工業(yè)應用場景下安全交換機的技術探討

趙躍東 闞濤

摘要：本文主要討論針對工業(yè)互聯(lián)網(wǎng)體系中存在的攻擊、病毒、漏洞等安全隱患，通過身份識別的端口阻塞控制等關鍵技術，實現(xiàn)接入、傳輸、出口安全控制；采用IEEE 1588 PTP協(xié)議，實現(xiàn)精密時鐘同步功能；采用G.8032 ERPS以太多環(huán)網(wǎng)保護協(xié)議，解決收斂時間過長、實時性和安全性等問題。

關鍵詞：工業(yè)互聯(lián)網(wǎng)；攻擊、病毒、漏洞；IEEE 1588 PTP；精密時鐘；G.8032 ERPS；安全布防

中圖分類號：TP3 文獻標識碼：A 文章編號：1009-3044（2019）05-0058-02

1 前言

2018年8月3日臺積電遭到電腦病毒入侵，造成竹科晶圓12廠、中科晶圓15廠、南科晶圓14廠等主要廠區(qū)停機，企業(yè)損失重大。據(jù)后期自查，臺積電的晶圓制造與測試機臺都是外購，并且由廠商灌裝好軟件系統(tǒng)，送至廠房安裝后，按照標準作業(yè)流程（SOP）進行殺毒之后再進行并線生產(chǎn)，但是此次由于新的機臺到廠之后，臺積電員工未按照SOP進行操作，導致病毒在機臺并線之后，經(jīng)公司內(nèi)網(wǎng)進行擴散。

臺積電作為全球最大晶圓制造商，其企業(yè)網(wǎng)絡與信息的安全應該是密集防護、細粒度防護，不應該出現(xiàn)該類問題。但是仔細評估事件原因，根本原因其主要責任并不在企業(yè)外部，反而出現(xiàn)在企業(yè)內(nèi)部。

經(jīng)過深入走訪與調(diào)研，很多企業(yè)在生產(chǎn)車間會有報工臺、工位機等設備，企業(yè)員工會將個人U盤或移動存儲設備接入工位機進行數(shù)據(jù)轉(zhuǎn)存，由于U盤或移動存儲設備可能屬于個人，平時會用作個人行為，不在公司監(jiān)管范圍內(nèi)，因此是否存在威脅無從知曉。更有甚者，曾在企業(yè)生產(chǎn)線上見到員工將個人手機連接到工位機進行充電，根據(jù)現(xiàn)在人們的生活習慣，手機會無時無刻不在連接互聯(lián)網(wǎng)，互聯(lián)網(wǎng)屬于開放式的環(huán)境，病毒、漏洞、攻擊、垃圾程序等無所不在，此類威脅可以輕易滲透到生產(chǎn)網(wǎng)絡，哪怕現(xiàn)在隨著企業(yè)管理者安全意識的提高，將辦公網(wǎng)與生產(chǎn)網(wǎng)物理隔離，威脅因素依然可直接經(jīng)過手機作用于生產(chǎn)網(wǎng)。

隨著“工業(yè)4.0”及“中國制造2025”提出，工業(yè)互聯(lián)網(wǎng)作為智能制造的信息傳遞的紐帶，其重要性不言而喻；同時工業(yè)互聯(lián)網(wǎng)也是各類病毒、攻擊等威脅因素的傳播路徑。針對外部威脅，業(yè)內(nèi)已經(jīng)有各種各樣的安全防護措施，但是針對來自內(nèi)部的威脅，依舊沒有更好的防護措施。

2 目前工業(yè)應用中通信網(wǎng)絡存在的問題

2.1 網(wǎng)絡穩(wěn)定性問題

工業(yè)網(wǎng)絡中普遍采用工業(yè)以太環(huán)網(wǎng)來解決網(wǎng)絡穩(wěn)定性問題，實現(xiàn)網(wǎng)絡中斷之后的快速倒換與恢復。目前，國內(nèi)工業(yè)以太網(wǎng)交換機在快速環(huán)網(wǎng)冗余保護這項重要功能上普遍是私有協(xié)議。私有協(xié)議的優(yōu)點是開發(fā)簡單，沒有規(guī)范要求，不需要支持復雜拓撲，僅滿足單環(huán)保護即可。但缺點非常明顯，首先由于是私有協(xié)議，導致各個公司的產(chǎn)品在環(huán)網(wǎng)應用中互不兼容，用戶在一個環(huán)網(wǎng)中無論擴容還是維修替換都必須是同一個品牌產(chǎn)品，嚴重制約了用戶的選擇權利。同時，由于是私有協(xié)議，各個品牌下的環(huán)網(wǎng)冗余保護協(xié)議技術水平參差不齊，很多僅支持非常簡單的單環(huán)拓撲，穩(wěn)定性各異，給用戶帶來不少的問題。

2.2 工業(yè)環(huán)境適應性問題

工業(yè)生產(chǎn)環(huán)境不同于商用環(huán)境，處在相對穩(wěn)定的環(huán)境中。而工業(yè)場景則更為復雜惡劣，如熔煉、鍛造存在高溫強震動；焊接、高壓反應、強電輸送、變電站等存在強電磁干擾；室外應用中存在粉塵、高溫、高濕等。該類惡劣因素均會對傳輸設備造成影響。

