【专家博客】保护工业协议安全是可以实现的

• 关键词：工业协议安全,SCADA,BACnet,多芬诺工业安全解决方案

       最近在SCADASEC news上有条关于用防火墙保护BACnet网络安全所面临的挑战的主题帖。如果你只是在工业自动化领域工作，你可能没听说过这个协议，但是它在楼宇自动化方面非常重要。不论如何，围绕BACnet的讨论适用于许多工业协议。

       发帖人提出的问题是能否通过防火墙来管控BACnet通讯。难点在于如同许多其他自动化协议一样，通常的IT规则对于BACnet不起作用。BACnet根本不使用TCP/IP协议，因而采用寻找TCP端口号的常规IT防火墙来保护BACnet通讯注定是要失败的。

BACnet用于楼宇自动化系统，是一种非TCP/IP的协议，无法采用常规IT防火墙进行防护。
图片来源：施耐德电子

       此外，有人提出如果一个安全设备可以保障BACnet安全，那它一定会很复杂，使得工业工程师无法管理。而且，如果你让IT“安全专家”参与其中，可靠性就无法得到保证。所以SCADASEC的参与者们提出一个问题“非TCP/IP协议的工业网络能否得到切实的安全保障？”

       在SCADASEC讨论中的几个人彼此独立地提出多芬诺工业安全解决方案能够保障BACnet安全，并且易于操作。很高兴读到我们的产品可以用在我们还没有尝试过的方面。例如：

SCADASEC上关于保障BACnet安全的帖子显示多芬诺防火墙可以很好地完成了这项工作。
这则帖子已被许可在此引用   

       这就引出了一个有趣的问题。该领域的工程师们为何会知道多芬诺防火墙可以保障我们不了解的协议的安全？答案就是如果你设计了一款产品，既符合特定环境需求又能灵活变通，用户就会发现各种连设计者都未预料到的独特方式来运用该产品。

       一个工业网络安全解决方案要想在工厂（或楼宇）领域真正有效，必须满足：
       1.能够可靠地保障现实环境中（而非理想情况下）的工业协议安全
       2.易于控制技术人员组态，扩展性强，可用于处理异常状况

1. 专为现实环境中的工业网络而设计
       为了保护生产流程，工业防火墙需要内置智能模块来更好地理解一些异常协议。工业协议出现于二十世纪70年代，用于从PLC、DCS或其他设备收集数据以协助监控工业流程并使其更高效。设计之初并未考虑安全因素。设计者们关注于让系统运行的“足够好”，从而安全地生产产品。

       仔细审视，结果并不总是那么完美。这些工业协议并非严格遵守规范。

       BACnet和GOOSE等工业协议移除了额外的部分如TCP/IP层。并且几乎所有的工业协议都取消了鲁棒认证。毕竟，有谁会想要攻击控制系统呢？

       如今二十年过去了，事情已经有所改变。工业网络开始向外扩展，不再是单一的网络。而且（不幸的是）确实有人想要攻击控制系统并引发麻烦。然而设备和工业协议却没有发生变化。Modbus基本上还是它70年代被制定时的样子。BACnet也几乎与它1989年时一样。

       这意味着任何工业安全系统要具备灵活性，以适用于一些异常网络。BACnet就是一个完美的例子。

2. 控制器工程师能组态
       工业安全需要简易才能切实有效。一些IT防火墙所要求的高度复杂和繁琐的组态并不适用于由工程师、技术人员及维修人员等员工操作的设施。

       使用带有图形界面、术语和模型的产品，控制专家能够用自己熟悉的术语和概念来创建通讯规则。例如，大多数使用Rockwell控制产品的工程师们并不了解网络中流通的CIP对象和服务，系统也能正常工作。

       他们甚至不知道PLC和HMI通讯所使用的TCP和UDP端口号。但是他们清楚他们需要从PLC到HMI的EhterNet/IP消息，这样他们就能读取一组模拟值。

       因而结论是使防火墙的组态设置便于工程师的理解，而非协议的创造者。把软件中的“TCP Port 44818”替换为“EtherNet/IP (CIP) Explicit Msg”。将“CIP Object Class ID 0x28”替换为“Motor Data Object”。并且将大量不同的ODVA服务替换为“Read data”。

控制工程师可以轻松配置多芬诺防火墙的组态规则来保障工业协议安全

       但是即便采用最容易理解的画面和向导，错误也在所难免。工程师们可以很安全地在“测试模式”下对所创建的防火墙规则进行测试。这就确保了防火墙规则的正确性，从而不会有任何意外阻断对工厂操作至关重要的通信的风险。

       多芬诺防火墙软插件预定义超过25种常用工业控制器模型，带有规则定义，可以保护存在已知漏洞的设备。

       除了预定义模型外，多芬诺防火墙还可以使用特殊规则来进行扩展，从而能制定规则并将其用于像BACnet这样的“不寻常”协议。

保护工业协议安全是可以实现的
       我希望这篇文章能够让大家了解到如今的工业安全技术是如何切实地保障生产网络安全的。如果你想要自己阅读SCADASEC信息，可以注册加入其邮件发送列表，然后到文档列表中搜索关于BACnet的内容。

本篇文章由Heather MacKenzie和 Eric Byres联合提供。