編者按：

《NIST網路安全框架製造篇》為製造商管理網路安全風險提供了思路，可作為規劃方案，指導讀者如何識別機會，改善製造系統的網路安全狀況。它根據特定的業務/任務目標，為安全活動劃分了優先順序，同時確定了哪些安全實踐具有可操作性，可以為關鍵業務/任務目標提供支撐。

在指南第1卷-總體指導中：

• 第1節概述了《網路安全框架製造篇》目的與使用範圍；

• 第2節簡要介紹了製造系統；

• 第3節介紹了《網路安全框架製造篇》內容；

• 第4節闡述了該專案的《網路安全框架製造篇》實施方法；

• 第5節概述了滿足《網路安全框架製造篇》中“低影響性”要求所需的政策和程式檔案；

• 第6節介紹了滿足《網路安全框架製造篇》中“低影響性”要求所需的技術能力；

• 第7節討論了滿足《網路安全框架製造篇》中“低影響性”要求的可能方案；

• 第8節概述了實施方案的實驗室環境。

此篇連載內容為第最後一節： 實驗室環境概述

本節詳細介紹位於馬里蘭州的蓋瑟斯堡的國家標準和技術研究所（NIST）總部的實驗室環境（即實驗室）。該實驗室具有聯網伺服器組成的共享基礎設施、評測工具、工業機器人、硬體在環模擬器等技術，為在兩個製造系統（過程控制系統（PCS）[12]和協同機器人系統（CRS）[11]）上實現《製造篇》提供支援。PCS和CRS利用工業硬體（如可程式設計邏輯控制器、機械手臂和感測器）、聯網裝置和工業協議模擬流程型製造系統和離散型製造系統。有關這兩個系統的詳情，請參見8.1節和8.2節。

圖8-1所示的網路基礎架構用於以下研究用途： 測試、部署和託管網路安全工具和網路流量評測系統、生成和操控用於觸發異常網路活動的網路流量，以及儲存實驗資料文件。該架構使用了虛擬化環境，為構建該架構所需的大量網路安全技術和工具提供支援。

圖8-1實驗室網路基礎架構

實驗室網路基礎架構可劃分為三個獨立的網路區域： 管理區、DMZ（非軍事化）區和實驗室區。管理區中的主機用於管理實驗室裝置（如網路硬體和虛擬化伺服器）。DMZ區的主機用於在實驗室網路和頂層網路（NIST網路）之間進行資料分享。實驗室區包含可共享的評測伺服器和工具以及用於託管網路安全工具的虛擬化架構。

實驗室區連線本地PCS和CRS網路，這兩種網路獨立執行。PCS網路透過開放式最短路徑優先（OSPF）路由協議連線實驗室區域網，而CRS網路透過動態網路地址轉換技術（動態NAT）連線實驗室區域網。

PCS和CRS網路中都具備專用網路抓包伺服器。該伺服器透過兩種方式抓包： 報文映象和利用基於“線路外掛”（bump-in-the-wire）技術的網路探針。要進行報文映象，需配置網路裝置（如路由器和交換機）對報文進行復制然後轉發至另一埠。網路探針提供類似功能，但須透過線纜接入網路。在實驗中，映象的報文透過報文代理彙總為兩種流（一種包含PCS流量，另一種包含CRS流量）。來自聚合器和網路探針的網路流量最終到達網路抓包伺服器，該伺服器對這些報文進行快取、儲存並隨即進行處理從而計算衡量指標和關鍵效能指標用於實驗分析。

8.1  流程型製造系統

過程控制系統模擬工業連續製造系統，實現材料連續生產和加工的製造過程。在該過程中，材料持續運動，發生化學反應或進行機械處理或熱處理。從一般意義上說，連續製造指全天候（24/7）執行，基本不會因檢修而停產，這與批次製造形成鮮明對比。例如，連續型製造系統可用於化工生產、煉油、天然氣加工和廢水處理。

過程控制系統（PCS）採取田納西-伊斯曼挑戰問題[9]（真實存在的化工生產過程）作為化學反應模擬模型。該系統整合了Ricker[10]開發的控制演算法用於控制模擬的化學反應。該系統採用可程式設計邏輯控制器（PLC）和工業網路交換機等廣泛部署的工業硬體裝置實現控制迴路，對完整的連續型化工製造系統進行模擬。透過配置硬體在環（hardware-in-the-loop）技術，試驗檯可利用工業硬體裝置評估製造系統的效能，並透過軟體實現化工生產過程模擬。

圖8-2 PCS系統

8.1.1 控制系統執行

過程控制系統（PCS）中內建一款軟體模擬器，用於模擬田納西-伊斯曼化學反應過程。模擬器採用C程式碼編寫，在基於Windows 7的計算機上執行。此外，該系統還包括可程式設計邏輯控制器（PLC）、透過MATLA實現的軟體控制器、人機介面（HMI）、OPC（過程控制的物件連結與嵌入技術）資料訪問（DA）伺服器、歷史資料庫、工程工作站和數臺虛擬區域網（VLAN）交換機和網路路由器。PCS部署在19英寸的機架系統中，如8-2圖所示。

