《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。 在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

此篇连载内容为第最后一节: 实验室环境概述
本节详细介绍位于马里兰州的盖瑟斯堡的国家标准和技术研究所(NIST)总部的实验室环境(即实验室)。该实验室具有联网服务器组成的共享基础设施、评测工具、工业机器人、硬件在环仿真器等技术,为在两个制造系统(过程控制系统(PCS)和协同机器人系统(CRS))上实现《制造篇》提供支持。PCS和CRS利用工业硬件(如可编程逻辑控制器、机械手臂和传感器)、联网设备和工业协议模拟流程型制造系统和离散型制造系统。有关这两个系统的详情,请参见8.1节和8.2节。
图8-1所示的网络基础架构用于以下研究用途: 测试、部署和托管网络安全工具和网络流量评测系统、生成和操控用于触发异常网络活动的网络流量,以及存储实验数据文档。该架构使用了虚拟化环境,为构建该架构所需的大量网络安全技术和工具提供支持。
低影响性示例实施指南:第1卷-总体指导-连载4 - 图1
8-1 实验室网络基础架构
实验室网络基础架构可划分为三个独立的网络区域: 管理区、DMZ(非军事化)区和实验室区。管理区中的主机用于管理实验室设备(如网络硬件和虚拟化服务器)。DMZ区的主机用于在实验室网络和顶层网络(NIST网络)之间进行数据分享。实验室区包含可共享的评测服务器和工具以及用于托管网络安全工具的虚拟化架构。
实验室区连接本地PCS和CRS网络,这两种网络独立运行。PCS网络通过开放式最短路径优先(OSPF)路由协议连接实验室局域网,而CRS网络通过动态网络地址转换技术(动态NAT)连接实验室局域网。
PCS和CRS网络中都具备专用网络抓包服务器。该服务器通过两种方式抓包: 报文镜像和利用基于“线路插件”(bump-in-the-wire)技术的网络探针。要进行报文镜像,需配置网络设备(如路由器和交换机)对报文进行复制然后转发至另一端口。网络探针提供类似功能,但须通过线缆接入网络。在实验中,镜像的报文通过报文代理汇总为两种流(一种包含PCS流量,另一种包含CRS流量)。来自聚合器和网络探针的网络流量最终到达网络抓包服务器,该服务器对这些报文进行缓存、存储并随即进行处理从而计算衡量指标和关键性能指标用于实验分析。

8.1 流程型制造系统

过程控制系统模拟工业连续制造系统,实现材料连续生产和加工的制造过程。在该过程中,材料持续运动,发生化学反应或进行机械处理或热处理。从一般意义上说,连续制造指全天候(24/7)运行,基本不会因检修而停产,这与批量制造形成鲜明对比。例如,连续型制造系统可用于化工生产、炼油、天然气加工和废水处理。
过程控制系统(PCS)采取田纳西-伊斯曼挑战问题(真实存在的化工生产过程)作为化学反应仿真模型。该系统集成了Ricker开发的控制算法用于控制模拟的化学反应。该系统采用可编程逻辑控制器(PLC)和工业网络交换机等广泛部署的工业硬件设备实现控制回路,对完整的连续型化工制造系统进行模拟。通过配置硬件在环(hardware-in-the-loop)技术,试验台可利用工业硬件设备评估制造系统的性能,并通过软件实现化工生产过程仿真。
低影响性示例实施指南:第1卷-总体指导-连载4 - 图2
图8-2 PCS系统

8.1.1 控制系统运行

过程控制系统(PCS)中内置一款软件模拟器,用于模拟田纳西-伊斯曼化学反应过程。模拟器采用C代码编写,在基于Windows 7的计算机上执行。此外,该系统还包括可编程逻辑控制器(PLC)、通过MATLA实现的软件控制器、人机界面(HMI)、OPC(过程控制的对象链接与嵌入技术)数据访问(DA)服务器、历史数据库、工程工作站和数台虚拟局域网(VLAN)交换机和网络路由器。PCS部署在19英寸的机架系统中,如8-2图所示。
田纳西-伊斯曼工厂模拟器需要控制器实现控制回路,从而确保持续运营。Simulink中实现的分散式控制器(由Ricker 开发)可用作过程控制器。Ricker实现精确匹配工厂模拟器,控制器作为独立软件过程,运行在单独的计算机上,而工厂模拟器运行在另一台计算机上。
要实现工厂模拟器和控制器之间的通信,需部署提供工业网络协议能力的硬件PLC设备。采取工业协议实现工厂模拟器和PLC之间的通信。工厂模拟器将传感器信息发给控制器,控制器的算法基于传感器输入计算执行器所需的值,然后将这些值发回工厂控制器。
在工厂模拟器计算机上安装多节点DeviceNet卡。DeviceNet是自动化行业的一种通用工业协议,用于实现控制设备之间的数据交换。单个硬件设备可利用多节点卡模拟多个虚拟的DeviceNet节点。在我们的示例中,每个传感器和执行器均为专用节点。因此,该系统中配置了53个虚拟节点(包括传感器的41个虚拟节点和执行器的12个虚拟节点)。并且,开发了软件接口用于通过DeviceNet在工厂模拟器和PLC之间发送和接收传感器和执行器的值。
OPC DA服务器在Windows 7计算机上运行,充当PLC的主要数据网关。PLC与OPC DA服务器进行通信,对所有传感器和执行器的信息进行更新和检索。在PLC专业术语中,传感器和执行器的信息称为“标签”。该控制器提供MATLAB Simulink接口与OPC DA服务器直接通信。
该系统提供人机界面(HMI)和历史数据库。HMI为图形化用户界面,面向操作员或用户显示过程状态信息。历史数据库是记录所有过程传感器和执行器的信息的主数据库。HMI和历史数据库均通过内置接口与OPC DA建立连接,访问所有过程信息。
在该系统中,工程工作站用于提供工程支持,如PLC开发和控制、HMI开发和部署以及对历史数据库进行数据检索。

