安全RTU的研究與應用

卓 明

（北京安控科技股份有限公司，北京 100095）

0 引言

從2010 年伊朗核電站遭到Stuxnet（震網(wǎng)病毒）的侵襲，到2015 年12 月烏克蘭電力部門受到Black Energy 的攻擊，再到2019 年3 月委內(nèi)瑞拉電力網(wǎng)絡遭到DDOS 風暴襲擊而造成的大面積停電事件，說明解決工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題已經(jīng)到了刻不容緩的地步。隨著工業(yè)控制系統(tǒng)與“IT”網(wǎng)絡應用技術不斷地融合，工業(yè)控制系統(tǒng)分布式控制模式對網(wǎng)絡的依賴性越來越大，特別是系統(tǒng)所采用的網(wǎng)絡產(chǎn)品和網(wǎng)絡協(xié)議基本上都是開放的，尤其是靈活方便的無線網(wǎng)絡拓展，公共網(wǎng)絡不可避免地會被引入到工業(yè)控制系統(tǒng)當中。因此，工控系統(tǒng)的網(wǎng)絡很容易遭受攻擊，網(wǎng)絡安全問題將是一個必然會發(fā)生的事情，只是時間的問題，發(fā)生在近10 年里的網(wǎng)絡安全事件就是一個印證。正因如此，安控科技作為國內(nèi)RTU 領軍企業(yè)，從2012 年開始就圍繞著“安全”兩字，以SCADA 控制系統(tǒng)的末端RTU為核心入手，從不同方向?qū)Π踩玆TU 進行了研究和應用。

圖1 控制系統(tǒng)的應用架構Fig.1 Application architecture of the control system

1 什么是安全RTU

“安全RTU”，就是無論網(wǎng)絡出現(xiàn)意外事件，或是網(wǎng)絡遭到蓄意的攻擊破壞，RTU 都能夠保證自身的安全（Safety）運行。其實就是把多種“安全”方法融合，實現(xiàn)一個具有具體保障措施的集合，通常是利用嵌入式硬件和軟件的設計組合手段，通過協(xié)議分析、數(shù)據(jù)流信息處理入手，目的使RTU 在工業(yè)控制系統(tǒng)的實際應用中，面對開放的網(wǎng)絡架構，能夠抵御各種已知的和未知的攻擊和侵襲，使其自身具有免疫能力，從而保證系統(tǒng)能夠安全地運行。

工業(yè)控制系統(tǒng)的大部分網(wǎng)絡架構組成采用分層設計架構，系統(tǒng)由下及上分為感知層、傳輸層和應用層。感知層為現(xiàn)場設備，包括傳感器、執(zhí)行器以及智能控制器的集合，安全RTU 就是處于末端的智能控制器，用于完成前端生產(chǎn)運行設備的采集與控制，是系統(tǒng)核心部分；傳輸層為與上位監(jiān)控系統(tǒng)之間的通訊，通常由移動網(wǎng)絡、廣域網(wǎng)、局域網(wǎng)、無線網(wǎng)絡等組成，是網(wǎng)絡入侵的主要途徑；應用層是各類數(shù)據(jù)的行業(yè)應用，主要完成數(shù)據(jù)監(jiān)控與展示，包括物聯(lián)網(wǎng)監(jiān)控平臺、智能終端應用、WEB 應用等，是網(wǎng)絡攻擊的入口之一。

本文分別從網(wǎng)絡安全和信息安全兩方面對RTU 進行研究探索和應用。

2 網(wǎng)絡安全

所謂網(wǎng)絡安全，簡而言之，就是要保證主機和RTU 末端之間的網(wǎng)絡暢通，讓正常、合法的數(shù)據(jù)包能夠及時響應，而把其他無關的垃圾數(shù)據(jù)包能夠及時拋棄，盡可能抵御利用TCP/IP 標準協(xié)議的合法性而構建的各種漏洞所進行的攻擊。

圖2 雙CPU的設計Fig.2 Design of dual CPU

檢驗工控設備對網(wǎng)絡響應的健碩性、安全性、可靠性，目前當屬Achilles 認證（Achilles Certification）。它是國際知名的工控網(wǎng)絡安全認證之一，獲得了世界范圍內(nèi)的眾多工控設備廠商、工業(yè)企業(yè)、標準組織的支持和認可，已經(jīng)成為實際上的行業(yè)標準。Achilles 認證，基于一系列嚴格的測試標準和規(guī)范，針對工控網(wǎng)絡涉及的嵌入式設備、主機、應用系統(tǒng)等進行測試和認證。

認證分為level 1 和level 2，主要是對ETHERNET、TCP、IP、ICMP、ARP 的單包、組包、廣播包、語法、應答、錯幀等方面多達50 多項的測試。針對這些測試，分別通過軟件的手段增強抵御，以及提高硬件的性能來提升網(wǎng)絡響應。

