工业控制以太网对外的数据安全传输.docVIP

工业控制以太网对外的数据安全传输 　　工业控制以太网作为一种特殊的网络，直接面向生产过程，肩负着工业生产运行一线测量与控制信息传输的特殊任务。但是，越来越频繁的工业控制系统入侵事件，如2010年的伊朗布舍尔核电站、2011年美国伊利诺伊州城市供水系统事件为我们敲响了警钟，黑客攻击正在从开放的互联网向封闭的工控网蔓延。因此，在关系国计民生与国家安全的重大项目，如城市轨道交通行业中，工业控制网络不但要根据业务特点满足强实时性、高可靠性、恶劣现场环境适应性等要求，也要满足信息安全的需求。 　　同时，由于城市轨道交通乘客服务质量要求的提高，系统之前存在的大量数据交换的需求，例如列车控制系统（ATC）需要向乘客信息系统（PIS）和机电设备监控系统（EMCS） 及时发送时刻表信息，那么，如何既保证工业控制网络与其他网络的互相独立，又能实现网络间部分特殊信息的传输交换？ 　　安全传输系统概述 　　这里，我们需要一个类似于防火墙性能的连接件来过滤通信文件，这个连接件称之为安全传输系统。 　　假定工业控制网络有许多部件要与一个或多个公共通信网络连接，为了保护这些与安全控制相关的部件，避免非法入侵，并尽可能使通信基础清晰，因此只计划一个连接点。负责安全控制的工业网络形成“封闭式”局域网，这里称之为WAN#1。与公共网络连接的部件，由于它们自身没有防火墙，成为开放式通信网络，这里称之为WAN#2。两个WAN网络之间我们就用安全传输系统连接。 　　两个WAN网络之间的通信连接均受安全传输系统监控。此系统只让规定的通信文件通过，对每一个连接，规定了通信双方的参数（IP地址，使用的通信端口，通信报文头，通信报文结构）。安全传输系统的过滤功能验证所有想WAN#1传输的通信，所以影响运行控制安全的指令不会从WAN#2流入WAN#1，反方向，对离开WAN#1的通信报文，只验证通信关系。 　　在WAN#2上，数据源可能已被非法侵入，对这种情况，仅仅通过确认发送者的身份不能保证闭路数据的安全，辅加的过滤功能分析通信类型，只有预先规定的通信类型才能通过。传至工业控制网络的与安全相关的指令，通常被堵绝，并把被堵绝的通信记录成出错信息，以备进一步分析。 　　安全传输系统的连接 　　安全传输系统包括两个串联连接的独立设备传输单元，它们之间相互监控。两个安全传输单元独立地检查WAN#1与WAN#2之间的通信。出故障时，即一个传输单元探出其自身或另外一装置出错，则立刻关闭应用及运行系统。利用双通道性能，如果一个传输单元过滤失败，两个独立的WAN可保持分开，这样传输单元就不会传输未经过滤的文件。 　　安全传输系统与WAN#1、WAN#2的连接只采用TCP/IP协议。由于安全传输系统是串联连接的，二个传输单元之间内部连接会发生协议交换，即不用TCP/IP作为传输协议。因此，即使核心部分出错，也不可能在两个系统间交换报文，因为TCP/IP协议在传输单元内部连接中不起作用。 　　另外，向WAN#1传输的已过滤的报文在传输之间会被编码，这样接受方的传输单元利用编码就可确定该文件是否是通过WAN#2方的传输装置发送过来的（参见图1，采用了RC4作为编码程序）。 　　关键技术研究 　　地址映射 　　安全传输系统的地址映射功能使得只有WAN#2中已授权的计算机才能进入WAN#1区域中的指定的计算机。地址是由计算机地址和端口地址构成的，端口地址表示该计算机的需要通过安全传输系统的应用程序的地址。 　　地址： 计算机地址+端口地址 　　地址映射是根据一张地址表执行的。如WAN#2需要WAN#1中某个机器的应用程序，则需要通过适当的地址映射过程（即IP转换、多以态网地址），将WAN#1中这个指定计算机的应用到映射WAN#2的安全传输系统接口上，这样，看起来它们好像在同一个网络区域。WAN#1中其他无关的计算机没有映射关系，就不能访问它们。所有计算机的应用都是通过被映射计算机地址（例如，通过IP端口）被映射的。 　　地址映射也把WAN#2上相应的应用程序端口上的报文送到WAN#1中的计算机地址及应用端口。 　　过滤 　　过滤程序接收报文后，为所有支持的应用程序进行内容的过滤。过滤功能只对向受保护的WAN#1网络发送的报文进行过滤，反向传输的报文（即从WAN#2到WAN#1）不过滤。 　　报文是由报头及报文数据组成。报头包括指定应用程序的基本身份证明以及描述报文结构的报文类型。安全传输系统不支持没有报头的通信文件，因为没有文头，就不可能进行识别及对协议的验证。 　　过滤是采用正/负列表来执行。正项列表包含所有的基本过程身份证明以及为过滤程序接受的报文类型，这保证了只有可以识别的报文才能通过过滤器。所以也叫“wildcards”。即：因为大部分报文仅用几