摘要：Modbus TCP通訊安全解決方案資訊由優(yōu)秀的流量計(jì)、流量?jī)x生產(chǎn)報(bào)價(jià)廠家為您提供。Modbus是由Modicon在1979年發(fā)明的，是全球*個(gè)真正用于工業(yè)現(xiàn)場(chǎng)的總線協(xié)議。在我國(guó)，Modbus已經(jīng)成為國(guó)家標(biāo)準(zhǔn)GB/T19582-2008。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語(yǔ)言。通過(guò)此協(xié)議，控。更多的流量計(jì)廠家選型號(hào)價(jià)格報(bào)價(jià)歡迎您來(lái)電咨詢，下面是Modbus TCP通訊安全解決方案文章詳情。

Modbus是由Modicon在1979年發(fā)明的，是全球*個(gè)真正用于工業(yè)現(xiàn)場(chǎng)的總線協(xié)議。在我國(guó)，Modbus已經(jīng)成為國(guó)家標(biāo)準(zhǔn)GB/T19582-2008。Modbus協(xié)議是應(yīng)用于電子控制器上的一種通用語(yǔ)言。通過(guò)此協(xié)議，控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)（例如以太網(wǎng)）和其它設(shè)備之間可以通信。它已經(jīng)成為一通用工業(yè)標(biāo)準(zhǔn)。

1、概述

SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對(duì)工業(yè)生產(chǎn)運(yùn)行和國(guó)家經(jīng)濟(jì)安全造成重大隱患。工信部協(xié)[2011]451號(hào)通知明確指出，我國(guó)工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問(wèn)題，主要是對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)轉(zhuǎn)。對(duì)此，各地區(qū)、各部門(mén)、各單位務(wù)必高度重視，增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)和緊迫感，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。

使用Modbus協(xié)議，不同廠商生產(chǎn)的控制設(shè)備可以連成工業(yè)網(wǎng)絡(luò),進(jìn)行集中監(jiān)控。此協(xié)議定義了一個(gè)控制器能認(rèn)識(shí)使用的消息結(jié)構(gòu)，而不管它們是經(jīng)過(guò)何種網(wǎng)絡(luò)進(jìn)行通信的。它描述了一控制器請(qǐng)求訪問(wèn)其它設(shè)備的過(guò)程,如何回應(yīng)來(lái)自其它設(shè)備的請(qǐng)求，以及怎樣偵測(cè)錯(cuò)誤并記錄。它制定了消息域格局和內(nèi)容的公共格式。

當(dāng)在一Modbus網(wǎng)絡(luò)上通信時(shí)，此協(xié)議決定了每個(gè)控制器須要知道它們的設(shè)備地址，識(shí)別按地址發(fā)來(lái)的消息，決定要產(chǎn)生何種行動(dòng)。如果需要回應(yīng)，控制器將生成反饋信息并用Modbus協(xié)議發(fā)出。在其它網(wǎng)絡(luò)上,包含了Modbus協(xié)議的消息轉(zhuǎn)換為在此網(wǎng)絡(luò)上使用的幀或包結(jié)構(gòu)。這種轉(zhuǎn)換也擴(kuò)展了根據(jù)具體的網(wǎng)絡(luò)解決節(jié)地址、路由路徑及錯(cuò)誤檢測(cè)的方法。Modbus具有以下幾個(gè)特點(diǎn)：

●標(biāo)準(zhǔn)、開(kāi)放，用戶可以免費(fèi)、放心地使用Modbus協(xié)議。目前，支持Modbus的廠家超過(guò)400家，支持Modbus的產(chǎn)品超過(guò)600種。

●Modbus可以支持多種電氣接口，如RS-232、RS-485等，還可以在各種介質(zhì)上傳送，如雙絞線、光纖、無(wú)線等。

●Modbus的幀格式簡(jiǎn)單、緊湊，通俗易懂。用戶使用容易，廠商開(kāi)發(fā)簡(jiǎn)單。

2、現(xiàn)狀與分析

簡(jiǎn)單的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示，由信息層（Informationzone）、操作站層（Stationzone）和控制器層（Controllerzone）三大部分組成?？刂破鲗雍筒僮髡緦又g的通訊遵循Modbus協(xié)議。目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡(luò)中在運(yùn)行的電腦，很少或沒(méi)有機(jī)會(huì)安裝全天候病毒防護(hù)或更新版本?？刂破鞯脑O(shè)計(jì)都以優(yōu)化實(shí)時(shí)的I/O功用為主，而並不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能。并且許多控制網(wǎng)絡(luò)都是“敞開(kāi)的”，不同的子系統(tǒng)之間都沒(méi)有有效的隔離，當(dāng)操作站層面出現(xiàn)問(wèn)題被攻擊后，病毒就通過(guò)網(wǎng)絡(luò)迅速蔓延，影響到控制層設(shè)備，給工廠帶來(lái)巨大損失。

