摘要：Modbus TCP通訊安全解決方案資訊由優秀的流量計、流量儀生產報價廠家為您提供。Modbus是由Modicon在1979年發明的，是全球*個真正用于工業現場的總線協議。在我國，Modbus已經成為國家標準GB/T19582-2008。Modbus協議是應用于電子控制器上的一種通用語言。通過此協議，控。更多的流量計廠家選型號價格報價歡迎您來電咨詢，下面是Modbus TCP通訊安全解決方案文章詳情。

Modbus是由Modicon在1979年發明的，是全球*個真正用于工業現場的總線協議。在我國，Modbus已經成為國家標準GB/T19582-2008。Modbus協議是應用于電子控制器上的一種通用語言。通過此協議，控制器相互之間、控制器經由網絡（例如以太網）和其它設備之間可以通信。它已經成為一通用工業標準。

1、概述

SCADA、DCS、PCS、PLC等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域，用于控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。工信部協[2011]451號通知明確指出，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。

使用Modbus協議，不同廠商生產的控制設備可以連成工業網絡,進行集中監控。此協議定義了一個控制器能認識使用的消息結構，而不管它們是經過何種網絡進行通信的。它描述了一控制器請求訪問其它設備的過程,如何回應來自其它設備的請求，以及怎樣偵測錯誤并記錄。它制定了消息域格局和內容的公共格式。

當在一Modbus網絡上通信時，此協議決定了每個控制器須要知道它們的設備地址，識別按地址發來的消息，決定要產生何種行動。如果需要回應，控制器將生成反饋信息并用Modbus協議發出。在其它網絡上,包含了Modbus協議的消息轉換為在此網絡上使用的幀或包結構。這種轉換也擴展了根據具體的網絡解決節地址、路由路徑及錯誤檢測的方法。Modbus具有以下幾個特點：

●標準、開放，用戶可以免費、放心地使用Modbus協議。目前，支持Modbus的廠家超過400家，支持Modbus的產品超過600種。

●Modbus可以支持多種電氣接口，如RS-232、RS-485等，還可以在各種介質上傳送，如雙絞線、光纖、無線等。

●Modbus的幀格式簡單、緊湊，通俗易懂。用戶使用容易，廠商開發簡單。

2、現狀與分析

簡單的系統網絡結構如上圖所示，由信息層（Informationzone）、操作站層（Stationzone）和控制器層（Controllerzone）三大部分組成。控制器層和操作站層之間的通訊遵循Modbus協議。目前的現狀是大多數控制網絡中在運行的電腦，很少或沒有機會安裝全天候病毒防護或更新版本。控制器的設計都以優化實時的I/O功用為主，而並不提供加強的網絡連接安全防護功能。并且許多控制網絡都是“敞開的”，不同的子系統之間都沒有有效的隔離，當操作站層面出現問題被攻擊后，病毒就通過網絡迅速蔓延，影響到控制層設備，給工廠帶來巨大損失。

目前，石油化工，水處理以及制造業等為了避免重大風險，基本都遵守行業標準ANSI/ISA-99Standards的要求進行規劃。ANSI/ISA-99及NorthAmericanElectricReliabilityCouncil（NERC）CIP-005，均指出過程控制系統或SCADA控制網絡應與其他系統隔離，包括企業IT網絡，控制網絡安全要點如下：

需要注意的是，商業網絡的安全需求與控制網絡的安全需求在某些地方完全不同。就工業領域通訊應用來講，網閘及普通IT防火墻在功能上存在一定局限性，無法實現基于工業控制網絡要求的安全防護，并且不利于后期維護。因此不要試圖將控制系統放入IT解決方案中，選用專有的控制系統防火墻加上良好的控制系統安全策略才能為工業控制系統安全提供高效的網絡攻擊防御能力。想要滿足這一安全要求，Tofino是一種經濟高效的方式。

3、Tofino解決方案

本方案主要致力于解決現場以Modbus協議通訊的控制層設備的安全問題。

3.1方案亮點

Tofino能夠用來分離安全系統網絡與過程系統網絡，實現關鍵系統與非關鍵系統的物理隔離。與普通商用防火墻相比，Tofino更適于工業控制系統安全防護，主要體現在：

