随着物联网技术的不断发展以及生产运营精细化管理的需要,信息网络与控制网络的互联互通已是大势所趋,但是网络安全问题也随之而来。本文介绍了一种基于物联网的智能网闸设备,详细阐述了智能网闸的原理、架构、技术特点。该设备不但具备智能网关的功能,而且具备网络物理隔离的功能,在物联网领域中得到了广泛的应用。
1 引言
工业物联网依托自动化、信息化和业务智能化技术,它的建立使经营管理层与车间执行层实现了双向信息流交互,消除了信息孤岛与断层现象[1]。但信息网络与控制网络实现互联时,如何保证过程控制网络的安全就成了一个严峻的问题。特别是对于石油、电力、钢铁等行业,对连续生产的安全性和可靠性有着极高的要求。控制网络一旦受到了恶意攻击,感染了病毒、蠕虫,很可能导致整个控制网络瘫痪。因此,在网络互联的同时必须采取有效的手段保护控制网络,防止来自外网的各种威胁。
传统的方式是选择网络防火墙等设备来解决网络安全问题。网络防火墙虽然具有较强的抗攻击能力,但它是提供信息安全服务、实现网络和信息安全的一种基础设施,用于满足各种通用的网络应用。防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法,不能满足工业网络较高的防护要求[2]。
2 智能网闸的原理
智能网闸是专为工业网络应用设计的安全设备,用于解决工业控制系统的数据如何快捷、安全传输到信息网络的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的强制阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开。智能网闸可以实现在物理层、链路层和应用层不同级别的隔离。根据不同的网络隔离,即保证数据传输的效率,也保证足够的安全等级。物理层隔离是通过专门电路,在物理层实现电信号的单向传输,确保被保护一方的绝对安全。
3 智能网闸的架构
3.1 智能网闸的硬件架构
如图1所示,智能网闸内部两端由两个独立主机系统组成,每个主机系统分别具有独立
图1 智能网闸的硬件架构图
的运算单元和存储单元,各自运行独立的操作系统和核心程序。连接保护网络的一端为控制端,负责接入到SCADA控制网络;另一端为信息端,负责接入到信息网络。
每端主机的硬件均采用高性能嵌入式计算机芯片,底板上各有多个以太网接口用来连接要隔离的两个网络。每侧主机的总线上各安装一块专用隔离通信卡实现双机之间的数据传输,数据流向为内网数据单向流向外网。设计了专门的硬件看门狗时刻监视系统状态,保证装置的稳定、可靠运行。
3.2 智能网闸的软件架构
如图2所示,智能网闸的控制端与信息端主机分别运行嵌入式高性能工业通信软件。智能网闸隔离设备中运行独立的通讯数采软件,控制端提供基本的设备数据采集,如主流PLC、智能仪表、智能设备、各种标准协议(如Modbus,DNP,IEC-104,Bacnet,OPCClient),实现对各种设备数据的接入。
信息端主机提供数据服务,支持以标准协议将数据转发给第三方系统或各种数据库。并且具有一系列高附加值的功能模块,如报警服务,存储系统,断线缓存,脚本引擎,触发器等。
图1 智能网闸的软件架构图
4 技术特点
4.1微内核技术
智能网闸采用ARM+Linux/RT-Thread平台,内核中除了与工业标准通信的服务与端口外,裁剪掉了其它所有无关的网络服务、系统功能,屏蔽了无关端口,进一步提高了系统安全性和抗攻击能力,免于黑客对操作系统的攻击,并有效抵御Dos/DDos 攻击。
4.2 网络隔离技术
智能网闸采用截断TCP连接的方法,彻底割断穿透性的TCP连接。智能网闸的控制端与信息端主机之间采用专有的网络隔离传输技术。物理层采用专用隔离硬件,链路层和应用层采用私有通信协议,数据流采用128 位以上加密方式传输,更加充分保障数据安全。
通过物理隔离与专有隔离传输技术,实现了数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保控制端不会受到攻击、侵入。
4.3 数据点访问控制
智能网闸实现了对工业现场通信协议的解析,可以实现工业控制系统具体测点的安全控制,更可以实现现场设备具体寄存器地址的安全控制。
4.4 单向控制
数据的流向完全是由控制端单向传输到信息端,这种限制保障了控制端的数据可及时、完整的传到信息网,又可完全杜绝外网的错误数据、恶意数据、病毒等传向控制端。
4.5 可靠性技术
智能网闸采用基于RISK架构,采用低功耗、无飞线、无风扇设计,具备断电保护、链路冗余、多层看门狗(硬件看门狗+软件看门狗)等功能,最大限度的提高了可靠性,是一种真正的工业级设备,
4.6 平台开放技术
智能网闸是一个完全开放的平台,任何开发者都可使用智能网闸提供的开放接口来开发相关的应用,如采集驱动,数据应用等,支持C/C++、WebService等多种开发形式。开发者可通过这些接口快速方便的访问智能网闸中的任何信息,并可扩展智能网闸的功能。
5 结语
智能网闸设备具备安全性高、稳定性好、适用性广等特点,该设备可以较好的解决企业内外网之间的数据安全传输问题。随着物联网理念的逐步深入,智能网闸设备在SCADA控制网络接入企业信息网,企业各个子系统之间的数据通讯等领域的应用将会更加广泛。
作者:颜晶 来源:中国科技纵横 2016年10期