安全數(shù)據(jù)隔離方案

背景

隨著IT技術(shù)的發(fā)展，工業(yè)上通過現(xiàn)場總線、串行通行、網(wǎng)絡(luò)等方式的自動化系統(tǒng)越來越普遍，信息化水平越來越高。伴隨而來的，面臨的安全威脅也越來越嚴(yán)重。在沒有安全防護(hù)的系統(tǒng)上，黑客或別有用心的人，能夠輕易的進(jìn)入自動化系統(tǒng)，對整個生產(chǎn)系統(tǒng)進(jìn)行破壞。作為基于IP的以太網(wǎng)，隨著幾十年通信網(wǎng)絡(luò)的發(fā)展，已經(jīng)發(fā)展了豐富的軟硬件防火墻系統(tǒng)，基本能夠保證網(wǎng)絡(luò)的安全，所以自動化系統(tǒng)的IP通信網(wǎng)絡(luò)系統(tǒng)，能夠在這樣的基礎(chǔ)上，通過傳統(tǒng)或改良的防火墻系統(tǒng)，對自動化系統(tǒng)起到一定的防護(hù)作用，但要達(dá)到安全的防護(hù)效果，還需要進(jìn)行應(yīng)用層的安全數(shù)據(jù)隔離。

但對于串行通信、現(xiàn)場總線，目前國際上都還沒有對應(yīng)的安全防護(hù)措施。當(dāng)自動化系統(tǒng)的IP網(wǎng)絡(luò)一旦被黑客進(jìn)入，與之相連的串行通信系統(tǒng)、總線系統(tǒng)均暴露在黑客面前，任由黑客攻擊。特別在下述的情況下，這種安全問題優(yōu)為嚴(yán)重：當(dāng)兩個大型區(qū)域自動化系統(tǒng)通過串行接口進(jìn)行通信時，如果其中一個自動化系統(tǒng)由于安全防護(hù)弱的原因，被黑客或其內(nèi)部人員無授權(quán)的進(jìn)入，另外相連的自動化系統(tǒng)可能就面臨非常大的安全問題。

基于這種考慮，我們設(shè)計了一種安全數(shù)據(jù)隔離網(wǎng)關(guān)，對兩邊的串口、網(wǎng)絡(luò)口進(jìn)行數(shù)據(jù)安全過濾隔離，只允許通過事先定義好的數(shù)據(jù)和協(xié)議指令，實現(xiàn)對兩邊自動化系統(tǒng)的安全隔離。

安全數(shù)據(jù)隔離網(wǎng)關(guān)

該網(wǎng)關(guān)由兩個帶冗余硬件的模塊成對構(gòu)成。每個模塊均有兩個CPU構(gòu)成冗余模式，保證模塊的高可用性，見下圖。

?

模塊對串口/網(wǎng)口過來的數(shù)據(jù)，根據(jù)其通信協(xié)議，對數(shù)據(jù)進(jìn)行過濾，對符合通信協(xié)議和設(shè)定地址的數(shù)據(jù)放入內(nèi)部實時數(shù)據(jù)庫中，并影射到數(shù)據(jù)同步區(qū)中，同步到另外一個模塊的同步區(qū)中，該同步區(qū)數(shù)據(jù)將自動影射到模塊的數(shù)據(jù)發(fā)送區(qū)，通過選定的通信協(xié)議，把數(shù)據(jù)發(fā)送出去。對于不符合通信協(xié)議，或者是非設(shè)定地址的數(shù)據(jù)，模塊在接收端即直接丟棄，這樣就保證了通信的絕對安全。見下圖示意：

?

?

從上圖可以看到，安全網(wǎng)關(guān)通過協(xié)議過濾、數(shù)據(jù)過濾、數(shù)據(jù)同步這三個安全隔離防護(hù)措施，完全阻隔了非法數(shù)據(jù)的通過和非法的入侵。無論從安全網(wǎng)關(guān)的哪一側(cè)開始入侵，入侵均被阻隔在第一個模塊處，而無法進(jìn)入第二個模塊，這就保證了第二個模塊后面的自動化系統(tǒng)安全。

典型應(yīng)用方案

?

通過串口安全網(wǎng)關(guān)，對互相通信的兩個PLC/RTU/DCS系統(tǒng)進(jìn)行隔離，每個PLC/RTU/DCS只能看到安全網(wǎng)關(guān)的其中一個模塊，另外一個模塊是安全隔離的，由此實現(xiàn)對安全網(wǎng)關(guān)后面系統(tǒng)的隱藏。該網(wǎng)關(guān)通過對通信的安全過濾，實現(xiàn)兩個PLC/RTU/DCS系統(tǒng)的安全可靠通信，有效防止非法入侵與訪問。