CN109561091B

CN109561091B - 一种用于人防工程的网络安全防护系统

Info

Publication number: CN109561091B
Application number: CN201811460191.4A
Authority: CN
Inventors: 王丽娜; 邱坊; 李卓卿; 何明星; 邓泽先
Original assignee: Automation Research and Design Institute of Metallurgical Industry
Current assignee: Automation Research and Design Institute of Metallurgical Industry
Priority date: 2018-11-30
Filing date: 2018-11-30
Publication date: 2020-10-30
Anticipated expiration: 2038-11-30
Also published as: CN109561091A

Abstract

一种用于人防工程的网络安全防护系统，属于工业控制网络安全领域。包括嵌入式硬件、嵌入式基础软件和业务场景应用软件。嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道。内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，内网控制器M287负责接入到现场端控制网络；外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信。优点在于，解决了防护能力较为单一等问题。

Description

一种用于人防工程的网络安全防护系统

技术领域

本发明属于工业控制网络安全领域，特别是提供了一种用于人防工程的网络安全防护系统，人防工程内自动化、信息化系统多，且属于半军事化工程，对安全防护要求较高，该系统具有物理隔离、安全通信和数据安全检测等特性。

背景技术

随着物联网、云计算、移动应用技术在人防工程应用的越来越广泛，其信息安全问题正在越来越受到重视，包括数据、物理、网络在内的多方面信息安全问题，要维持人防工程内信息化整体系统的稳定运行，保证平时战时控制过程不受影响，就需要制定行之有效的安全防护方法。

目前，市场上已经存在部分针对工业通信的网闸，用于数据隔离交换，但其防护能力较为单一，同时不熟悉人防三防控制指令工艺场景不能进行有效的数据信息安全防护，也不能做到安全防护监测拓展，也不支持远程管理，且防护手段单一，这样会给后期人防系统信息统一集成使用带来安全隐患。所以针对以上问题提出了用于人防工程应用的网络安全防护方法，整个防护系统从硬件、软件两部分实现。

发明内容

本发明的目的在于提供一种用于人防工程的网络安全防护系统，解决了防护能力较为单一，同时不熟悉人防三防控制指令工艺场景不能进行有效的数据信息安全防护，给后期人防系统信息统一集成使用带来安全隐患等问题，该发明为解决以上问题提供了解决方法。

本发明包括嵌入式硬件、嵌入式基础软件和业务场景应用软件三部分。其中，嵌入式硬件是整个系统的运行基础，也是最底层的安全隔离措施，嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道三部分。处于两端的内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，其中内网控制器M287负责接入到现场端控制网络；另一端外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信。内网控制器M287、外网控制器M287各有两个千兆冗余的以太网接口用来连接要隔离的两个网络。存储单元双口RAM为冗余配置，是内、外网数据的缓存空间，数据存储时采用基于一对一内存镜像的内部数据冗余方式，并对重点数据采用标签级别标注进行容错处理；数据通道是IO并行总线的数据传输通道和逻辑传输通道共同作用，用于缓存数据到内网控制器M287和外网控制器M287的传输；控制单元FPGA用于实现对内网控制器M287和外网控制器M287的数据收发逻辑控制，用控制单元FPGA的两个标准RS232作为心跳控制信号来判断是否执行内、外网数据交换任务。

软件包括嵌入式基础软件和业务场景应用软件。嵌入式基础软件运行在内网控制器M287和外网控制器M287，属于第二层的数据通信防护措施，包括内嵌的自剪裁Linux操作系统和OPC、MODBUS通信驱动软件。嵌入式基础软件包括数据处理模块、数据恢复模块、协议封装模块、会话建立模块、端口认证模块、会话审查模块、内容过滤模块、数据格式化模块。对Linux操作系统进行剪裁实现对端口、IP以及OPC、MODBUS协议的安全检查。其一是在端口认证时增加内核端口安全认证算法PSK加EAP，对端口经过安全算法认证，正确后方可认为有效；其二是在会话建立时设置IP最大连接数N，在检测到某个节点超过预设的限制N时，这些IP就会被屏蔽，IP在禁用时间600秒内可根据情况调整杀掉连接数大于最大连接数N的连接。其三是修改Linux操作系内核提供的若干SYN相关配置，加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能阻止部分SYN攻击，降低重试次数来阻止网络队列被占满。其四通讯驱动组件部分有数据处理、数据恢复、数据格式化模块，做了8组数据优先级队列处理，数据按序传输，所有传输的数据都经过了128位数据加密算法进行安全检验；当异常情况时，清空队列数据格式化操作，重新建立数据区。通信驱动软件在初始化的过程需要将对应管脚配置成GPIO模式7，然后进行会话审查和内容过滤，检测通过的安全数据进行私有通信数据格式的协议封装后传输到数据通道，安全数据经过标准通信数据格式的协议封装后发送到内网网络以太网口。