目前，石油化工，水處理以及制造業(yè)等為了避免重大風(fēng)險(xiǎn)，基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99Standards的要求進(jìn)行規(guī)劃。ANSI/ISA-99及NorthAmericanElectricReliabilityCouncil（NERC）CIP-005，均指出過(guò)程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)應(yīng)與其他系統(tǒng)隔離，包括企業(yè)IT網(wǎng)絡(luò)，控制網(wǎng)絡(luò)安全要點(diǎn)如下：

需要注意的是，商業(yè)網(wǎng)絡(luò)的安全需求與控制網(wǎng)絡(luò)的安全需求在某些地方完全不同。就工業(yè)領(lǐng)域通訊應(yīng)用來(lái)講，網(wǎng)閘及普通IT防火墻在功能上存在一定局限性，無(wú)法實(shí)現(xiàn)基于工業(yè)控制網(wǎng)絡(luò)要求的安全防護(hù)，并且不利于后期維護(hù)。因此不要試圖將控制系統(tǒng)放入IT解決方案中，選用專(zhuān)有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡(luò)攻擊防御能力。想要滿足這一安全要求，Tofino是一種經(jīng)濟(jì)高效的方式。

3、Tofino解決方案

本方案主要致力于解決現(xiàn)場(chǎng)以Modbus協(xié)議通訊的控制層設(shè)備的安全問(wèn)題。

3.1方案亮點(diǎn)

Tofino能夠用來(lái)分離安全系統(tǒng)網(wǎng)絡(luò)與過(guò)程系統(tǒng)網(wǎng)絡(luò)，實(shí)現(xiàn)關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的物理隔離。與普通商用防火墻相比，Tofino更適于工業(yè)控制系統(tǒng)安全防護(hù)，主要體現(xiàn)在：

（1）工業(yè)型：

●參照ANSI/ISA-99Standards的安全要求為設(shè)計(jì)理念，產(chǎn)品更具針對(duì)性和高效性，專(zhuān)門(mén)用于工業(yè)控制系統(tǒng)的安全保護(hù)。

●內(nèi)置50多種專(zhuān)有工業(yè)通信協(xié)議，與常規(guī)防火墻不同的是，Tofino防火墻不僅是在端口上的防護(hù)，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查，屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的、工業(yè)級(jí)的專(zhuān)業(yè)隔離防護(hù)解決方案。

●具備在線修改防火墻組態(tài)功能，可以實(shí)時(shí)對(duì)組態(tài)的防火墻策略進(jìn)行修改，而且不影響工業(yè)實(shí)時(shí)通訊。其它防火墻需要斷電、重啟等。

●工業(yè)型設(shè)計(jì)，導(dǎo)軌式安裝，低功耗無(wú)風(fēng)扇，具備二區(qū)防爆認(rèn)證。

（2）獨(dú)有專(zhuān)利安全連接技術(shù)：

●首先防火墻自身是基于非IP的獨(dú)有專(zhuān)利安全連接技術(shù)進(jìn)行管理，能夠阻擋任何欺騙式攻擊。

●能夠隱藏防火墻后端所有設(shè)備的IP地址，讓入侵者無(wú)法發(fā)現(xiàn)目標(biāo)，更無(wú)從談發(fā)動(dòng)任何攻擊。

●集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)交通*一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對(duì)象以及數(shù)據(jù)流的方向，可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向。

（3）市面上*滿足ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn)

根據(jù)ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn)，TSA可以很方便的針對(duì)PLC、DCS、RTU、IED和HMI提供一個(gè)性價(jià)比很高的安全分區(qū)——一個(gè)配置得當(dāng)?shù)谋Ｗo(hù)區(qū)域分組。

（4）特有‘測(cè)試’模式

‘測(cè)試’模式可以在對(duì)控制系統(tǒng)無(wú)任何風(fēng)險(xiǎn)的情況下進(jìn)行防火墻和VPN測(cè)試。TEST模式不同于實(shí)際的操作模式，在TEST模式中，Tofino允許所有的通訊通過(guò)，但是由CMP報(bào)告在操作模式下任何可能被攔截的通訊。這一點(diǎn)對(duì)于工業(yè)或SCADA控制系統(tǒng)的安全操作相當(dāng)關(guān)鍵，用傳統(tǒng)的IT防火墻是不可能實(shí)現(xiàn)的。這也是Tofino適合于工業(yè)控制系統(tǒng)的獨(dú)特性的一個(gè)方面。

