基于OPC协议的工控网络系统防护浅析

  • 时间:
  • 浏览:0
  • 来源:uu快3新平台_uu快3诀窍_讨论群

微软的DCOM协议是在网络安全大大问题被广泛认识已经 设计的,而基于DCOM协议的OPC Classic基本那么 增加任何安全相关的价值形式,几乎所有著名的工业自动化软件(包括HMI软件、先进控制与优化软件、监控平台软件、综合集成软件等)算不算 基于windows平台开发,都采用或部分采用了OPC技术,因此 对使用OPC协议进行通信的工控系统进行防护也变得简化和困难。

提到OPC协议,亲戚亲戚朋友儿想到最多的因此 OPC Classic 3.0,实际上现在OPC协议有一二个多 大类,四种 是基于微软COM/DCOM技术的“Classic”,另四种 是基于Web service的OPC UA。前者在DCOM协议之上,诞生较早,已广泛应用在各种工业控制系统现场,成为工业自动化领域的事实标准。后者与前者比出生较晚,但在设计时考虑了安全因素,有了加密机制,不过目前应用范围较小。本文主要讨论的是前者在工控系统中的防护。

区别与传统防火墙,近年来发展起来的专门用于防护工业控制现场的工业级防火墙基本支持了OPC的淬硬层 解析,但方法解析淬硬层 的不同,在OPC协议为基础的网络中,工业防火墙的防护能力算不算 所不同。

基于OPC协议的工控网络系统面临各种各样的威胁。在“两网”融合的大背景下,工业控制系统的隔离性被打破,面临来自网络的威胁空前加剧。无用端口的开放、工业软件依赖的操作系统四种 占据 的安全漏洞、工业协议四种 安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。在真正接入到企业管理网、互联网已经 ,基于OPC协议的工业控制系统需要加入相应的安全设备进行防护,要能提高自身网络的安全。肯能OPC协议不同与传统的IT应用层协议,对OPC协议的解析淬硬层 决定了安全产品在工业控制系统安全防护中的真正作用。

二、动态端口

  端口防护级工业防火墙部署示意图

2. 端口防护工业防火墙

与大多数应用层协议不同,OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接已经 通讯双方还需要协商需要使用的端口。示例图如下:

上图中传统防火墙安里装企业管理网和中产控制网的边界进行防护,肯能OPC服务器肯能使用任何可使用的端口来进行真正的数据连接,而具体使用的端口号在响应客户端请求的应答报文中。传统防火墙无法识别出OPC服务器具体使用的端口号,为确保OPC客户端上能 正常连接OPC服务器,防火墙需要配置详细端口可访问,另一二个多 的传统防火墙形同虚设,生产控制网的门口大开,几乎安全暴露在攻击者面前。

对OPC进行简单解析的工业防火墙上能 跟踪OPC连接建立的动态端口,最小化的开放工业控制网络的端口。如下图:

随着国家网络安全法的颁布和国家“中国制造2025”战略的要求,逐渐打破物理隔离的工业生产网络对安全的需求那么 迫切。对于生产现场有OPC协议的企业来讲,综合自身实力选者适合当事人的安全防护产品显得那么 重要。而对OPC协议的解析到指令级还过高 ,后续还需要淬硬层 解析到OPC协议操作指令所操作的对象算不算 在安全范围内,对操作对象的值进行安全检测,确保OPC协议发送的每一二个多 字节算不算 可识别、可控制、安全无害的。

三、面临的安全威胁

1. 传统IT系统防火墙

  传统防火墙部署示意图

肯能在基于OPC协议的工业控制系统中安装传统IT系统防火墙(以下简称:传统防火墙)进行防护,肯能传统防火墙不支持OPC协议的任何解析,为了要能保证OPC业务的正常使用,不得不开放OPC服务器的所有可开放端口,而OPC服务器上能 分配的端口号范围很广-肯能OPC服务器安里装Windows Server 10008,超过1100000个端口号都肯能被使用,早期的Windows版本则超过了4100000个端口号。

本文转自d1net(转载)

  OPC动态端口协商过程

除了做到指令防护外,还有更人性化因此 的工业防火墙内置只读模板,满足使用OPC协议的大部分业务场景,肯能使用OPC协议的工业控制现场一般因此 用来挂接数据,使用只读模板来防护详细满足现场安全要求。工业防火墙内置的只读模板一键部署,安全、方便,降低管理员维护成本,有效保障工业控制系统数据不被恶意篡改。

四、防护方案简介

  五、结论

端口防护工业防火墙相比传统防火墙并非 提升了防护能力,但攻击者仍已经 能 通过建立的数据通道发送恶意的OPC操作指令,因此 仅仅做到动态端口跟踪还无法保证基于OPC协议的工业控制系统的安全。因此 对OPC协议的进一步解析,催生了指令级防护工业防火墙,这也是目前市面上主流的工业防火墙。OPC协议的淬硬层 解析要求也加入到了工业防火墙国家标准的草稿中(此标准尚未正式发布)。下图是指令级防护工业防火墙的典型部署:

3. 指令防护工业防火墙

上图中,OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接,连接成功后再经过OPC服务器分配新端口1118,并通过接口ISystemActivator的方法RemoteCreateInstance的应答报文返回给客户端,已经 客户端使用5569作为源端口向服务器的1118端口发起新的连接用来后边的真正数据的传输。

一、协议概述

4. 优缺点比较

端口防护级工业防火墙同样部署在企业生产网和中产控制网的边界,此时配置策略只需要配置开放OPC服务器的135端口,当OPC客户端与服务器建立连接时,端口防护级防火墙跟踪并解析OPC服务器与OPC客户端协商出来的动态端口,因此 自动将动态端口加入到防火墙的开放端口中,从而最小化开放生产控制网的端口,与传统防火墙相比,防护能力有了进一步提升。

部署在企业管理网和中产控制网边界处的指令级工业防火墙,淬硬层 解析OPC协议到指令级别,不仅上能 跟踪OPC服务器和OPC客户端之间协商的动态端口,最小化开放生产控制网的端口,还对OPC客户端与OPC服务器之间传输的指令请求进行实时检测,对于不符合安全要求的操作指令进行拦截和报警,极大提升了基于OPC协议的工业控制系统的网络安全。

  指令级防护工业防火墙部署图