业务场景应用软件在内网控制器M287、外网控制器M287和控制单元FPGA内运行，业务场景应用软件包括RS232数据交互逻辑控制模块、数据交换模块、私有(非公开的，自定义的)通信协议模块、数据加密算法模块、标准通信协议的协议安全引擎模块、特定的应用场景数据规则检查和安全特征检测模块以及信息点级的数据访问控制模块。控制单元FPGA内运行数据交互逻辑控制模块，其他模块分别运行在内网控制器M287和外网控制器M287内。

数据隔离交换模块由两个标准RS232作为心跳控制信号分别触发内网控制器M287和外网控制器M287的数据交互模块，通过看门狗定时器设定，定时监测数据缓存空间数据标识，根据更新标识进行开闭时限判定，时限到则数据通道打开或关闭，当有新的标识产生则时限归零。

数据交换模块是由互为冗余的两个处理器分别模拟出两块数据交换块总大小2*1024*1536字节＝3M字节数据，守护进程通过USB_Host和Device交换数据，并存储在存储单元双口RAM中，读写存储单元双口RAM来交换数据。数据交换模块也称之为守护单元进程数据交换模块，采用FIFO顺序调度和优先调度两种算法。

私有通讯协议模块是获取数据交换模块下的数据流，根据所选定的标准协议解析后获取纯数据格式的信息，纯数据格式的信息经过私有协议封装成专有格式转发到数据加密算法模块。私有协议具有起始标识、数据、结束标识和CRC校验码，以此格式进行封装构造。

数据加密算法模块是128位分组对成加密算法，所有来自数据交换模块的数据流经该数据加密算法后以私有协议发送到数据通道传输。

特定的应用场景数据规则检查和安全特征检测模块是基于OPC、MODBUS通信协议的业务场景数据的安全检测，业务场景数据的安全检测是在OPC、MODBUS通信协议安全引擎基础上对协议进行初步检测通过后实现，同时被检测的业务场景数据需要满足数据访问控制权限。首先协议数据根据应用场景规则进行规则检查，符合场景规则则有效通过，不符合则视为无效丢弃；根据应用场景对所有数据建立物理模型，模型经非参数CUSUM算法运算后生成安全特征引擎，然后再对有效后的数据进行安全特征引擎自适应检测，有效时间范围内能够检测出的符合安全特征的数据则通过，超过时间上限则阻止通过。

1、嵌入式硬件采用一种基于串联式双器件冗余接入方法进行主动隔离实现工业控制网络的安全防护，采用了如下方法:

a)内外网的每个以太网口均采用双千兆网口芯片DP83640一主一从热备的网络冗余实现网络通道物理隔离；

b)控制单元FPGA通过心跳控制信号控制互为冗余的数据交换控制模块，控制单元FPGA运行逻辑控制程序实现控制模块内相互映射数据交换，实现内外网的信息实时交互；

c)采用两组存储单元双口RAM作为冗余的数据缓存空间，数据存储时采用基于一对一内存镜像的内部数据冗余，并对重点数据采用标签级别标注进行容错处理。

2、软件方面在内网控制器M287和外网控制器M287内运行自剪裁Linux操作系统和OPC、MODBUS通信驱动软件，在通信驱动软件中设计了访问级别，8个优先级，4个队列，通过识别不同报文的优先级，并配合权重(相对优先级)或抢占(绝对优先级)模式，实现数据的安全级别顺序传输；数据链路层和应用层采用私有通信协议，将每个合法数据的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被数据隔离交换模块处理，对有效业务数据在内网控制器M287和外网控制器M28之间摆渡通过，数据流全部进行128位加密处理。数据流传输中设计了数据访问控制，能够允许或禁止某个目的MAC地址或源MAC地址的数据进入网络，并依据报文的源IP地址、目的IP地址、UDP协议端口号等特征进行转发控制，实现对数据报文的转发或丢弃，更改数据报文目的端口等控制方式，实现对网络中数据报文的有效控制。

3、业务场景应用软件采用基于MODBUS、OPC通信的非参数CUSUM入侵检测算法对通信数据进行规则检查和场景特征安全检测，用来实现通信的逻辑隔离。通过协议规则和场景特征建立数据安全引擎，通过监测控制数据信息点的数据访问控制允许限制实现安全防护。采用协议完整性检查方法，按照MODBUS、OPC通信标准格式对捕获的数据进行边界及规则深度检查，不符合的数据请求被阻止。根据场景特征安全引擎对数据采用动态自适应算法设置传输通道打开的时间，超过时间上限，就认定无效通讯。