（5）實(shí)時(shí)網(wǎng)絡(luò)通訊透視鏡：

能夠?yàn)槟壳翱刂凭W(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個(gè)簡(jiǎn)單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問(wèn)對(duì)象等。實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)、歷史記錄，保證控制網(wǎng)絡(luò)通訊的實(shí)時(shí)診斷。

3.2方案構(gòu)成

一個(gè)完整的Tofino安全解決方案包括以下四部分：

（1）Tofino安全模塊（TSA）

增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì)，即插即用，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為T(mén)ofino安全模塊硬件的兩種選型。硬件設(shè)計(jì)遵循增強(qiáng)型工業(yè)環(huán)境要求，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前，設(shè)計(jì)使用壽命27年，能夠提供安全系統(tǒng)的工業(yè)平臺(tái)。

（2）Tofino可裝載安全軟插件（LSM）

專(zhuān)為工業(yè)通訊協(xié)議設(shè)計(jì)的安全軟插件，可以直接裝載到Tofino安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)。方案中可選的基本軟插件包括：

●TofinoFirewallLSM工業(yè)通信防火墻；

工業(yè)網(wǎng)絡(luò)交通*，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個(gè)工業(yè)專(zhuān)用及商業(yè)IT通信協(xié)議，預(yù)先定義超過(guò)25個(gè)控制器類(lèi)型（例如：西門(mén)子S7-300/S7-400，HoneywellPKSC200/C300/）；LSM在線協(xié)議組態(tài)，可自己定制通訊協(xié)議或者通過(guò)設(shè)備學(xué)習(xí)功能實(shí)現(xiàn)通訊協(xié)議定制；通過(guò)通訊協(xié)議指令級(jí)別的管控，預(yù)先組態(tài)用于高級(jí)過(guò)濾和攻擊保護(hù)的“特殊規(guī)則”。符合ANSI/ISA-99.00.02的網(wǎng)絡(luò)分段要求，達(dá)到區(qū)域隔離目標(biāo)。

●ModbusTCPEnforcerLSM通信深度檢測(cè)及防護(hù)；

*能夠深入?yún)f(xié)議內(nèi)部檢測(cè)工業(yè)協(xié)議的產(chǎn)品，控制工程師可定義允許的Modbus指令，寄存器和線圈名單列表。自動(dòng)阻止并報(bào)告任何流量不匹配您的規(guī)則。所有協(xié)議要被完整全面的檢查,檢察并阻止任何不符合Modbus通訊協(xié)議的通訊內(nèi)容。

●SecureAssetManagementLSM安全設(shè)備資產(chǎn)管理；

像雷達(dá)一樣，Tofino的安全設(shè)備資產(chǎn)管理（SAM）可裝載模塊可以追蹤每一個(gè)通過(guò)Tofino安全設(shè)備進(jìn)行通訊的設(shè)備。不過(guò)，為了避免引起進(jìn)程干擾，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)。

●EventLoggerLSM事件日志與報(bào)警管理；

Tofino事件記錄可裝載模塊對(duì)您的安全事件提供了可靠的監(jiān)控功能和記錄功能，它是一個(gè)專(zhuān)為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。

（3）Tofino中央管理平臺(tái)（CMP）

窗口化的中央管理平臺(tái)系統(tǒng)及數(shù)據(jù)庫(kù)，用于Tofino安全模塊的配置、組態(tài)和管理，并能實(shí)現(xiàn)系統(tǒng)的報(bào)警和日志的實(shí)時(shí)監(jiān)控和歷史查詢。能夠?yàn)槟壳翱刂凭W(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個(gè)簡(jiǎn)單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問(wèn)對(duì)象等。實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)、歷史記錄，保證控制網(wǎng)絡(luò)通訊的實(shí)時(shí)診斷。具備在線組態(tài)、在線監(jiān)控、資產(chǎn)管理等多種功能。

（4）Tofino安全管理平臺(tái)（SMP）

SMPServer接收CMP或TSA的日志和報(bào)警記錄，并將日志和報(bào)警存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中。SMPClient安裝在辦公局域網(wǎng)上的辦公電腦中，支持以圖形的方式實(shí)時(shí)顯示CMP或TSA收集的日志和報(bào)警記錄，并且支持日志和報(bào)警的查詢。