因此，對于安全RTU 的設計，從基本的軟、硬件著手，主要手段是利用雙CPU，把通訊和應用的功能隔離分開，各負其職。其中，1 個CPU 專門處理網(wǎng)絡通訊，并使其具有防火墻的功能，加入白名單及身份認證等機制，只允許符合各種認證后的信息，才能轉發(fā)給第2 個CPU，起到數(shù)據(jù)過濾作用；第2 個CPU 處理RTU 實際控制器的功能，完成IO 輸入、輸出，數(shù)據(jù)存儲及用戶應用程序的運行。

經(jīng)過研究和實踐，采用雙CPU 設計的RTU 成功通過了Achilles 的二級認證，達到網(wǎng)絡安全的目的。

3 信息安全

信息安全[1]是指保護信息系統(tǒng)（網(wǎng)絡）中的硬件、軟件及其數(shù)據(jù)免遭惡意的攻擊而導致的系統(tǒng)毀壞、配置更改和信息泄露，保證系統(tǒng)可靠正常地運行和業(yè)務服務的連續(xù)性。

實際中研究的信息安全，參考北京大學王立福教授的觀點。信息安全就是信息保護，保護信息的機密性、可用性和完整性[2]。因為IT 領域開放的IP 網(wǎng)絡協(xié)議，實際上是一個通用協(xié)議，IP 報文可以通過多種不同物理介質(zhì)實現(xiàn)報文傳輸，實現(xiàn)了不同應用間的互聯(lián)互通[3]。因此，在網(wǎng)絡安全設計中只是做到了正常IP 數(shù)據(jù)包的及時到達，而沒有對報文中承載的數(shù)據(jù)合法性進行甄別，在標準的OSI 七層網(wǎng)絡模型中，各類工業(yè)控制系統(tǒng)的協(xié)議就分布在這“七層”架構中，如Modbus TCP/IP 協(xié)議，基于IP 網(wǎng)絡傳輸?shù)腗odbus 協(xié)議是一個非常普遍使用的通訊協(xié)議，也是一個非常透明、容易理解的數(shù)據(jù)協(xié)議，很容易被截獲或者被篡改。

圖3 加解密硬件設計Fig.3 Encryption and decryption hardware design

因此，為了保護信息不被截取、篡改，嘗試對某些關鍵通訊數(shù)據(jù)包進行加解密處理，結合密鑰認證管理機制，密文傳輸，明文處理，保證了端到端的數(shù)據(jù)流向。

通過內(nèi)置基于國產(chǎn)安全芯片的密碼模塊，使用SM4 對稱算法和SM2 非對稱算法，面向PKI 應用的芯片操作系統(tǒng)，提供具備高強度密鑰和高性能密碼運算能力，可實現(xiàn)SM2算法的簽名和驗簽命令。并利用文件系統(tǒng)多層目錄文件結構設計，對目錄文件和數(shù)據(jù)進行管理和操作。

在實際應用中，以網(wǎng)絡通訊為主要接口的信息安全防御，對以太網(wǎng)接口通訊部分的數(shù)據(jù)流或協(xié)議做加解密處理。

RTU 的網(wǎng)絡通訊大部分以服務端為工作狀態(tài)，由上位機或服務器客戶端與它通訊，通過非對稱算法，進行密鑰管理，利用對稱算法進行正常數(shù)據(jù)的交互。

圖4 加解密數(shù)據(jù)流向Fig.4 Encryption and decryption data flow

對于安全等級較高的應用場合，會話建立在身份認證機制下，會話過程中提供加密機制保證會話不被竊聽，在會話目的達到后及時關閉會話，在會話超時時提供會話超時響應功能，即可以實現(xiàn)會話的一次一密。在標準協(xié)議傳輸過程中，大多以主從輪尋方式進行傳輸，每一次的信息交互可使用不同的密鑰。

4 結語

工業(yè)控制系統(tǒng)的網(wǎng)絡和信息安全的戰(zhàn)役已經(jīng)打響，安全RTU就是工業(yè)控制系統(tǒng)中迎接這場戰(zhàn)役最新的有力武器，是工業(yè)安全控制系統(tǒng)發(fā)展方向的一個新思路、新方法、新產(chǎn)品。從傳統(tǒng)的被動防御到主動防御，使RTU 具有網(wǎng)絡安全和信息安全的雙重保護，必將會給安全RTU 加上新的標簽。對于一些國家重點的能源行業(yè)領域，如石油、天然氣、管道、電力、石化等相關的工業(yè)控制系統(tǒng)安全領域的產(chǎn)品推廣，具有積極的意義。