附图说明

图1网络安全防护系统设计原理图。

具体实施方式

以下内容是对发明内容的更详细说明和实现

系统设备具体实现如图1所示，中间是数据隔离交换模块，左侧是外网控制器M287，右侧是内网控制器M287，内、外网控制器M287均采用高性能芯片作为主处理器，内、外网控制器M287内嵌有多个业务场景应用软件模块，对外通信采用网络接口；数据隔离交换模块通过控制单元FPGA和存储单元双口RAM实现。

系统采用基于串联式接入主动隔离的防御，嵌入式硬件采用“2+1”结构设计，两端由两个独立高性能的内、外网控制器M287组成，分别具有独立的运算单元、存储单元和交换单元，各自运行独立的嵌入式基础软件和业务场景应用软件。其中一端为内网控制器M287负责接入到现场端控制网络；另一端为外网控制器M287负责接入到信息端网络。二者之间通过IO并行总线连接到由存储单元双口RAM、控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信，通过私有通信协议以及严格控制算法保证数据传输的安全性。内、外网控制器M287各有两个千兆冗余的以太网接口用来连接要隔离的两个网络，二者之间通信采用高速交换算法，128位数据加密算法实现数据加、解密处理，保证传输数据的安全性。硬件看门狗时刻监视系统状态，保证稳定、可靠运行。

采用截断TCP连接的方法，彻底割断穿透性的TCP连接。物理层采用数据隔离交换模块实现硬件截断，链路层和应用层采用私有通信协议，数据流采用128位以上加密方式传输，更加充分保障数据安全。

软件部分是基于Linux操作系统下进行裁剪优化后的嵌入式基础软件，软件部分核心是在业务数据交换模块采用冗余模块和优先调度方法实现业务数据信息交互，进一步提高系统安全性和抗攻击能力。软件针对TCP基于的OSI七层模型原理，通过将原OSI2层以上的层面彻底剥离做到对TCP的完全阻断，并通过私有通信协议的数据交换格式和严格的控制算法进行数据的传输。在系统程序启动失败、意外关闭、运行故障时，软件自检测会提供日志警告，以及自我恢复，自动重启故障部位进行运行恢复。无论是在管理员登录操作还是在系统业务流程数据的传输过程中，都采用了签名机制以及高位的加密来保障了数据传输的安全性、保密性和不可否认性。

数据交换模块由冗余的两个处理器分别模拟出两块数据交换块总大小2*1024*1536字节＝3M字节数据，守护单元通过USB_Host和Device交换数据，并存储在存储单元双口RAM中，应用程序读写存储单元双口RAM来交换数据。

数据交换模块也称之为守护进程数据交换模块，采用FIFO顺序调度和优先调度两种算法结合方式，既满足特殊情况的实时性，又满足整体调度时间，严格控制时间延时的影响，目前交换速度可以达到高速480Mbps。调度过程数据交换采用加密数据传输，每次调度传输的数据以块为单位：1.5K字节＝1536。每个隔离数据交换需要占用两个数据块：2*1536字节，目前支持1024个连接隔离数据，可以通过扩展模拟数据块大小来增加支持交换连接数量。

系统通过物理硬件和软件逻辑的共同作用，彻底截断了穿透性的TCP连接，同时实现对通信协议实时数据的定向采集和转发，达到数据完全自我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根本上杜绝了非法数据的通过，确保控制网络不受攻击和入侵。

系统采用基于MODBUS、OPC通信的非参数CUSUM入侵检测算法实现数据通信。应用CUSUM算法要求知道随机序列的参数模型，并用概率密度函数来监控序列，实际中很难获得攻击状态下被检测序列的概率分布。非参数CUSUM算法不要求概率分布，只要求检测序列z(k)在正常情况下具有负的均值E(Z)<0，变化发生后具有正的均值E(Z)>0。应用非参数CUSUM算法，能够累计明显比正常运行情况下平均水平高的值，同时可以累计攻击变化较小的值，以便在攻击造成实际损失前，捕捉入侵。并且它以连续方式检测输入随机序列，可实时检测，避免因比较差Δ偶然增大或减小而误报。

非参数CUSUM算法的正式定义是：

其中，y_n用于判断序列是否发生变化。为便于计算，降低在线检测的开销，简化使用非参数CUSUM算法的递归版本，对于每个传感器i有

S_i(k)＝(S_i(k-1)+z_i(k))⁺，S_i(0)＝0 (2)