2.3 網(wǎng)絡實時性問題

工業(yè)生產(chǎn)過程中對生產(chǎn)節(jié)拍要求較高，而傳統(tǒng)工業(yè)控制總線具有實時性優(yōu)勢，而傳統(tǒng)網(wǎng)絡采用SNTP協(xié)議進行網(wǎng)絡時鐘同步，進而實現(xiàn)網(wǎng)絡實時性的要求，但是SNTP協(xié)議其同步收斂時間在幾百毫秒，隨著網(wǎng)絡規(guī)模的擴大與節(jié)點的增多，其同步時間會達到數(shù)秒之久，難以滿足現(xiàn)有工業(yè)應用需求。

2.4 安全性問題

工業(yè)以太網(wǎng)是一種透明開放的網(wǎng)絡，任何終端均可接入，并且由于智能業(yè)務的發(fā)展，分廠間、企業(yè)間、上下游間需要經(jīng)過互聯(lián)網(wǎng)進行信息傳遞，而企業(yè)內(nèi)部由于ERP、MES、PLM等系統(tǒng)需要同時連接內(nèi)外網(wǎng)，一旦任一環(huán)節(jié)感染病毒或被攻擊，那么整個網(wǎng)絡將會被侵入。但是目前市場上的工業(yè)交換機只能實現(xiàn)快速轉(zhuǎn)發(fā)及簡單的黑白名單或簡單的防火墻功能，不能實現(xiàn)危險識別與接入控制，而普遍采用的防火墻與安全服務器則會對企業(yè)的IT維護造成大量的困擾與大量的資源投入。隨著網(wǎng)絡規(guī)模與節(jié)點的增多，遠端的交換機位于企業(yè)底層生產(chǎn)線，往往不是企業(yè)關注的重點，而員工對于網(wǎng)絡安全的認知度相對較低，部分企業(yè)由于管理不善或疏忽，會出現(xiàn)員工手機或U盤等設備插入工控機的情況，會對企業(yè)網(wǎng)絡產(chǎn)生極大的潛在危險。

3 工業(yè)應用場景下安全交換機的關鍵技術

交換機作為網(wǎng)絡的主要設備，新一代工業(yè)交換機既要能適應工業(yè)應用場景，滿足生產(chǎn)企業(yè)的應用條件，又要能實現(xiàn)主動防御、主動報警的安全防護，實現(xiàn)自動防護、主動監(jiān)測，避免因監(jiān)管漏洞或者員工疏忽造成的信息安全事件。

3.1 采用G.8032 ERPS協(xié)議提高網(wǎng)絡穩(wěn)定性

采用國際標準G.8032 ERPS多環(huán)保護協(xié)議，在該協(xié)議下可以支持復雜的多環(huán)拓撲結構，任意兩個交換機端口可以成環(huán)，理論最大冗余保護倒換時間小于50毫秒，經(jīng)特殊算法實測保護時間小于20毫秒，遠優(yōu)于國內(nèi)現(xiàn)有產(chǎn)品。并能夠跟支持該協(xié)議的其他品牌交換機互聯(lián)互通。解決私有協(xié)議及多品牌、多環(huán)網(wǎng)對接的問題。

3.2 工業(yè)級設計解決工業(yè)環(huán)境適應性問題

采用IP40以上設計，針對內(nèi)部PCB與硬件，采用高安全、阻燃、低功耗設計。利用外殼與PCB結構特殊化設計方式，增大散熱面積，取消傳統(tǒng)交換機風扇開孔，避免所造成的粉塵進入、濕氣腐蝕等情況。并且所有硬件均采用工業(yè)級產(chǎn)品，滿足高溫高濕、震動等環(huán)境要求。并且采用單板與特殊工藝處理，將核心、電源、業(yè)務分開，避免各模塊之間電磁干擾及隔離外界電磁干擾。

3.3 基于IEEE 1588提升網(wǎng)絡實時性

該技術需要基于IEEE1588國際標準進行工業(yè)交換機的軟硬件開發(fā)。滿足電力系統(tǒng)和工業(yè)自動化控制系統(tǒng)對高精度時鐘的要求。具體要求如下：

支持IEEE 1588 PTP v2，支持硬件時間戳；

支持IEEE1588邊界時鐘和透明時鐘功能；

透明時鐘功能支持端對端和點對點模式；

時間精度高（<1 μs）；

安全防御與控制技術

3.4 采用安全布防等策略提升安全性

采用安全布防策略，用戶可以在認為適合的時間從中心端安全管理軟件對全網(wǎng)交換機發(fā)布“初始安全狀態(tài)鎖定”命令，所有外場和中心端安全交換機即鎖定當前端口狀態(tài)和配置為初始狀態(tài)，端口狀態(tài)包括是否在線、在線設備MAC地址和IP地址并做與交換機端口的綁定；交換機配置信息也鎖定，防范非法的篡改，保證交換機系統(tǒng)穩(wěn)定和安全；

