工控系统与企业内网互联安全风险分析及对策研究

2017-05-26 08:02齐俊鹏
网信军民融合 2017年4期
关键词:端机单向数控机床

◎齐俊鹏 赵 越 徐 靖

1.中国航天系统科学与工程研究院,北京,100048

2.中国航天科技集团公司,北京,100048

随着计算机网络技术在工业控制系统中的深入应用,工控系统从“信息孤岛”向网络化、集成化模式发展已成为必然趋势,越来越多的工控系统接入企业内部网络。当“震网病毒”事件爆发后,工控系统长期以来存在的安全风险浮出水面,并成为影响国家战略实施和基础设施稳定运行的重要因素。加强工控设备联网的安全防护已成为信息安全领域关注的焦点。

本文以数控机床联网需求为切入点,重点分析当前数控机床联网存在的安全风险,并基于安全风险提出一种应用可信验证模型和整体解决方案。

一、互联的必要性和意义

当前,全球制造业正在迈向网络化、智能化,而网络化、智能化的前提是构建起联通制造业“信息孤岛”、实现工业大数据安全流转的高速网络。工业控制网络与外部网络互联,将为企业研发、设计、决策、管理等提供新的工具和手段,为业务链条的各环节提供新的协作平台,必将有力地推动我国工业生产方式的转变和产业结构的优化升级,催生定制化制造、协同制造、服务型制造、智能化制造等一系列新模式、新业态,助推“中国制造2025”行动纲领实施和制造强国战略目标的实现。

以航天科技为代表的军工制造业,是中国制造业的战略力量,它的发展水平在一定程度上决定着中国高端制造业的水平。在当前制造业整体向网络化、智能化方向发展的前提下,解决军工制造业信息孤岛的问题,支持工业大数据安全有序流动,互联是这一切的基础,且已变得迫在眉睫。

构建坚固的网络安全防护体系,保护敏感信息和知识产权,避免类似“震网病毒”事件再次发生,是实现工控系统与企业内网互联的重中之重。

二、互联的安全风险分析

(一)机床的安全风险

图1 数控机床组成示意图

数控机床一般由输入输出设备、计算机数控(Computer Numerical Control,CNC)装置、伺服单元、驱动装置、可编程控制器PLC及电气控制装置、辅助装置、机床本体及测量装置组成,其中除机床本体之外的部分统称为计算机数控系统。数控机床组成示意图如图1。

机床本体是指组成机床的各机械部件,而计算机数控系统是整个数控机床的核心,是一套软硬结合的智能化系统。计算机数控系统从外部接收数据,经过层层处理,最终转换为机械运动,由机床本体执行相关加工动作。

数控系统主要的信息安全风险情况如表1。

(二)采购和维修的安全风险

数控机床的采购、维修过程是当前设备供应链中安全风险非常严峻的一个环节。在已经曝光的美国“量子”项目中,美国安全局(NSA)在设备生产过程中向重点目标植入恶意的软硬件,并通过这些恶意软硬件向互联网或邻近的接收装置建立连接,从而达到窃取和收集目标中的重要信息。

表1 数控机床自身的安全风险

由于数控产品构成日益复杂,一台设备的配件可能来自不同的国家和厂商,一套复杂的软件系统可能由不同地方的人员共同设计完成,在以上任何一个环节中都可能引入后门和漏洞,极大地增加了信息安全防护难度;此外,由于与传统的病毒、木马不同,在设备中植入恶意硬件的形式更加隐蔽,一些硬件后门以逻辑漏洞的方式直接植入被封装好的芯片中,其恶意功能只在特定的条件下才会触发,难以通过常规手段检测出来。

当前,我国大部分数控设备或数控系统都是从国外引进,因此国外厂商能够很轻易通过预设的后门实施网络入侵。

数控机床在采购、维修过程中主要的安全风险情况如表2

(三)设备联网的安全风险

对数控机床而言,数控机床与企业办公网络互联后,更容易遭受企业办公网络中病毒感染和网络攻击,给设备的可用性和业务的延续性带来巨大的风险。

另一方面,当数控机床接入企业办公网络后,由于数控机床缺乏安全防护机制,能够轻易被渗透攻击和控制,从而给企业重要数据的保护带来严峻挑战。

三、互联的安全解决方案

(一)网络部署架构设计

针对数控机床联网的安全风险分析,本文设计了一种网络互联方案,采用保密传输单元实现网络的安全隔离和信息单向传输,加强网络边界的防护,互联方案的网络部署架构如图2示。

图2 互联方案的网络部署架构

表2 设备供应链中的安全风险

其中保密传输单元是一种采用光单向性传输技术,实现信息单向传输的安全隔离产品。保密传输单元由三个部分组成:外端机、单向传输控制通道和内端机,其中外端机与内端机是两台独立的主机,外端机与内端机之间存在唯一的连接接口,即单向传输控制通道。