其中，a⁺表示

停止时间是N＝inf{n:S(n)≥τ} (4)

其中，inf为下确界，停止时间N就是算法检测到攻击的时间。

非参数CUSUM算法的判决函数d_N(S_i(k))是：

其中，H₀表示系统处于正常状态，H₁表示系统处于攻击状态，τ_i是针对每个传感器i选定的阈值，d_N(S_i(k))表示针对传感器i在时刻k的检测结果，如果S_i(k)大于τ_i，表示有攻击发生，否则正常。

在ICS系统中，正常情况下，比较差Δ(k)是一个接近于零的序列，其均值接近于零；而发生入侵攻击时，Δ(k)就会发生一定变化，其均值会有所增大。因此根据前面论述的非参数CUSUM算法的条件要求，针对ICS，本文定义：

作为被检测序列。其中β是一个很小的正常数，其值需要满足正常状态下

在非参数CUSUM算法中，β用来将Δ(k)偏移到z(k)，β越大，在序列z(k)中出现正值的可能性越小，S(k)累积到大于τ的值来发现攻击的可能性越小；β越小，由于ICS系统的正常波动，在序列z(k)中出现正值的可能性就越大，S(k)累积到大于τ的值来误报警的可能性越大。τ用来判断攻击与否，τ越大，S(k)累积到大于τ的时间越长，会延长检测时间；τ越小，由于ICS系统正常波动，累积到S(k)中的部分增大到τ的可能性越大，引起误报的可能性越大。

业务场景应用软件部分在检测模型基础上同时增加了协议和场景的数据安全引擎。针对工业控制网络常用的专有协议OPC、Modbus/TCP等，根据协议规范和应用场景，采用智能白名单技术对数据报文的协议格式和数据内容进行深度严格检查；同时，通过对工业控制网络场景规则、攻击特征规则的配置，采用基于哈希函数的快速规则匹配方法，可以及时阻断入侵，具有强大的抗攻击能力。

软件部分完全实现了通信协议的接口服务，因此可以实现针对测点一级的数据访问控制。例如：对于OPC标准可以控制到Item(项)一级，对于Modbus/TCP标准可以控制到具体某个寄存器。对测点的访问，安全隔离网闸可以指定在控制端允许接入哪些测点，哪些不允许接入；另一方面，如果信息端存在多个服务，可以指定哪些测点允许暴露给哪个服务，同时对哪些测点进行屏蔽。

根据应用场景建立检测模型通过的数据规则库和数据特征库实现应用场景规则检查和特征安全引擎检查。在应用初始化阶段，结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础；与工业专家知识系统建立接口，按照安全策略配置专家知识规则，形成数据规则库和数据特征安全引擎。当用户请求时，提取用户的应用数据，抽取数据特征和原始数据特征库及数据规则库进行比较，符合规则的数据请求进入请求队列，不符合的返回用户，实现对数据的过滤，阻止病毒和攻击。当特征库和规则的规模比较大时，匹配时间比较长，采用基于哈希函数的快速规则匹配算法，可以大大减少匹配时间。

Claims

1.一种用于人防工程的网络安全防护系统，其特征在于，包括嵌入式硬件、嵌入式基础软件和业务场景应用软件三部分；其中，嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道；处于两端的内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，其中，内网控制器M287负责接入到现场端控制网络；另一端外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信；内网控制器M287、外网控制器M287各有两个千兆冗余的以太网接口用来连接要隔离的两个网络；存储单元双口RAM为冗余配置，是内、外网数据的缓存空间，数据存储时采用基于一对一内存镜像的内部数据冗余方式，并对重点数据采用标签级别标注进行容错处理；数据通道是IO并行总线的数据传输通道和逻辑传输通道共同作用，用于缓存数据到内网控制器M287和外网控制器M287的传输；控制单元FPGA用于实现对内网控制器M287和外网控制器M287的数据收发逻辑控制，用控制单元FPGA的两个标准RS232作为心跳控制信号来判断是否执行内、外网数据交换任务；