3.3方案介紹與實(shí)施

產(chǎn)品的選型和方案的實(shí)施可以概括為以下三步，實(shí)際中對(duì)于不同的環(huán)境和安全要求，具體的方案和實(shí)施過(guò)程略有不同。

*步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)?，確定在何處放置TOFINO安全設(shè)備TSA。

第二步：確定需要哪些可裝載安全功能軟插件（LSMs），以確保每個(gè)區(qū)域安全不同的要求。

第三步：選擇一個(gè)服務(wù)器或工作站安裝TOFINO中央管理平臺(tái)CMP和Tofino安全管理平臺(tái)SMP，CMP和SMP也可以分別安裝在不同的機(jī)器。

結(jié)合上述控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，本方案對(duì)Modbus通信部分控制設(shè)備需要進(jìn)行的保護(hù)進(jìn)行詳細(xì)介紹。

（1）基于保護(hù)控制層設(shè)備的目的，本方案中將控制層設(shè)備作為一個(gè)安全分區(qū)，在控制層和操作站層之間部署一個(gè)TSA，將控制層設(shè)備置于TSA之后，與操作站層進(jìn)行隔離。

（2）考慮到采用控制層和操作站層之間使用Modbus協(xié)議進(jìn)行通信，建議配置的LSM軟插件如下：

（3）選擇網(wǎng)絡(luò)中合適的機(jī)器安裝CMP和SMP，也可以選用單獨(dú)的計(jì)算機(jī)安裝CMP和SMP，創(chuàng)建整個(gè)網(wǎng)絡(luò)模型，并設(shè)置合適的通信規(guī)則，確保網(wǎng)絡(luò)中只有合法的通信通過(guò)，這樣可以將全廠所有設(shè)備硬件都集中管理，對(duì)全廠控制網(wǎng)絡(luò)狀態(tài)一目了然。

3.4方案目標(biāo)

該方案以建立縱深防御策略為主要思想，確保工廠網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，工廠也能正常運(yùn)行，同時(shí)，工廠操作人員能夠很迅速的找到問(wèn)題并進(jìn)行處理，主要達(dá)到以下目標(biāo)：

●區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過(guò)濾兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會(huì)被控制在zui初發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其它部分；

●深度檢查：面向應(yīng)用層對(duì)特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查，告別病毒庫(kù)升級(jí)缺陷；

●通信管控：通信規(guī)則是可以通過(guò)中央管理平臺(tái)進(jìn)行在線組態(tài)和測(cè)試的；

●實(shí)時(shí)報(bào)警：所有部署的防火墻都能由中央管理平臺(tái)統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)控，任何非法的（沒(méi)有被組態(tài)允許的）訪問(wèn)，都會(huì)在中央管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息，從而故障問(wèn)題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

四、結(jié)束語(yǔ)

Tofino工業(yè)網(wǎng)絡(luò)安全解決方案針對(duì)控制系統(tǒng)網(wǎng)絡(luò)特別設(shè)計(jì)，旨在為其提供一種分區(qū)的安全解決方案。Tofino擁有極高的性價(jià)比，它能在工廠車(chē)間中建立深層防護(hù)架構(gòu)，因此，即使有黑客或病毒通過(guò)主要的企業(yè)防火墻，他們也將面對(duì)基于控制網(wǎng)絡(luò)特點(diǎn)而設(shè)計(jì)的專(zhuān)業(yè)安全設(shè)備。對(duì)工業(yè)企業(yè)來(lái)說(shuō)TofinoSecuritySystem更意味著zui佳的安全效益和，并不只是簡(jiǎn)單滿足了獨(dú)立的關(guān)鍵控制設(shè)備的安全要求。

不同于傳統(tǒng)的IT防火墻，Tofino專(zhuān)為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全而設(shè)計(jì)?，F(xiàn)場(chǎng)技術(shù)人員只需簡(jiǎn)單為T(mén)ofino接入電源，并連接兩個(gè)網(wǎng)絡(luò)的電纜即可，無(wú)需其他任何操作。一旦安裝成功，技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)，以總攬公司大局的方式對(duì)網(wǎng)絡(luò)威脅做出及時(shí)反應(yīng)。zui重要的是，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠中，又能夠滿足那些擁有成千上萬(wàn)個(gè)設(shè)備并且分布全球各地的大型跨國(guó)集團(tuán)的使用要求。

以上就是本文全部?jī)?nèi)容，歡迎您來(lái)電咨詢我廠家流量計(jì)選型、報(bào)價(jià)等內(nèi)容。

《Modbus TCP通訊安全解決方案》本文地址：http://dllgsm.com/news/1746.html 轉(zhuǎn)載請(qǐng)勿刪除！