唐 林，蘭 昆

(中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

智能儀表的網(wǎng)絡(luò)安全威脅及防護(hù)框架研究

唐 林，蘭 昆

(中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

智能儀表在工業(yè)自動(dòng)化生產(chǎn)的顯示、測(cè)量、調(diào)節(jié)與控制等環(huán)節(jié)發(fā)揮了重要作用，在工業(yè)自動(dòng)化領(lǐng)域應(yīng)用非常廣泛。智能儀表的網(wǎng)絡(luò)安全問題伴隨其應(yīng)用不斷顯現(xiàn)，已經(jīng)引起工業(yè)界的高度關(guān)注。先分析智能儀表面臨的網(wǎng)絡(luò)安全威脅和脆弱性，研究智能儀表網(wǎng)絡(luò)安全防護(hù)的技術(shù)體制，提出一種智能儀表網(wǎng)絡(luò)安全防護(hù)框架，并分析該框架的一種實(shí)際應(yīng)用設(shè)計(jì)。

智能儀表；網(wǎng)絡(luò)安全；脆弱性；信息安全防護(hù)框架

0 引言

智能儀表是傳感器技術(shù)、儀器測(cè)控技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)與微電子技術(shù)深度融合的產(chǎn)物，智能儀表將計(jì)算機(jī)技術(shù)與測(cè)試技術(shù)進(jìn)行結(jié)合，儀器內(nèi)部帶有處理能力很強(qiáng)的智能軟件[5]。隨著網(wǎng)絡(luò)化的發(fā)展，工業(yè)自動(dòng)化領(lǐng)域?qū)邆渚W(wǎng)絡(luò)功能的儀器儀表的需求越來越大，市場(chǎng)上涌現(xiàn)出許多支持現(xiàn)場(chǎng)總線協(xié)議的儀表，比如 HART、MODBUS、PROFIBUS、FF、CAN 等總線儀表。 智能儀表的廣泛應(yīng)用，給工業(yè)用戶帶來儀表操作及管理方便的同時(shí)，也造就了新的儀表安全問題，大量的敏感信息未經(jīng)保護(hù)的在網(wǎng)絡(luò)的各個(gè)裝置之間傳送，黑客們完全可以利用通信協(xié)議上的漏洞攻擊儀表裝置、獲取或者篡改儀表信息。美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急應(yīng)變小組(ICS-CERT)于2015年1月、2月、8月和9月分別公布了 Emerson HART儀表、CodeWrights HART 儀表、Endress＋Hauser HART儀表、Endress＋Hauser HART管理軟件 Fieldcare和 Code-Wrights HART通訊服務(wù)軟件存在的緩沖區(qū)溢出和惡意代碼注入等嚴(yán)重漏洞，引起全球工業(yè)界的高度關(guān)注。如何確保智能儀表的網(wǎng)絡(luò)信息安全，事關(guān)自動(dòng)化工業(yè)企業(yè)的正常穩(wěn)定運(yùn)行，以及工業(yè)企業(yè)的降本增效問題。

1 能儀表技術(shù)基礎(chǔ)

1983年美國(guó)霍尼韋爾公司研制出智能壓力變送器，標(biāo)志著儀器儀表制造從傳統(tǒng)的模擬儀表向數(shù)字化智能儀表時(shí)代轉(zhuǎn)變。智能儀表的特點(diǎn)主要是:一方面具備了數(shù)字通信接口能力，這是由于生產(chǎn)現(xiàn)場(chǎng)為提高控制質(zhì)量、控制可靠性和安全性，而大量部署傳感器和執(zhí)行器的要求；另一方面，智能儀表具備自診斷、確認(rèn)信息處理、信息管理等功能，使智能儀表在安裝、配置、參數(shù)設(shè)定、正常使用、維護(hù)等階段都能向用戶提供額外的服務(wù)，如在線調(diào)試、自動(dòng)故障定位等[6]。智能儀表的典型結(jié)構(gòu)如下圖1所示:

智能儀表主要分為三大功能模塊:模擬量輸入＼輸出、人-機(jī)接口、通信接口[5]。智能儀表的硬件部分主要包括主機(jī)電路、模擬量輸入＼輸出通道、人機(jī)接口電路、通信接口電路。智能儀表的軟件一般分為監(jiān)控程序模塊和接口管理程序模塊兩部分。監(jiān)控程序是面向儀器面板鍵盤和顯示器的管理程序；接口管理程序是面向通信接口的管理程序，接收并分析來自通信接口總線的遠(yuǎn)程控制命令。

圖1 智能儀表的典型結(jié)構(gòu)

智能儀表的主要用途是檢出、測(cè)量、觀察、計(jì)量各種物理量、物質(zhì)成分、物性參數(shù)等，并具有自動(dòng)控制、報(bào)警、信息傳遞和數(shù)據(jù)處理等功能[3]。智能儀表的應(yīng)用領(lǐng)域非常廣泛，覆蓋了工業(yè)、農(nóng)業(yè)、交通、科技、環(huán)保、軍工、國(guó)防、醫(yī)療健康、依法治國(guó)等各方面，在國(guó)民經(jīng)濟(jì)建設(shè)各行各業(yè)的運(yùn)行過程中承擔(dān)著信息傳感、數(shù)據(jù)審計(jì)、輔助決策等任務(wù)。智能儀表數(shù)據(jù)的精確、可靠、及時(shí)、可信，對(duì)于工農(nóng)業(yè)生產(chǎn)、國(guó)防建設(shè)、經(jīng)濟(jì)發(fā)展、自然災(zāi)害防治及環(huán)境保護(hù)等具有重要意義[6]。

2 智能儀表的網(wǎng)絡(luò)安全威脅分析

智能儀表使用的通信協(xié)議(如HART、MODBUS協(xié)議等)[2]在設(shè)計(jì)之初沒有專門的協(xié)議報(bào)文完整性、機(jī)密性、抗抵賴性方面的保護(hù)機(jī)制，造成報(bào)文傳輸過程中存在被監(jiān)聽、篡改、偽造及重放等安全威脅，其在工業(yè)生產(chǎn)控制現(xiàn)場(chǎng)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要表現(xiàn)為:

1)惡意攻擊者可以借助通用的便攜式手操器或者儀表管理通信軟件的組態(tài)、校驗(yàn)管理、調(diào)試等功能，通過調(diào)試接口等，對(duì)智能儀表的固件或操作系統(tǒng)進(jìn)行竄改，甚至注入惡意代碼，導(dǎo)致智能儀表工作狀態(tài)不正常或不可用；

2)未授權(quán)的外部設(shè)備或者通信組態(tài)軟件接入智能儀表時(shí)，可以實(shí)現(xiàn)對(duì)智能儀表量程的惡意篡改、零點(diǎn)漂移、停止工作等操作，從而導(dǎo)致智能儀表測(cè)量數(shù)值偏離真實(shí)值；

3)非法攻擊者可以接入智能儀表通信網(wǎng)絡(luò)，或者旁路正常工作的儀表，向控制中心發(fā)送虛假的數(shù)據(jù)，生產(chǎn)調(diào)度與控制中心一旦接收到錯(cuò)誤的工藝過程數(shù)據(jù)、測(cè)量數(shù)據(jù)，會(huì)以此為依據(jù)作出錯(cuò)誤的運(yùn)算判斷，發(fā)出錯(cuò)誤的控制命令，甚至啟動(dòng)應(yīng)急操作，從而導(dǎo)致生產(chǎn)線控制過程的異常反應(yīng)，造成難以預(yù)期的工業(yè)事故。

正是由于智能儀表存在上述漏洞，使得原本相對(duì)封閉、專用的工業(yè)自動(dòng)化測(cè)量領(lǐng)域，容易成為網(wǎng)絡(luò)攻擊的新目標(biāo)，對(duì)生產(chǎn)控制造成更深層次的破壞。

