板键盘和显示器的管理程序;接口管理程序是面向通信接口的管理程序,接收并分析来自通信接口总线的远程控制命令。
图1 智能仪表的典型结构
智能仪表的主要用途是检出、测量、观察、计量各种物理量、物质成分、物性参数等,并具有自动控制、报警、信息传递和数据处理等功能[3]。智能仪表的应用领域非常广泛,覆盖了工业、农业、交通、科技、环保、军工、国防、医疗健康、依法治国等各方面,在国民经济建设各行各业的运行过程中承担着信息传感、数据审计、辅助决策等任务。智能仪表数据的精确、可靠、及时、可信,对于工农业生产、国防建设、经济发展、自然灾害防治及环境保护等具有重要意义[6]。
智能仪表使用的通信协议(如HART、MODBUS协议等)[2]在设计之初没有专门的协议报文完整性、机密性、抗抵赖性方面的保护机制,造成报文传输过程中存在被监听、篡改、伪造及重放等安全威胁,其在工业生产控制现场存在的网络安全风险主要表现为:
1)恶意攻击者可以借助通用的便携式手操器或者仪表管理通信软件的组态、校验管理、调试等功能,通过调试接口等,对智能仪表的固件或操作系统进行窜改,甚至注入恶意代码,导致智能仪表工作状态不正常或不可用;
2)未授权的外部设备或者通信组态软件接入智能仪表时,可以实现对智能仪表量程的恶意篡改、零点漂移、停止工作等操作,从而导致智能仪表测量数值偏离真实值;
3)非法攻击者可以接入智能仪表通信网络,或者旁路正常工作的仪表,向控制中心发送虚假的数据,生产调度与控制中心一旦接收到错误的工艺过程数据、测量数据,会以此为依据作出错误的运算判断,发出错误的控制命令,甚至启动应急操作,从而导致生产线控制过程的异常反应,造成难以预期的工业事故。
正是由于智能仪表存在上述漏洞,使得原本相对封闭、专用的工业自动化测量领域,容易成为网络攻击的新目标,对生产控制造成更深层次的破坏。
智能仪表的漏洞及相关的信息安全问题是近几年来才出现的新领域,相关的研究报道并不多见,而有关智能仪表的安全,目前的研究热点主要集中于仪表的功能安全[9],网络安全方面的技术发展情况不明显,仅在计量类仪表之一的智能电表网络安全方面有些应用成果。但是,以网络化、数字化、智能化为基本特征的智能仪表应用所要求的网络安全防护技术,与传统IT网络信息安全不尽相同,主要体现在以下几方面:
1)多数智能仪表的工作过程会处于振动、温度、湿度、气压、噪声、腐蚀、粉尘等多环境参数(甚至有极限环境)共同作用的条件[1],传统IT网络信息安全防护的系统和设备无法正常工作;
2)智能仪表的通信协议通常为现场总线协议,现场总线协议种类繁多,差异明显,各种现场总线协议在工业测量仪表领域都有一定程度的应用,需要针对每种协议分析其存在的漏洞、脆弱性[7],以及相应的网络安全防护措施;
3)大型工厂的生产控制网络通常会存在成千上万个智能仪表的使用场景,智能仪表存在短报文应用,猝发式通信与高实时性要求通信并存,各个仪表之间业务关联性较弱等网络应用特点,智能仪表的网络安全解决方案需要同时考虑低成本以及对工业测量业务的微影响问题[5];
4)目前缺乏智能仪表网络安全方面的国家标准及国际标准,相关技术、产品缺乏依据。
因此,需要创新开展满足智能仪表应用要求的网络安全技术、产品及解决方案。
针对上述章节分析的智能仪表面临的网络安全威胁,以及现有信息安全防护措施的不足,结合智能仪表的结构特点,使用环境要求,提出一种智能仪表网络安全防护框架[8],智能仪表网络安全防护框架系统结构如下图2所示:
图2 智能仪表网络安全防护框架的系统结构
该框架基于密码技术,采用模块化设计,通过特殊设计的智能仪表安全加固模块,对智能仪表通信双方设备进行身份识别、协议解析、异常报文过滤、报文加密解密、签名验签等处理。主要提供以下两个方向的保护能力:
1)对具有外部数据通信能力的智能仪表,提供上位机工程师站与智能仪表的数据机密性、完整性、抗抵赖性、可用性、访问控制保护;
2)对智能仪表的内部数据提供机密性、完整性、可用性、访问控制保护。
智能仪表网络系统部署该安全防护框架后,能识别、过滤非法的外部设备(如第三方厂家手操器、非正常用户使用的二次仪表),或者HART通信软件向智能仪表发送的修改仪表内部重要参数的命令。并且,只有通过授权的协议报文才能下传到智能仪表中,未经授权的协议报文由安全防护框架自动过滤,只能读取变送器主参数而不能修改,这样使得仪表内部重要参数得到有效的保护,不受偶然的或者恶意的原因而遭到破坏、泄露。
另一方面,在上位机工程师站与智能仪表通信的应用场景中,通过在上位机工程师站端,以及智能仪表端同时部署智能仪表网络安全防护框架,将保护通信双方遭受中间人攻击,进而防止上位机工程师站接受到虚假的现场测量参数信息欺骗。
智能仪表网络安全防护框架应至少包括通信模块、安全算法模块、协议处理模块、逻辑控制模块等,通信模块负责智能仪表内部与外部数据的收发,安全算法模块是对协议报文进行机密性、完整性、可用性、抗抵赖性和访问控制保护的算法[10],协议处理模块识别智能仪表网络所使用的协议类型,逻辑控制模块依据协议识别的结果和参数配置情况调用相应的处理模块。
在石化行业、钢铁行业等工业控制系统的数据采集层一般会部署了大量的进行数据采集的压力变送器、温度变送器、电磁流量计、液位变送器等智能仪表,目前这些智能仪表均具备HART或Profibus PA通信功能[4]。该场景中,数据采集层的智能仪表需要与上位机端的仪表管理软件进行通信,在该环节配置智能仪表网络安全防护框架可以保护通信双方遭受中间人攻击,防止上位机被虚假的现场测量参数信息欺骗,诱发进一步的错误控制动作,如图3所示:
图3 智能仪表网络安全防护框架的系统结构
该应用场景主要对两个环节进行网络安全防护:1)智能仪表与手操器之间的HART通信过程防护;2)智能仪表与上位机系统之间的Profibus PA通信防护。
在图3所示的网络环境中,智能仪表网络安全防护框架的设备形态分成两种:1)完成智能仪表与上位机系统之间的现场总线级通信安全防护功能,主要以外挂式专用防护设备为主,专用防护设备位于HART\PROFIBUS PA通信模块与智能仪表之间[2],提供信息安全服务。在厂商允许的条件下,此处的智能仪表网络安全防护框架也可以是软件形态;2)保护智能仪表与手持器等的通信安全,形态主要以嵌入式信息安全芯片为主,芯片位于智能仪表内部,与智能仪表一体化设计,芯片具有完整性和签名、验签功能,最终形成带信息安全防护功能的新型智能仪表。同时,手持器一端也要安装或集成安全防护功能的芯片或外设,与智能仪表中的信息安全芯片配对使用。
智能仪表在工业领域两化融合的趋势下得到广泛使用,但目前专门针对智能仪表的网络安全威胁问题和信息安全防护技术方面的研究相对较少,在智能制造时代深入研究智能仪表的网络安全防护技术意义突出。本文先讨论智能仪表的典型结构和面临的网络安全威胁,指出需要专门研究针对智能仪表的网络安全防护框架,然后提出一种智能仪表网络安全防护框架,并详细分析该框架在智能仪表与上位机、手持器通信环节的实际应用设计。
[1]潘世永,郑萍,李英.工业自动化仪表的智能化[J].中国仪器仪表,2010(8):106.
[2]马小永,汪宝兵.HART协议简介及 HART智能仪表的组成原理[J].仪表技术与传感器,2002,(4):45-48.
[3]裘玉瑞.现场总线智能仪表功能模块(上)[J].世界仪表与自动化,2001(8):30—32.
[4]张建华,于海斌,战明,马 钢.FF现场总线智能仪表在焦炉控制系统中的应用[J].仪器仪表学报,2006,(6):899-901.
[5]朱一纶,吴彪.智能仪器基础[M].北京:电子工业出版社,2007:32-103.
[6]凌志浩.智能仪表原理与设计技术[M].上海:华东理工大学出版社,2005:48-113.
[7]饶志宏,兰昆,蒲石.工业SCADA系统信息安全技术[M].北京:国防工业出版社,2014:1-67.
[8]兰昆,饶志宏,唐林.工业SCADA系统网络的安全服务框架研究[J].信息安全与通信保密,2010(03):47-49.
[9]IEC61511,Functional safety Safety instrumented systems for the process industry sector[Z].2003,(1):55-85.
[10]斯托林斯.密码编码学与网络安全:原理与实践[M].北京:电子工业出版社.2011:156-213.
Network Security Threats and Protection Frame of Intelligent Instruments
TANG Lin,LAN Kun
(China Electronics Technology Cyber Security Co.,Ltd.,Chengdu Sichuan 610041,China)
Intelligent instruments plays an important role in display,measurement,adjustment and control of industrial automation and production,and thus is also widely applied in this field.However,network security problems of intelligent instruments arise unceasingly along with its applications,and attract much highly attention of the industrial circle.Firstly,network threats and vulnerabilities faced by intelligent instruments are analyzed,then the technical systems of network security protection studied,and finally,a cyber security protection frame of intelligent instrument proposed,a practical application of this security protection frame in a actual industrial environment also discussed.
intelligent instrument; network security; vulnerability; infosec protection frame
TP23 [文献标志码]A [文章编号]1009-8054(2016)04-0092-03
2016-01-22