此外,为确保数控机床和工作网互联后数据交换的安全性,本文提出了一种基于单向传输协议的可信验证模型(图3)证服务器(AS)和票据授权服务器(TGS)共同实现跨域之间的信息可信交换。

图3 基于单向传输协议的可信验证模型

(二)可信验证模型

1.模型设计

模型定义如下:

应用服务器:部署具体的业务系统(如DNC系统),模型中为数据的发送端;

同步服务器:业务系统对应的镜像系统(如DNC系统),模型中为数据的接收端;

认证服务器(AS):存储身份认证信息和相关密钥信息,进行客户端身份合法性认证,并发放身份认证过程中产生的会话密钥,防止身份认证信息被篡改;

图4 身份可信验证过程

票据授权服务器(TGS):用于确认信息源身份的合法性,决定保密传输单元应用数据转发给同步服务器。

定义Kx为X与认证服务器的共享密钥;Kx,y为X与Y的会话密钥,由认证服务器发放;{m}K为用密钥K加密信息m;TGT为用于访问TGS的票据;Tx,y为X访问Y时的票据。

2.可信验证过程

本文设计的数据可信交换验证模型的具体实现流程如图4示。

(1)保密传输单元外端机检测到有数据需要同步时,外端机首先采集应用服务器的相关信息,采集的信息如下:

{a,tgs,timestamp,addr}

采集信息的内容包括应用服务器的名称(a)、票据授权服务器的名称(tgs)、应用服务器的IP地址(addr)以及时间戳(timestamp)。时间戳用于向身份认证服务器(AS)表示这一身份请求是新的。

然后外端机开始接收应用数据,并验证所传输的TCP/IP包是否符合保密传输单元设置的访问控制策略。若不符合相关访问控制策略,则终止数据接收,并产生告警日志,否则进入步骤(2);

(2)外端机将应用服务器相关信息发送给认证服务器AS,用于向认证服务器AS发出应用服务器访问票据授权服务器TGS的请求,请求以报文形式发送。请求的报文内容为{a,tgs,timestamp,addr}。

(3)AS收到请求报文后,在其数据库中查找外端机的加密密钥Kw,并产生随机会话密钥Ka,tgs和Ta,tgs(TGS的票据TGT)作为应答报文。会话密钥Ka,tgs用于应用服务器与TGS进行加密通信,用Kw加密。Ta,tgs的内容包括:TGS的名称(tgs)、应用服务器的名称(a)、应用服务器的IP地址(addr)、时间戳(timestamp)、有效生存期限(lifetime)以及会话密钥Ka,tgs,这些数据使用TGS的密钥 进行加密,以保证只有TGS才能解密。这一部分的应答报文为:

{Ka,tgs,Ta,tgs}Kw

其中Ta,tgs={tgs,a,addr,timestamp,li fetime,Ka,tgs}Ktgs。

AS向外端机发出应答,应答内容用外端机的密钥Kw加密,使得只有外端机才能解密该报文的内容。

(4)外端机收到AS返回的应答报文后,通过Kw对报文进行解密,就得到Ka,tgs和Ta,tgs。外端机后续就可以把Ta,tgs发送给TGS来证明应用服务器具有访问对端TGS的合法身份。外端机同时从AS处得到了应用服务器与对端TGS的会话密钥Ka,tgs,用它来与TGS进行加密通信。

外端机首先利用返回的会话密钥(Ka,tgs)生成应用服务器的身份认证符Aa,tgs,认证符Aa,tgs的内容如下:

Aa,tgs={a,addr,timestamp}Ka,tgs

认证符的内容包括应用服务器的名字(a)、应用服务器的IP地址(addr)以及时间戳(timestamp),认证符Aa,tgs的内容用会话密钥Ka,tgs进行加密。

外端机根据身份认证符(Aa,tgs)和信任凭证票据(Ta,tgs)将需同步的应用数据进行加密处理。

(5)外端机采用私有协议将身份认证符(Aa,tgs)、信任凭证票据(Ta,tgs)以及加密后的数据封装成静态文件,然后静态文件通过单向传输通道同步至单向隔离设备的内端机。

(6)内端机接收到静态文件后,根据私有协议将静态文件进行解析,获得Aa,tgs和Ta,tgs的信息。

(7)内端机与票据授权服务器TGS进行信息交互,具体过程如下:

①内端机向票据授权服务器TGS发送应用数据同步的请求报文,报文内容包括Ta,tgs(TGS的票据TGT)以及认证符Aa,tgs。Ta,tgs的内容是用TGS的密钥Ktgs加密的(见步骤(3)),只有TGS才能解开,认证符Aa,tgs的内容使用应用服务器和TGS的会话密钥Ka,tgs进行加密(见步骤(4)),以保证只有TGS才能解开。Ta,tgs并不能证明任何人的身份,可以重复使用而且有效期较长,而认证符Aa,tgs则用来证明应用服务器的身份,只能使用一次而且有效期很短。

②TGS收到内端机发来的请求报文后,用自己的密钥Ktgs对Ta,tgs进行解密处理,得到了应用服务器与自己的会话密钥Ka,tgs。TGS然后用Ka,tgs解密认证符Aa,tgs,并将认证符Aa,tgs中的相关信息与Ta,tgs中的相关信息(a,addr,timestamp等)进行比较。如果校验失败,内端机会立即删除接收的数据,终止数据同步流程并产生告警日志,否则进入步骤(8);

(8)内端机传递的验证信息通过TGS信任校验后,TGS可以相信Ta,tgs的发送者(应用服务器)就是Ta,tgs的实际持有者,于是给内端机返回一条确认信息,然后内端机会将加密后的应用数据进行解密处理;

(9)内端机建立与同步服务器的连接,最终完成应用数据的同步传输。

(三)网络整体防护

基于单向传输协议的数据可信交换验证模型,增强了网络之间数据通信的安全性,为提高数控网、工作网互联后整体的安全防护能力,网络互联解决方案还采用了以下安全防护措施:

1.安全域边界防护

(1)安全域划分

数控网和工作网内部按照业务需求和防护等级划分为不同的安全域。其中数控网划分为认证服务器安全域、应用服务器安全域、网络设备安全域和数控设备安全域;工作网划分为认证服务器安全域、应用服务器安全域、网络设备安全域和用户终端安全域。数控网、工作网内部各安全域之间采用防火墙进行隔离防护。

(2)VLAN划分

数控网和工作网内部各安全域按照设备类型(如数控机床、终端)、业务功能(如服务器区、终端区)和物理区域等原则又细化为不同的VLAN,并通过设置交换机访问控制策略限制各个VLAN之间的相互访问。

2.边界安全防护

数控网和工作网的网络边界采用单向隔离设备进行防护和控制,单向隔离设备采用类似包过滤防火墙的功能,实现对IP地址、通信端口的控制,阻断网络之间一切通用网络协议连接,并采用私有协议进行数据包的通信、转发,能够有效地降低网络攻击的风险。

保密传输单元集安全隔离、实时信息交换、单向传输、内容审查、病毒检测、访问控制、安全审计、病毒防护等多种安全功能为一体,适合部署于不同安全等级的网络间,在保证多个网络安全隔离的同时,实现高速的、安全的数据单向传输,提供可靠的信息交换服务。

3.入侵监测

数控网和工作网均部署入侵检测系统(IDS),通过IDS对网络之间、网络内部的访问行为进行监测,对发现的渗透攻击和非授权操作等异常行为能及时告警,并采用与防火墙联动的机制对异常行为进行阻断和消除。

4.恶意代码防范

数控网和工作网均部署防病毒系统,对网络内部的用户终端、服务器等设备采取计算机病毒及恶意代码防范措施。

在网络边界,通过保密传输单元集成的病毒查杀功能,实现对不同网络区域之间的病毒、木马等恶意代码的防护。

5.设备接入控制

在数控网和工作网内部采用设备MAC地址和交换机接口绑定技术控制设备的接入,并将交换机上所有暂不使用的网络端口采取物理断开、逻辑控制等措施,限制或阻断违规接入的设备对系统资源的访问。

6.安全漏洞扫描

在数控网和工作网内部部署漏洞扫描系统,对网络脆弱性进行安全检测,及时发现系统中服务器、数据库、网络设备和终端的安全漏洞,并采取相关措施及时修补,降低系统的安全隐患。

四、总结

在全球制造业整体向网络化、智能化转型的大趋势下,本文详细分析了数控机床联网的安全风险,并针对风险提出了网络安全互联的整体部署架构。在这一架构中,设计了一种基于单向传输协议的数据交换可信验证模型,保障了两网之间数据通讯过程中身份信息的可信性;在该模型的基础上,本文从提高工控网络整体防护能力的角度,提出了其它一些相关的安全防护措施,为工控设备联网规划出一种安全可行的技术解决方案。

猜你喜欢
端机单向数控机床
碳纤维/PPS热塑性单向预浸带进入市场
用“单向宫排除法”解四宫数独
地铁无线直放站系统的技术研究
数控机床的节能应用
高档数控机床数据采集应用
从单向到双向的合作治理及实现路径
数控机床电气系统的故障诊断与维修
Nokia7:重新开始
PLC在数控机床中应用
单向度