8.1.2 网络架构

PCS网络通过边界路由器与实验室主局域网隔离。路由器利用动态路由协议,即开放式最短路径优先(OSPF),与顶层的主路由器进行通信。网络架构如图8-3所示。
所有的网络流量均需通过边界路由器访问实验室的主局域网。
系统中存在两个虚拟网段,每个网络均由以太网交换机管理。HMI和控制器位于虚拟网络VLAN-1中,而工厂模拟器、历史数据库、OPC DA服务器和PLC位于虚拟网络VLAN-2中。
VLAN-1对中央控制室环境进行模拟。在该环境中,HMI和控制器以虚拟化的形式部署在同一网段。VLAN-2模拟由生产厂区、PLC、OPC服务器和历史数据库组成的过程运行环境。
低影响性示例实施指南:第1卷-总体指导-连载4 - 图3
图8-3 PCS网络架构

8.2 离散型制造系统

CRS工作单元包括两个机械手臂,用于执行称为机器送料的材料处理流程,如图8-4所示。这一机械化的机器送料流程利用机器人与机器进行交互,替代人类进行的手动操作(如装载和卸载机器的部件、打开和关闭机门、激活操作员控制面板的按钮等)。
低影响性示例实施指南:第1卷-总体指导-连载4 - 图4
图8-4 CRS工作单元准备就绪,等待操作员启动制造流程。操作员控制模板位于图的上部。
人类操作员通过人机界面(HMI)以及工作区外部的控制面板与工作单元进行交互。
工作单元需具备可重构性,支持多类作业方法、网络拓扑以及工业组网协议。这两个机器人互相配合,负责整个制造流程的部件输送。之所以部署两个机器人是因为该工作单元共有四个站,单个机器人无法同时接触这四个站。同时,部署两个机器人也提升了工作单元的效率。

8.2.1 控制系统运行

机械手臂通过四个模拟的机器操作(称为“站”)传输部件。每个站由以下装置组成: 固定装置(用于固定部件)、红外接近传感器(检测部件)、单板计算机(模拟典型加工中心的操作和通信)以及液晶显示屏(LCD,显示站的运行状态)。这些站通过工作单元的局域网与管理型PLC进行通信。管理型PLC对制造过程的方方面面进行监测和控制。
PLC根据这四个加工站的制造数据确定机械装置需进行哪些必要操作(作业)才能确保部件在整个制造过程中持续正常运动。同时,PLC与HMI进行通信,便于操作员及时了解操作状态并进行管控。
工作单元由联网服务器组成的共享基础架构、评测工具和其他技术提供支持。该基础架构用于多项研究职能,如网络安全工具的测试、部署和托管、网络流量的评测和抓包系统、对触发异常网络活动的网络流量进行生成和处理以及实验数据文件存储。在实现中,同时部署了虚拟服务器基础架构为所需的多项网络安全技术和工具提供支持。

8.2.2 网络架构

如图8-5所示,CRS网络采取层级架构,将提供管理功能的设备与控制制造过程的设备进行隔离。工作单元的顶层路由器为西门子提供的RUGGEDCOM RX1510路由器,该路由器提供防火墙能力,实现基于规则的网络流量放行和限制。该路由器通过网络地址转换(NAT)连接实验室的局域网(即图8-5中的试验台局域网)。管理型局域网的二层网络流量由Netgear GS724T托管以太网交换机处理,而控制型局域网的网络流量由西门子i800托管以太网交换机处理。
路由器和网络交换机用于将收到的网络流量镜像至位于测量机架上的抓包服务器上。串联(即bump-in-the-wire)在网络中的网络探针部署在PLC、HMI和站1,专门用于将进出网络流量转发至抓包服务器。
所有的基于制造过程的网络通信均采取Modbus TCP工业网络协议,机器人控制器和机器人驱动程序之间的网络流量采取机器人操作系统(ROS)本身的TCPROS和UDPROS协议。
低影响性示例实施指南:第1卷-总体指导-连载4 - 图5
图8-5 机器人装配CRS网络