（1）工業型：

●參照ANSI/ISA-99Standards的安全要求為設計理念，產品更具針對性和高效性，專門用于工業控制系統的安全保護。

●內置50多種專有工業通信協議，與常規防火墻不同的是，Tofino防火墻不僅是在端口上的防護，更重要的是基于應用層上數據包深度檢查，屬于新一代工業通訊協議防火墻，為工業通訊提供獨特的、工業級的專業隔離防護解決方案。

●具備在線修改防火墻組態功能，可以實時對組態的防火墻策略進行修改，而且不影響工業實時通訊。其它防火墻需要斷電、重啟等。

●工業型設計，導軌式安裝，低功耗無風扇，具備二區防爆認證。

（2）獨有專利安全連接技術：

●首先防火墻自身是基于非IP的獨有專利安全連接技術進行管理，能夠阻擋任何欺騙式攻擊。

●能夠隱藏防火墻后端所有設備的IP地址，讓入侵者無法發現目標，更無從談發動任何攻擊。

●集防火墻與虛擬路由于一身，能夠像網絡交通*一樣管控通訊網絡數據通訊的路徑、對象以及數據流的方向，可以設定數據流入、流出的單向或雙向。

（3）市面上*滿足ANSI/ISA-99和NERC-CIP標準

根據ANSI/ISA-99和NERC-CIP標準，TSA可以很方便的針對PLC、DCS、RTU、IED和HMI提供一個性價比很高的安全分區——一個配置得當的保護區域分組。

（4）特有‘測試’模式

‘測試’模式可以在對控制系統無任何風險的情況下進行防火墻和VPN測試。TEST模式不同于實際的操作模式，在TEST模式中，Tofino允許所有的通訊通過，但是由CMP報告在操作模式下任何可能被攔截的通訊。這一點對于工業或SCADA控制系統的安全操作相當關鍵，用傳統的IT防火墻是不可能實現的。這也是Tofino適合于工業控制系統的獨特性的一個方面。

（5）實時網絡通訊透視鏡：

能夠為目前控制網絡故障分析、監控、記錄提供一個簡單、有效的可靠工具，能夠確切的觀察、分析、控制網絡通信電纜中所使用的通訊協議、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄，保證控制網絡通訊的實時診斷。

3.2方案構成

一個完整的Tofino安全解決方案包括以下四部分：

（1）Tofino安全模塊（TSA）

增強型工業環境要求設計，即插即用，應用于受保護的區域或控制器等關鍵設備之前。下圖為Tofino安全模塊硬件的兩種選型。硬件設計遵循增強型工業環境要求，應用于受保護的區域或控制器等關鍵設備之前，設計使用壽命27年，能夠提供安全系統的工業平臺。

（2）Tofino可裝載安全軟插件（LSM）

專為工業通訊協議設計的安全軟插件，可以直接裝載到Tofino安全模塊中，并根據系統需求提供各種定制安全服務。方案中可選的基本軟插件包括：

●TofinoFirewallLSM工業通信防火墻；

工業網絡交通*，提供防火墻及網絡交通控制功能的軟插件內置50多個工業專用及商業IT通信協議，預先定義超過25個控制器類型（例如：西門子S7-300/S7-400，HoneywellPKSC200/C300/）；LSM在線協議組態，可自己定制通訊協議或者通過設備學習功能實現通訊協議定制；通過通訊協議指令級別的管控，預先組態用于高級過濾和攻擊保護的“特殊規則”。符合ANSI/ISA-99.00.02的網絡分段要求，達到區域隔離目標。

●ModbusTCPEnforcerLSM通信深度檢測及防護；

*能夠深入協議內部檢測工業協議的產品，控制工程師可定義允許的Modbus指令，寄存器和線圈名單列表。自動阻止并報告任何流量不匹配您的規則。所有協議要被完整全面的檢查,檢察并阻止任何不符合Modbus通訊協議的通訊內容。

●SecureAssetManagementLSM安全設備資產管理；

像雷達一樣，Tofino的安全設備資產管理（SAM）可裝載模塊可以追蹤每一個通過Tofino安全設備進行通訊的設備。不過，為了避免引起進程干擾，它實現這一功能使用的并不是傳統的掃描技術。

●EventLoggerLSM事件日志與報警管理；

Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監控功能和記錄功能，它是一個專為工業控制網絡設計的日志記錄系統。