3 智能儀表網(wǎng)絡(luò)安全防護(hù)框架

3.1 智能儀表網(wǎng)絡(luò)安全防護(hù)技術(shù)現(xiàn)狀

智能儀表的漏洞及相關(guān)的信息安全問題是近幾年來才出現(xiàn)的新領(lǐng)域，相關(guān)的研究報(bào)道并不多見，而有關(guān)智能儀表的安全，目前的研究熱點(diǎn)主要集中于儀表的功能安全[9]，網(wǎng)絡(luò)安全方面的技術(shù)發(fā)展情況不明顯，僅在計(jì)量類儀表之一的智能電表網(wǎng)絡(luò)安全方面有些應(yīng)用成果。但是，以網(wǎng)絡(luò)化、數(shù)字化、智能化為基本特征的智能儀表應(yīng)用所要求的網(wǎng)絡(luò)安全防護(hù)技術(shù)，與傳統(tǒng)IT網(wǎng)絡(luò)信息安全不盡相同，主要體現(xiàn)在以下幾方面:

1)多數(shù)智能儀表的工作過程會(huì)處于振動(dòng)、溫度、濕度、氣壓、噪聲、腐蝕、粉塵等多環(huán)境參數(shù)(甚至有極限環(huán)境)共同作用的條件[1]，傳統(tǒng)IT網(wǎng)絡(luò)信息安全防護(hù)的系統(tǒng)和設(shè)備無法正常工作；

2)智能儀表的通信協(xié)議通常為現(xiàn)場(chǎng)總線協(xié)議，現(xiàn)場(chǎng)總線協(xié)議種類繁多，差異明顯，各種現(xiàn)場(chǎng)總線協(xié)議在工業(yè)測(cè)量?jī)x表領(lǐng)域都有一定程度的應(yīng)用，需要針對(duì)每種協(xié)議分析其存在的漏洞、脆弱性[7]，以及相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施；

3)大型工廠的生產(chǎn)控制網(wǎng)絡(luò)通常會(huì)存在成千上萬(wàn)個(gè)智能儀表的使用場(chǎng)景，智能儀表存在短報(bào)文應(yīng)用，猝發(fā)式通信與高實(shí)時(shí)性要求通信并存，各個(gè)儀表之間業(yè)務(wù)關(guān)聯(lián)性較弱等網(wǎng)絡(luò)應(yīng)用特點(diǎn)，智能儀表的網(wǎng)絡(luò)安全解決方案需要同時(shí)考慮低成本以及對(duì)工業(yè)測(cè)量業(yè)務(wù)的微影響問題[5]；

4)目前缺乏智能儀表網(wǎng)絡(luò)安全方面的國(guó)家標(biāo)準(zhǔn)及國(guó)際標(biāo)準(zhǔn)，相關(guān)技術(shù)、產(chǎn)品缺乏依據(jù)。

因此，需要?jiǎng)?chuàng)新開展?jié)M足智能儀表應(yīng)用要求的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及解決方案。

3.2 網(wǎng)絡(luò)安全防護(hù)框架結(jié)構(gòu)設(shè)計(jì)

針對(duì)上述章節(jié)分析的智能儀表面臨的網(wǎng)絡(luò)安全威脅，以及現(xiàn)有信息安全防護(hù)措施的不足，結(jié)合智能儀表的結(jié)構(gòu)特點(diǎn)，使用環(huán)境要求，提出一種智能儀表網(wǎng)絡(luò)安全防護(hù)框架[8]，智能儀表網(wǎng)絡(luò)安全防護(hù)框架系統(tǒng)結(jié)構(gòu)如下圖2所示:

圖2 智能儀表網(wǎng)絡(luò)安全防護(hù)框架的系統(tǒng)結(jié)構(gòu)

該框架基于密碼技術(shù)，采用模塊化設(shè)計(jì)，通過特殊設(shè)計(jì)的智能儀表安全加固模塊，對(duì)智能儀表通信雙方設(shè)備進(jìn)行身份識(shí)別、協(xié)議解析、異常報(bào)文過濾、報(bào)文加密解密、簽名驗(yàn)簽等處理。主要提供以下兩個(gè)方向的保護(hù)能力:

1)對(duì)具有外部數(shù)據(jù)通信能力的智能儀表，提供上位機(jī)工程師站與智能儀表的數(shù)據(jù)機(jī)密性、完整性、抗抵賴性、可用性、訪問控制保護(hù)；

