基于OPC协议的工控网络系统防护浅析

  • 时间:
  • 浏览:1
  • 来源:uu快3手机版ios_uu快3app邀请码_在线官网

三、面临的安全威胁

  传统防火墙部署示意图

1. 传统IT系统防火墙

端口防护工业防火墙相比传统防火墙真是提升了防护能力,但攻击者仍然还前要通过建立的数据通道发送恶意的OPC操作指令,统统仅仅做到动态端口跟踪还无法保证基于OPC协议的工业控制系统的安全。统统对OPC协议的进一步解析,催生了指令级防护工业防火墙,这也是目前市面上主流的工业防火墙。OPC协议的深度图解析要求也加入到了工业防火墙国家标准的草稿中(此标准尚未正式发布)。下图是指令级防护工业防火墙的典型部署:

四、防护方案简介

  指令级防护工业防火墙部署图

上图中传统防火墙安塞进企业管理网和益产控制网的边界进行防护,肯能OPC服务器肯能使用任何可使用的端口来进行真正的数据连接,而具体使用的端口号在响应客户端请求的应答报文中。传统防火墙无法识别出OPC服务器具体使用的端口号,为确保OPC客户端还前要正常连接OPC服务器,防火墙前要配置删剪端口可访问,另好几个 的传统防火墙形同虚设,生产控制网的门口大开,几乎安全暴露在攻击者肩头。

本文转自d1net(转载)

与大多数应用层协议不同,OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接日后 通讯双方还前要协商前要使用的端口。示例图如下:

  端口防护级工业防火墙部署示意图

随着国家网络安全法的颁布和国家“中国制造2025”战略的要求,逐渐打破物理隔离的工业生产网络对安全的需求都也能也能 迫切。对于生产现场有OPC协议的企业来讲,综合自身实力选用适合个人的安全防护产品显得都也能也能 重要。而对OPC协议的解析到指令级还不够,后续还前要深度图解析到OPC协议操作指令所操作的对象不是在安全范围内,对操作对象的值进行安全检测,确保OPC协议发送的每好几个 字节删剪都是可识别、可控制、安全无害的。

上图中,OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接,连接成功后再经过OPC服务器分配新端口1118,并通过接口ISystemActivator的土方法RemoteCreateInstance的应答报文返回给客户端,日后 客户端使用5569作为源端口向服务器的1118端口发起新的连接用来里边的真正数据的传输。

端口防护级工业防火墙同样部署在企业生产网和益产控制网的边界,此时配置策略只前要配置开放OPC服务器的135端口,当OPC客户端与服务器建立连接时,端口防护级防火墙跟踪并解析OPC服务器与OPC客户端协商出来的动态端口,而且自动将动态端口加入到防火墙的开放端口中,从而最小化开放生产控制网的端口,与传统防火墙相比,防护能力有了进一步提升。

除了做到指令防护外,还有更人性化某些的工业防火墙内置只读模板,满足使用OPC协议的大每种业务场景,肯能使用OPC协议的工业控制现场一般本来 用来挂接数据,使用只读模板来防护删剪满足现场安全要求。工业防火墙内置的只读模板一键部署,安全、方便,降低管理员维护成本,有效保障工业控制系统数据不被恶意篡改。

部署在企业管理网和益产控制网边界处的指令级工业防火墙,深度图解析OPC协议到指令级别,不仅还前要跟踪OPC服务器和OPC客户端之间协商的动态端口,最小化开放生产控制网的端口,还对OPC客户端与OPC服务器之间传输的指令请求进行实时检测,对于不符合安全要求的操作指令进行拦截和报警,极大提升了基于OPC协议的工业控制系统的网络安全。

对OPC进行简单解析的工业防火墙还前要跟踪OPC连接建立的动态端口,最小化的开放工业控制网络的端口。如下图:

基于OPC协议的工控网络系统面临各种各样的威胁。在“两网”融合的大背景下,工业控制系统的隔离性被打破,面临来自网络的威胁空前加剧。无用端口的开放、工业软件依赖的操作系统这种所处的安全漏洞、工业协议这种安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。在真正接入到企业管理网、互联网日后 ,基于OPC协议的工业控制系统前要加入相应的安全设备进行防护,也能提高自身网络的安全。肯能OPC协议不同与传统的IT应用层协议,对OPC协议的解析深度图决定了安全产品在工业控制系统安全防护中的真正作用。

3. 指令防护工业防火墙

2. 端口防护工业防火墙

区别与传统防火墙,近年来发展起来的专门用于防护工业控制现场的工业级防火墙基本支持了OPC的深度图解析,但土方法解析深度图的不同,在OPC协议为基础的网络中,工业防火墙的防护能力删剪都是所不同。

肯能在基于OPC协议的工业控制系统中安装传统IT系统防火墙(以下简称:传统防火墙)进行防护,肯能传统防火墙不支持OPC协议的任何解析,为了也能保证OPC业务的正常使用,不得不开放OPC服务器的所有可开放端口,而OPC服务器还前要分配的端口号范围很广-肯能OPC服务器安塞进Windows Server 2008,超过120000个端口号都肯能被使用,早期的Windows版本则超过了420000个端口号。

4. 优缺点比较

一、协议概述

提到OPC协议,我们儿想到最多的本来 OPC Classic 3.0,实际上现在OPC协议有好几个 大类,这种是基于微软COM/DCOM技术的“Classic”,另这种是基于Web service的OPC UA。前者在DCOM协议之上,诞生较早,已广泛应用在各种工业控制系统现场,成为工业自动化领域的事实标准。后者与前者比出生较晚,但在设计时考虑了安全因素,有了加密机制,不过目前应用范围较小。本文主要讨论的是前者在工控系统中的防护。

  五、结论

  OPC动态端口协商过程

微软的DCOM协议是在网络安全什么的问题被广泛认识日后 设计的,而基于DCOM协议的OPC Classic基本都也能也能 增加任何安全相关的形态学 ,几乎所有著名的工业自动化软件(包括HMI软件、先进控制与优化软件、监控平台软件、综合集成软件等)删剪都是基于windows平台开发,都采用或每种采用了OPC技术,统统对使用OPC协议进行通信的工控系统进行防护也变得繁杂和困难。

二、动态端口