基于OPC協議的工控網絡系統防護淺析

對于生產現場有OPC協議的企業來講，綜合自身實力選擇適合自己的安全防護產品顯得越來越重要。而對OPC協議的解析到指令級還不夠，后續還需要深度解析到OPC協議操作指令所操作的對象是否在安全范圍內。

一、協議概述

提到OPC協議，大家想到最多的就是OPC Classic 3.0，實際上現在OPC協議有兩個大類，一種是基于微軟COM/DCOM技術的“Classic”，另一種是基于Web service的OPC UA。前者在DCOM協議之上，誕生較早，已廣泛應用在各種工業控制系統現場，成為工業自動化領域的事實標準。后者與前者比出生較晚，但在設計時考慮了安全因素，有了加密機制，不過目前應用范圍較小。本文主要討論的是前者在工控系統中的防護。

微軟的DCOM協議是在網絡安全問題被廣泛認識之前設計的，而基于DCOM協議的OPC Classic基本沒有增加任何安全相關的特性，幾乎所有著名的工業自動化軟件(包括HMI軟件、先進控制與優化軟件、監控平臺軟件、綜合集成軟件等)都是基于windows平臺開發,都采用或部分采用了OPC技術，所以對使用OPC協議進行通信的工控系統進行防護也變得復雜和困難。

二、動態端口

與大多數應用層協議不同，OPC的基礎協議DCOM協議使用動態端口機制，在真正建立數據連接之前通訊雙方還需要協商需要使用的端口。示例圖如下：

OPC動態端口協商過程

上圖中，OPC客戶端使用5568作為源端口首先向OPC服務器的135端口發起連接，連接成功后再經過OPC服務器分配新端口1118，并通過接口ISystemActivator的方法RemoteCreateInstance的應答報文返回給客戶端，之后客戶端使用5569作為源端口向服務器的1118端口發起新的連接用來后面的真正數據的傳輸。

三、面臨的安全威脅

基于OPC協議的工控網絡系統面臨各種各樣的威脅。在“兩網”融合的大背景下，工業控制系統的隔離性被打破，面臨來自網絡的威脅空前加劇。無用端口的開放、工業軟件依賴的操作系統本身存在的安全漏洞、工業協議本身安全性的缺失等等都將給工業控制網絡帶來巨大的安全隱患。在真正接入到企業管理網、互聯網之前，基于OPC協議的工業控制系統必須加入相應的安全設備進行防護，才能提高自身網絡的安全。由于OPC協議不同與傳統的IT應用層協議，對OPC協議的解析深度決定了安全產品在工業控制系統安全防護中的真正作用。

四、防護方案簡介

1. 傳統IT系統防火墻

如果在基于OPC協議的工業控制系統中安裝傳統IT系統防火墻(以下簡稱：傳統防火墻)進行防護，由于傳統防火墻不支持OPC協議的任何解析，為了能夠保證OPC業務的正常使用，不得不開放OPC服務器的所有可開放端口，而OPC服務器可以分配的端口號范圍很廣-如果OPC服務器安裝在Windows Server 2008，超過16000個端口號都可能被使用，早期的Windows版本則超過了48000個端口號。

傳統防火墻部署示意圖

上圖中傳統防火墻安裝在企業管理網和生產控制網的邊界進行防護，由于OPC服務器可能使用任何可使用的端口來進行真正的數據連接，而具體使用的端口號在響應客戶端請求的應答報文中。傳統防火墻無法識別出OPC服務器具體使用的端口號，為確保OPC客戶端可以正常連接OPC服務器，防火墻需要配置全部端口可訪問，這樣的傳統防火墻形同虛設，生產控制網的門口大開，幾乎安全暴露在攻擊者面前。

2. 端口防護工業防火墻

區別與傳統防火墻，近年來發展起來的專門用于防護工業控制現場的工業級防火墻基本支持了OPC的深度解析，但依據解析深度的不同，在OPC協議為基礎的網絡中，工業防火墻的防護能力也有所不同。

對OPC進行簡單解析的工業防火墻可以跟蹤OPC連接建立的動態端口，最小化的開放工業控制網絡的端口。如下圖：

端口防護級工業防火墻部署示意圖

端口防護級工業防火墻同樣部署在企業生產網和生產控制網的邊界，此時配置策略只需要配置開放OPC服務器的135端口，當OPC客戶端與服務器建立連接時，端口防護級防火墻跟蹤并解析OPC服務器與OPC客戶端協商出來的動態端口，然后自動將動態端口加入到防火墻的開放端口中，從而最小化開放生產控制網的端口，與傳統防火墻相比，防護能力有了進一步提升。

3. 指令防護工業防火墻

端口防護工業防火墻相比傳統防火墻雖然提升了防護能力，但攻擊者仍然可以通過建立的數據通道發送惡意的OPC操作指令，所以僅僅做到動態端口跟蹤還無法保證基于OPC協議的工業控制系統的安全。所以對OPC協議的進一步解析，催生了指令級防護工業防火墻，這也是目前市面上主流的工業防火墻。OPC協議的深度解析要求也加入到了工業防火墻國家標準的草稿中(此標準尚未正式發布)。下圖是指令級防護工業防火墻的典型部署：

指令級防護工業防火墻部署圖

部署在企業管理網和生產控制網邊界處的指令級工業防火墻，深度解析OPC協議到指令級別，不僅可以跟蹤OPC服務器和OPC客戶端之間協商的動態端口，最小化開放生產控制網的端口，還對OPC客戶端與OPC服務器之間傳輸的指令請求進行實時檢測，對于不符合安全要求的操作指令進行攔截和報警，極大提升了基于OPC協議的工業控制系統的網絡安全。

除了做到指令防護外，還有更人性化一點的工業防火墻內置只讀模板，滿足使用OPC協議的大部分業務場景，因為使用OPC協議的工業控制現場一般只是用來采集數據，使用只讀模板來防護完全滿足現場安全要求。工業防火墻內置的只讀模板一鍵部署，安全、方便，降低管理員維護成本，有效保障工業控制系統數據不被惡意篡改。

4. 優缺點比較

五、結論

隨著國家網絡安全法的頒布和國家“中國制造2025”戰略的要求，逐漸打破物理隔離的工業生產網絡對安全的需求越來越迫切。對于生產現場有OPC協議的企業來講，綜合自身實力選擇適合自己的安全防護產品顯得越來越重要。而對OPC協議的解析到指令級還不夠，后續還需要深度解析到OPC協議操作指令所操作的對象是否在安全范圍內，對操作對象的值進行安全檢測，確保OPC協議發送的每一個字節都是可識別、可控制、安全無害的。

來源：安全牛