2)對(duì)智能儀表的內(nèi)部數(shù)據(jù)提供機(jī)密性、完整性、可用性、訪問控制保護(hù)。

智能儀表網(wǎng)絡(luò)系統(tǒng)部署該安全防護(hù)框架后，能識(shí)別、過濾非法的外部設(shè)備(如第三方廠家手操器、非正常用戶使用的二次儀表)，或者HART通信軟件向智能儀表發(fā)送的修改儀表內(nèi)部重要參數(shù)的命令。并且，只有通過授權(quán)的協(xié)議報(bào)文才能下傳到智能儀表中，未經(jīng)授權(quán)的協(xié)議報(bào)文由安全防護(hù)框架自動(dòng)過濾，只能讀取變送器主參數(shù)而不能修改，這樣使得儀表內(nèi)部重要參數(shù)得到有效的保護(hù)，不受偶然的或者惡意的原因而遭到破壞、泄露。

另一方面，在上位機(jī)工程師站與智能儀表通信的應(yīng)用場(chǎng)景中，通過在上位機(jī)工程師站端，以及智能儀表端同時(shí)部署智能儀表網(wǎng)絡(luò)安全防護(hù)框架，將保護(hù)通信雙方遭受中間人攻擊，進(jìn)而防止上位機(jī)工程師站接受到虛假的現(xiàn)場(chǎng)測(cè)量參數(shù)信息欺騙。

智能儀表網(wǎng)絡(luò)安全防護(hù)框架應(yīng)至少包括通信模塊、安全算法模塊、協(xié)議處理模塊、邏輯控制模塊等，通信模塊負(fù)責(zé)智能儀表內(nèi)部與外部數(shù)據(jù)的收發(fā)，安全算法模塊是對(duì)協(xié)議報(bào)文進(jìn)行機(jī)密性、完整性、可用性、抗抵賴性和訪問控制保護(hù)的算法[10]，協(xié)議處理模塊識(shí)別智能儀表網(wǎng)絡(luò)所使用的協(xié)議類型，邏輯控制模塊依據(jù)協(xié)議識(shí)別的結(jié)果和參數(shù)配置情況調(diào)用相應(yīng)的處理模塊。

4 智能儀表網(wǎng)絡(luò)安全防護(hù)框架的應(yīng)用

4.1 應(yīng)用場(chǎng)景的網(wǎng)絡(luò)結(jié)構(gòu)

在石化行業(yè)、鋼鐵行業(yè)等工業(yè)控制系統(tǒng)的數(shù)據(jù)采集層一般會(huì)部署了大量的進(jìn)行數(shù)據(jù)采集的壓力變送器、溫度變送器、電磁流量計(jì)、液位變送器等智能儀表，目前這些智能儀表均具備HART或Profibus PA通信功能[4]。該場(chǎng)景中，數(shù)據(jù)采集層的智能儀表需要與上位機(jī)端的儀表管理軟件進(jìn)行通信，在該環(huán)節(jié)配置智能儀表網(wǎng)絡(luò)安全防護(hù)框架可以保護(hù)通信雙方遭受中間人攻擊，防止上位機(jī)被虛假的現(xiàn)場(chǎng)測(cè)量參數(shù)信息欺騙，誘發(fā)進(jìn)一步的錯(cuò)誤控制動(dòng)作，如圖3所示:

圖3 智能儀表網(wǎng)絡(luò)安全防護(hù)框架的系統(tǒng)結(jié)構(gòu)

該應(yīng)用場(chǎng)景主要對(duì)兩個(gè)環(huán)節(jié)進(jìn)行網(wǎng)絡(luò)安全防護(hù):1)智能儀表與手操器之間的HART通信過程防護(hù)；2)智能儀表與上位機(jī)系統(tǒng)之間的Profibus PA通信防護(hù)。

4.2 智能儀表網(wǎng)絡(luò)安全防護(hù)框架初步設(shè)計(jì)