“布防” 后空置端口一旦有接入設備會馬上讀取接入設備MAC地址并向上報警，同時封閉該端口。只有中心端安全管理軟件有權限重新開啟端口；

“布防”后在線端口一旦有設備連接中斷且重聯(lián)后MAC地址以及IP地址任一不同交換機馬上向上報警并關閉該端口，只有中心端安全管理軟件有權限重新開啟端口。如果MAC和IP地址一致則交換機僅向上發(fā)送中斷掉線告警信息；

采用交換機安全防護策略。交換機配置時，交換機認證、簽名，只有合法證書用戶可修改。

4 工業(yè)應用場景下安全交換機實現(xiàn)的效果

由具有安全防御功能的工業(yè)交換機組成的工業(yè)互聯(lián)網(wǎng)，在使用過程中可形成自主防御體系，實時監(jiān)測信息傳遞過程中可能存在的非法操作如：非法接入、攻擊、信息竊取等，從而綜合管理工業(yè)互聯(lián)網(wǎng)的信息傳遞過程，實現(xiàn)安全、可靠、實時的信息傳遞。其主要解決以下問題：

底層接入安全：對于執(zhí)行層設備及人員進行身份及權限管理，控制接入、信息加密保證底層接入安全；

傳輸過程的安全：信息傳遞過程中，監(jiān)測信息動向即從源端口到目的端口，實現(xiàn)端口監(jiān)聽，如果發(fā)現(xiàn)有非法用戶或設備在目的交換機的端口上，則自動鎖定并關閉信息傳遞端口，防止信息丟失或被竊取；

上層危險防御：對于網(wǎng)絡出口實現(xiàn)入侵防御，當入侵發(fā)生時交換機自身可動態(tài)分析信息與數(shù)據(jù)流，發(fā)現(xiàn)潛在和顯見的攻擊威脅并制定防范策略；

應用環(huán)境安全：超強的環(huán)境適應能力，能完美應對復雜惡劣的使用環(huán)境，針對高溫高濕、電磁干擾、震動沖擊等環(huán)境，可穩(wěn)定運行；

信息傳遞的時效性：<1 μs的時間同步，實現(xiàn)與現(xiàn)場總線同要求的時間要求，滿足工業(yè)控制過程中的精確實效；

鏈路的穩(wěn)定性：以通用標準協(xié)議為基礎，建立局用開放性、兼容性的工業(yè)網(wǎng)絡環(huán)境，為企業(yè)擴容、網(wǎng)絡擴大及多元化應用提供基礎。

5 總結

目前工業(yè)信息安全形勢嚴峻，之前對工業(yè)安全的重視程度不夠，相關的工業(yè)安全產(chǎn)品也相對匱乏，工業(yè)安全產(chǎn)品大多繼承于傳統(tǒng)互聯(lián)網(wǎng)的安全思維，如工業(yè)防火墻、工業(yè)網(wǎng)閘，其技術的根本存在數(shù)據(jù)的延時、阻塞、丟失等問題，與工業(yè)場合對數(shù)據(jù)的穩(wěn)定性、實時性、安全性的高要求有不合之處。為保證工業(yè)數(shù)據(jù)傳輸?shù)母黜椥阅埽ǚ€(wěn)定性、實時性、安全性）要求，達到對工業(yè)數(shù)據(jù)保護的目的，開展3個方面的研究非常具有必要性，即一是借助基于MAC身份識別的端口阻塞控制等關鍵技術，實現(xiàn)出入口及傳輸過程的安全控制，安全MAC統(tǒng)一管理、統(tǒng)一下發(fā)及驗證，并且由安全控制中心集中跟蹤、監(jiān)測及智能分析，實現(xiàn)通信網(wǎng)絡中的關鍵節(jié)點安全；二是采用IEEE 1588 PTP協(xié)議，實現(xiàn)精密時鐘同步功能，解決工業(yè)交換機實時性問題；三是采用G.8032 ERPS以太多環(huán)網(wǎng)保護協(xié)議，解決收斂時間過長等網(wǎng)絡穩(wěn)定性問題。在使用過程中可形成自主防御體系，能實時監(jiān)測信息傳遞過程中可能存在的非法操作，例如：非法接入、攻擊、信息竊取等，從而綜合管理工業(yè)互聯(lián)網(wǎng)的信息傳遞過程，實現(xiàn)安全、可靠、實時的信息傳遞，為工控系統(tǒng)安全提供最基礎的安全保障。

參考文獻：

[1] 李挺. 2017年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[M]. 北京： 中國工信出版集團，人民郵電出版社， 2018.

[2] [美]通用電氣公司（GE）. 工業(yè)互聯(lián)網(wǎng)[M]. 北京： 機械工業(yè)出版社， 2017.

[3] 杜霖. 全面推進工業(yè)互聯(lián)網(wǎng)等融合領域安全工作[J]. 北京：現(xiàn)代電信科技， 2017，12（6）.

【通聯(lián)編輯：張薇】