软件包括嵌入式基础软件和业务场景应用软件；嵌入式基础软件运行在内网控制器M287和外网控制器M287，属于第二层的数据通信防护措施，包括内嵌的自剪裁Linux操作系统和OPC、MODBUS通信驱动软件；嵌入式基础软件包括数据处理模块、数据恢复模块、协议封装模块、会话建立模块、端口认证模块、会话审查模块、内容过滤模块、数据格式化模块；对Linux操作系统进行剪裁实现对端口、IP以及OPC、MODBUS协议的安全检查；其一是在端口认证时增加内核端口安全认证算法PSK加EAP，对端口经过安全算法认证，正确后方认为有效；其二是在会话建立时设置IP最大连接数N，在检测到某个节点超过预设的限制N时，这些IP就会被屏蔽，IP在禁用时间600秒内根据情况调整杀掉连接数大于最大连接数N的连接；其三是修改Linux操作系内核提供的若干SYN相关配置，加大SYN队列长度能容纳更多等待连接的网络连接数，打开SYN Cookie功能阻止部分SYN攻击，降低重试次数来阻止网络队列被占满；其四通讯驱动组件部分有数据处理、数据恢复、数据格式化模块，做了8组数据优先级队列处理，数据按序传输，所有传输的数据都经过了128位数据加密算法进行安全检验；当异常情况时，清空队列数据格式化操作，重新建立数据区；通信驱动软件在初始化的过程需要将对应管脚配置成GPIO模式7，然后进行会话审查和内容过滤，检测通过的安全数据进行私有通信数据格式的协议封装后传输到数据通道，安全数据经过标准通信数据格式的协议封装后发送到内网网络以太网口；

业务场景应用软件在内网控制器M287、外网控制器M287和控制单元FPGA内运行，业务场景应用软件包括RS232数据交互逻辑控制模块、数据交换模块、私有通信协议模块、数据加密算法模块、标准通信协议的协议安全引擎模块、特定的应用场景数据规则检查和安全特征检测模块以及信息点级的数据访问控制模块；控制单元FPGA内运行数据交互逻辑控制模块，其他模块分别运行在内网控制器M287和外网控制器M287内；

数据隔离交换模块由两个标准RS232作为心跳控制信号分别触发内网控制器M287和外网控制器M287的数据交换模块，通过看门狗定时器设定，定时监测数据缓存空间数据标识，根据更新标识进行开闭时限判定，时限到则数据通道打开或关闭，当有新的标识产生则时限归零；

数据交换模块是由互为冗余的两个处理器分别模拟出两块数据交换块总大小2*1024*1536字节＝3M字节数据，守护进程通过USB_Host和Device交换数据，并存储在存储单元双口RAM中，读写存储单元双口RAM来交换数据；数据交换模块也称之为守护单元进程数据交换模块，采用FIFO顺序调度和优先调度两种算法；

私有通讯协议模块是获取数据交换模块下的数据流，根据所选定的标准协议解析后获取纯数据格式的信息，纯数据格式的信息经过私有协议封装成专有格式转发到数据加密算法模块；私有协议具有起始标识、数据、结束标识和CRC校验码，以此格式进行封装构造；

数据加密算法模块是128位分组对成加密算法，所有来自数据交换模块的数据流经该数据加密算法后以私有协议发送到数据通道传输；

OPC、MODBUS通信协议的业务场景数据的安全检测，业务场景数据的安全检测是在OPC、MODBUS通信协议安全引擎基础上进行初步检测通过后实现，同时被检测的业务场景数据需要满足数据访问控制权限；首先协议数据根据应用场景规则进行规则检查，符合场景规则则有效通过，不符合则视为无效丢弃；根据应用场景对所有数据建立物理模型，模型经非参数CUSUM算法运算后生成安全特征引擎，然后再对有效后的数据进行安全特征引擎自适应检测，有效时间范围内能够检测出的符合安全特征的数据则通过，超过时间上限则阻止通过。

2.根据权利要求1所述的系统，其特征在于，所述的嵌入式硬件采用一种基于串联式双器件冗余接入方法进行主动隔离实现工业控制网络的安全防护，具体步骤如下：

b)控制单元FPGA通过心跳控制信号控制互为冗余的RS232数据交互逻辑控制模块，控制单元FPGA运行逻辑控制程序实现控制模块内相互映射数据交换，实现内外网的信息实时交互；

3.根据权利要求1所述的系统，其特征在于，业务场景应用软件采用基于MODBUS、OPC通信的非参数CUSUM入侵检测算法对通信数据进行规则检查和场景特征安全检测，用来实现通信的逻辑隔离；通过协议规则和场景特征建立数据安全引擎，通过监测控制数据信息点的数据访问控制允许限制实现安全防护；采用协议完整性检查方法，按照MODBUS、OPC通信标准格式对捕获的数据进行边界及规则深度检查，不符合的数据请求被阻止；根据场景特征安全引擎对数据采用动态自适应算法设置传输通道打开的时间，超过时间上限，就认定无效通讯。