安全RTU的研究與應用

卓 明

（北京安控科技股份有限公司，北京 100095）

0 引言

從2010 年伊朗核電站遭到Stuxnet（震網病毒）的侵襲，到2015 年12 月烏克蘭電力部門受到Black Energy 的攻擊，再到2019 年3 月委內瑞拉電力網絡遭到DDOS 風暴襲擊而造成的大面積停電事件，說明解決工業控制系統的網絡安全問題已經到了刻不容緩的地步。隨著工業控制系統與“IT”網絡應用技術不斷地融合，工業控制系統分布式控制模式對網絡的依賴性越來越大，特別是系統所采用的網絡產品和網絡協議基本上都是開放的，尤其是靈活方便的無線網絡拓展，公共網絡不可避免地會被引入到工業控制系統當中。因此，工控系統的網絡很容易遭受攻擊，網絡安全問題將是一個必然會發生的事情，只是時間的問題，發生在近10 年里的網絡安全事件就是一個印證。正因如此，安控科技作為國內RTU 領軍企業，從2012 年開始就圍繞著“安全”兩字，以SCADA 控制系統的末端RTU為核心入手，從不同方向對安全RTU 進行了研究和應用。

圖1 控制系統的應用架構Fig.1 Application architecture of the control system

1 什么是安全RTU

“安全RTU”，就是無論網絡出現意外事件，或是網絡遭到蓄意的攻擊破壞，RTU 都能夠保證自身的安全（Safety）運行。其實就是把多種“安全”方法融合，實現一個具有具體保障措施的集合，通常是利用嵌入式硬件和軟件的設計組合手段，通過協議分析、數據流信息處理入手，目的使RTU 在工業控制系統的實際應用中，面對開放的網絡架構，能夠抵御各種已知的和未知的攻擊和侵襲，使其自身具有免疫能力，從而保證系統能夠安全地運行。

工業控制系統的大部分網絡架構組成采用分層設計架構，系統由下及上分為感知層、傳輸層和應用層。感知層為現場設備，包括傳感器、執行器以及智能控制器的集合，安全RTU 就是處于末端的智能控制器，用于完成前端生產運行設備的采集與控制，是系統核心部分；傳輸層為與上位監控系統之間的通訊，通常由移動網絡、廣域網、局域網、無線網絡等組成，是網絡入侵的主要途徑；應用層是各類數據的行業應用，主要完成數據監控與展示，包括物聯網監控平臺、智能終端應用、WEB 應用等，是網絡攻擊的入口之一。

本文分別從網絡安全和信息安全兩方面對RTU 進行研究探索和應用。

2 網絡安全

所謂網絡安全，簡而言之，就是要保證主機和RTU 末端之間的網絡暢通，讓正常、合法的數據包能夠及時響應，而把其他無關的垃圾數據包能夠及時拋棄，盡可能抵御利用TCP/IP 標準協議的合法性而構建的各種漏洞所進行的攻擊。

圖2 雙CPU的設計Fig.2 Design of dual CPU

檢驗工控設備對網絡響應的健碩性、安全性、可靠性，目前當屬Achilles 認證（Achilles Certification）。它是國際知名的工控網絡安全認證之一，獲得了世界范圍內的眾多工控設備廠商、工業企業、標準組織的支持和認可，已經成為實際上的行業標準。Achilles 認證，基于一系列嚴格的測試標準和規范，針對工控網絡涉及的嵌入式設備、主機、應用系統等進行測試和認證。

認證分為level 1 和level 2，主要是對ETHERNET、TCP、IP、ICMP、ARP 的單包、組包、廣播包、語法、應答、錯幀等方面多達50 多項的測試。針對這些測試，分別通過軟件的手段增強抵御，以及提高硬件的性能來提升網絡響應。

因此，對于安全RTU 的設計，從基本的軟、硬件著手，主要手段是利用雙CPU，把通訊和應用的功能隔離分開，各負其職。其中，1 個CPU 專門處理網絡通訊，并使其具有防火墻的功能，加入白名單及身份認證等機制，只允許符合各種認證后的信息，才能轉發給第2 個CPU，起到數據過濾作用；第2 個CPU 處理RTU 實際控制器的功能，完成IO 輸入、輸出，數據存儲及用戶應用程序的運行。

經過研究和實踐，采用雙CPU 設計的RTU 成功通過了Achilles 的二級認證，達到網絡安全的目的。

3 信息安全

信息安全[1]是指保護信息系統（網絡）中的硬件、軟件及其數據免遭惡意的攻擊而導致的系統毀壞、配置更改和信息泄露，保證系統可靠正常地運行和業務服務的連續性。

實際中研究的信息安全，參考北京大學王立福教授的觀點。信息安全就是信息保護，保護信息的機密性、可用性和完整性[2]。因為IT 領域開放的IP 網絡協議，實際上是一個通用協議，IP 報文可以通過多種不同物理介質實現報文傳輸，實現了不同應用間的互聯互通[3]。因此，在網絡安全設計中只是做到了正常IP 數據包的及時到達，而沒有對報文中承載的數據合法性進行甄別，在標準的OSI 七層網絡模型中，各類工業控制系統的協議就分布在這“七層”架構中，如Modbus TCP/IP 協議，基于IP 網絡傳輸的Modbus 協議是一個非常普遍使用的通訊協議，也是一個非常透明、容易理解的數據協議，很容易被截獲或者被篡改。

圖3 加解密硬件設計Fig.3 Encryption and decryption hardware design

因此，為了保護信息不被截取、篡改，嘗試對某些關鍵通訊數據包進行加解密處理，結合密鑰認證管理機制，密文傳輸，明文處理，保證了端到端的數據流向。

通過內置基于國產安全芯片的密碼模塊，使用SM4 對稱算法和SM2 非對稱算法，面向PKI 應用的芯片操作系統，提供具備高強度密鑰和高性能密碼運算能力，可實現SM2算法的簽名和驗簽命令。并利用文件系統多層目錄文件結構設計，對目錄文件和數據進行管理和操作。

在實際應用中，以網絡通訊為主要接口的信息安全防御，對以太網接口通訊部分的數據流或協議做加解密處理。

RTU 的網絡通訊大部分以服務端為工作狀態，由上位機或服務器客戶端與它通訊，通過非對稱算法，進行密鑰管理，利用對稱算法進行正常數據的交互。

圖4 加解密數據流向Fig.4 Encryption and decryption data flow

對于安全等級較高的應用場合，會話建立在身份認證機制下，會話過程中提供加密機制保證會話不被竊聽，在會話目的達到后及時關閉會話，在會話超時時提供會話超時響應功能，即可以實現會話的一次一密。在標準協議傳輸過程中，大多以主從輪尋方式進行傳輸，每一次的信息交互可使用不同的密鑰。

4 結語

工業控制系統的網絡和信息安全的戰役已經打響，安全RTU就是工業控制系統中迎接這場戰役最新的有力武器，是工業安全控制系統發展方向的一個新思路、新方法、新產品。從傳統的被動防御到主動防御，使RTU 具有網絡安全和信息安全的雙重保護，必將會給安全RTU 加上新的標簽。對于一些國家重點的能源行業領域，如石油、天然氣、管道、電力、石化等相關的工業控制系統安全領域的產品推廣，具有積極的意義。