在圖3所示的網(wǎng)絡(luò)環(huán)境中，智能儀表網(wǎng)絡(luò)安全防護(hù)框架的設(shè)備形態(tài)分成兩種:1)完成智能儀表與上位機(jī)系統(tǒng)之間的現(xiàn)場(chǎng)總線級(jí)通信安全防護(hù)功能，主要以外掛式專用防護(hù)設(shè)備為主，專用防護(hù)設(shè)備位于HART＼PROFIBUS PA通信模塊與智能儀表之間[2]，提供信息安全服務(wù)。在廠商允許的條件下，此處的智能儀表網(wǎng)絡(luò)安全防護(hù)框架也可以是軟件形態(tài)；2)保護(hù)智能儀表與手持器等的通信安全，形態(tài)主要以嵌入式信息安全芯片為主，芯片位于智能儀表內(nèi)部，與智能儀表一體化設(shè)計(jì)，芯片具有完整性和簽名、驗(yàn)簽功能，最終形成帶信息安全防護(hù)功能的新型智能儀表。同時(shí)，手持器一端也要安裝或集成安全防護(hù)功能的芯片或外設(shè)，與智能儀表中的信息安全芯片配對(duì)使用。

5 結(jié)語(yǔ)

智能儀表在工業(yè)領(lǐng)域兩化融合的趨勢(shì)下得到廣泛使用，但目前專門針對(duì)智能儀表的網(wǎng)絡(luò)安全威脅問題和信息安全防護(hù)技術(shù)方面的研究相對(duì)較少，在智能制造時(shí)代深入研究智能儀表的網(wǎng)絡(luò)安全防護(hù)技術(shù)意義突出。本文先討論智能儀表的典型結(jié)構(gòu)和面臨的網(wǎng)絡(luò)安全威脅，指出需要專門研究針對(duì)智能儀表的網(wǎng)絡(luò)安全防護(hù)框架，然后提出一種智能儀表網(wǎng)絡(luò)安全防護(hù)框架，并詳細(xì)分析該框架在智能儀表與上位機(jī)、手持器通信環(huán)節(jié)的實(shí)際應(yīng)用設(shè)計(jì)。

[1]潘世永，鄭萍，李英.工業(yè)自動(dòng)化儀表的智能化[J].中國(guó)儀器儀表，2010(8):106.

[2]馬小永，汪寶兵.HART協(xié)議簡(jiǎn)介及 HART智能儀表的組成原理[J].儀表技術(shù)與傳感器，2002，(4):45-48.

[3]裘玉瑞.現(xiàn)場(chǎng)總線智能儀表功能模塊(上)[J].世界儀表與自動(dòng)化，2001(8):30—32.

[4]張建華，于海斌，戰(zhàn)明，馬 鋼.FF現(xiàn)場(chǎng)總線智能儀表在焦?fàn)t控制系統(tǒng)中的應(yīng)用[J].儀器儀表學(xué)報(bào)，2006，(6):899-901.

[5]朱一綸，吳彪.智能儀器基礎(chǔ)[M].北京:電子工業(yè)出版社，2007:32-103.

[6]凌志浩.智能儀表原理與設(shè)計(jì)技術(shù)[M].上海:華東理工大學(xué)出版社，2005:48-113.

[7]饒志宏，蘭昆，蒲石.工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M].北京:國(guó)防工業(yè)出版社，2014:1-67.

[8]蘭昆，饒志宏，唐林.工業(yè)SCADA系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究[J].信息安全與通信保密，2010(03):47-49.

[9]IEC61511，F(xiàn)unctional safety Safety instrumented systems for the process industry sector[Z].2003，(1):55-85.

[10]斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐[M].北京:電子工業(yè)出版社.2011:156-213.

Network Security Threats and Protection Frame of Intelligent Instruments

TANG Lin，LAN Kun
(China Electronics Technology Cyber Security Co.，Ltd.，Chengdu Sichuan 610041，China)

Intelligent instruments plays an important role in display，measurement，adjustment and control of industrial automation and production，and thus is also widely applied in this field.However，network security problems of intelligent instruments arise unceasingly along with its applications，and attract much highly attention of the industrial circle.Firstly，network threats and vulnerabilities faced by intelligent instruments are analyzed，then the technical systems of network security protection studied，and finally，a cyber security protection frame of intelligent instrument proposed，a practical application of this security protection frame in a actual industrial environment also discussed.

intelligent instrument； network security； vulnerability； infosec protection frame

TP23 [文獻(xiàn)標(biāo)志碼]A [文章編號(hào)]1009-8054(2016)04-0092-03

2016-01-22