（3）Tofino中央管理平臺（CMP）

窗口化的中央管理平臺系統及數據庫，用于Tofino安全模塊的配置、組態和管理，并能實現系統的報警和日志的實時監控和歷史查詢。能夠為目前控制網絡故障分析、監控、記錄提供一個簡單、有效的可靠工具，能夠確切的觀察、分析、控制網絡通信電纜中所使用的通訊協議、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄，保證控制網絡通訊的實時診斷。具備在線組態、在線監控、資產管理等多種功能。

（4）Tofino安全管理平臺（SMP）

SMPServer接收CMP或TSA的日志和報警記錄，并將日志和報警存儲在服務器數據庫中。SMPClient安裝在辦公局域網上的辦公電腦中，支持以圖形的方式實時顯示CMP或TSA收集的日志和報警記錄，并且支持日志和報警的查詢。

3.3方案介紹與實施

產品的選型和方案的實施可以概括為以下三步，實際中對于不同的環境和安全要求，具體的方案和實施過程略有不同。

*步：創建網絡安全分區?，確定在何處放置TOFINO安全設備TSA。

第二步：確定需要哪些可裝載安全功能軟插件（LSMs），以確保每個區域安全不同的要求。

第三步：選擇一個服務器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP，CMP和SMP也可以分別安裝在不同的機器。

結合上述控制系統的網絡結構，本方案對Modbus通信部分控制設備需要進行的保護進行詳細介紹。

（1）基于保護控制層設備的目的，本方案中將控制層設備作為一個安全分區，在控制層和操作站層之間部署一個TSA，將控制層設備置于TSA之后，與操作站層進行隔離。

（2）考慮到采用控制層和操作站層之間使用Modbus協議進行通信，建議配置的LSM軟插件如下：

（3）選擇網絡中合適的機器安裝CMP和SMP，也可以選用單獨的計算機安裝CMP和SMP，創建整個網絡模型，并設置合適的通信規則，確保網絡中只有合法的通信通過，這樣可以將全廠所有設備硬件都集中管理，對全廠控制網絡狀態一目了然。

3.4方案目標

該方案以建立縱深防御策略為主要思想，確保工廠網絡中即使某一點發生網絡安全事故，工廠也能正常運行，同時，工廠操作人員能夠很迅速的找到問題并進行處理，主要達到以下目標：

●區域隔離：Tofino工業防火墻插件能夠過濾兩個區域網絡間的通信。這樣意味著網絡故障會被控制在zui初發生的區域內，而不會影響到其它部分；

●深度檢查：面向應用層對特有的工業通訊協議進行內容深度檢查，告別病毒庫升級缺陷；

●通信管控：通信規則是可以通過中央管理平臺進行在線組態和測試的；

●實時報警：所有部署的防火墻都能由中央管理平臺統一進行實時監控，任何非法的（沒有被組態允許的）訪問，都會在中央管理平臺產生實時報警信息，從而故障問題會在原始發生區域被迅速的發現和解決。

四、結束語

Tofino工業網絡安全解決方案針對控制系統網絡特別設計，旨在為其提供一種分區的安全解決方案。Tofino擁有極高的性價比，它能在工廠車間中建立深層防護架構，因此，即使有黑客或病毒通過主要的企業防火墻，他們也將面對基于控制網絡特點而設計的專業安全設備。對工業企業來說TofinoSecuritySystem更意味著zui佳的安全效益和，并不只是簡單滿足了獨立的關鍵控制設備的安全要求。

不同于傳統的IT防火墻，Tofino專為工業環境控制網絡通信安全而設計。現場技術人員只需簡單為Tofino接入電源，并連接兩個網絡的電纜即可，無需其他任何操作。一旦安裝成功，技術人員即可毫不費力地管理任何系統，以總攬公司大局的方式對網絡威脅做出及時反應。zui重要的是，Tofino既可以靈活運用在單純由PLC構成的小型工廠中，又能夠滿足那些擁有成千上萬個設備并且分布全球各地的大型跨國集團的使用要求。

以上就是本文全部內容，歡迎您來電咨詢我廠家流量計選型、報價等內容。

《Modbus TCP通訊安全解決方案》本文地址：http://sadpump.com/news/1746.html 轉載請勿刪除！