田納西-伊斯曼工廠模擬器需要控制器實現控制迴路，從而確保持續運營。Simulink中實現的分散式控制器（由Ricker [10]開發）可用作過程控制器。Ricker實現精確匹配工廠模擬器，控制器作為獨立軟體過程，執行在單獨的計算機上，而工廠模擬器執行在另一臺計算機上。

要實現工廠模擬器和控制器之間的通訊，需部署提供工業網路協議能力的硬體PLC裝置。採取工業協議實現工廠模擬器和PLC之間的通訊。工廠模擬器將感測器資訊發給控制器，控制器的演算法基於感測器輸入計算執行器所需的值，然後將這些值發回工廠控制器。

在工廠模擬器計算機上安裝多節點DeviceNet卡。DeviceNet是自動化行業的一種通用工業協議，用於實現控制裝置之間的資料交換。單個硬體裝置可利用多節點卡模擬多個虛擬的DeviceNet節點。在我們的示例中，每個感測器和執行器均為專用節點。因此，該系統中配置了53個虛擬節點（包括感測器的41個虛擬節點和執行器的12個虛擬節點）。並且，開發了軟體介面用於透過DeviceNet在工廠模擬器和PLC之間傳送和接收感測器和執行器的值。

OPC DA伺服器在Windows 7計算機上執行，充當PLC的主要資料閘道器。PLC與OPC DA伺服器進行通訊，對所有感測器和執行器的資訊進行更新和檢索。在PLC專業術語中，感測器和執行器的資訊稱為“標籤”。該控制器提供MATLAB Simulink介面與OPC DA伺服器直接通訊。

該系統提供人機介面（HMI）和歷史資料庫。HMI為圖形化使用者介面，面向操作員或使用者顯示過程狀態資訊。歷史資料庫是記錄所有過程感測器和執行器的資訊的主資料庫。HMI和歷史資料庫均透過內建介面與OPC DA建立連線，訪問所有過程資訊。

在該系統中，工程工作站用於提供工程支援，如PLC開發和控制、HMI開發和部署以及對歷史資料庫進行資料檢索。

8.1.2  網路架構

PCS網路透過邊界路由器與實驗室主區域網隔離。路由器利用動態路由協議，即開放式最短路徑優先（OSPF），與頂層的主路由器進行通訊。網路架構如圖8-3所示。

所有的網路流量均需透過邊界路由器訪問實驗室的主區域網。

系統中存在兩個虛擬網段，每個網路均由乙太網交換機管理。HMI和控制器位於虛擬網路VLAN-1中，而工廠模擬器、歷史資料庫、OPC DA伺服器和PLC位於虛擬網路VLAN-2中。

VLAN-1對中央控制室環境進行模擬。在該環境中，HMI和控制器以虛擬化的形式部署在同一網段。VLAN-2模擬由生產廠區、PLC、OPC伺服器和歷史資料庫組成的過程執行環境。

 

圖8-3 PCS網路架構

8.2  離散型製造系統

CRS工作單元包括兩個機械手臂，用於執行稱為機器送料[11]的材料處理流程，如圖8-4所示。這一機械化的機器送料流程利用機器人與機器進行互動，替代人類進行的手動操作（如裝載和解除安裝機器的部件、開啟和關閉機門、啟用操作員控制皮膚的按鈕等）。

圖8-4 CRS工作單元準備就緒，等待操作員啟動製造流程。操作員控制模板位於圖的上部。

人類操作員透過人機介面（HMI）以及工作區外部的控制皮膚與工作單元進行互動。

工作單元需具備可重構性，支援多類作業方法、網路拓撲以及工業組網協議。這兩個機器人互相配合，負責整個製造流程的部件輸送。之所以部署兩個機器人是因為該工作單元共有四個站，單個機器人無法同時接觸這四個站。同時，部署兩個機器人也提升了工作單元的效率。

8.2.1 控制系統執行

機械手臂透過四個模擬的機器操作（稱為“站”）傳輸部件。每個站由以下裝置組成： 固定裝置（用於固定部件）、紅外接近感測器（檢測部件）、單板計算機（模擬典型加工中心的操作和通訊）以及液晶螢幕（LCD，顯示站的執行狀態）。這些站透過工作單元的區域網與管理型PLC進行通訊。管理型PLC對製造過程的方方面面進行監測和控制。PLC根據這四個加工站的製造資料確定機械裝置需進行哪些必要操作（作業）才能確保部件在整個製造過程中持續正常運動。同時，PLC與HMI進行通訊，便於操作員及時瞭解操作狀態並進行管控。

工作單元由聯網伺服器組成的共享基礎架構、評測工具和其他技術提供支援。該基礎架構用於多項研究職能，如網路安全工具的測試、部署和託管、網路流量的評測和抓包系統、對觸發異常網路活動的網路流量進行生成和處理以及實驗資料檔案儲存。在實現中，同時部署了虛擬伺服器基礎架構為所需的多項網路安全技術和工具提供支援。

8.2.2 網路架構

如圖8-5所示，CRS網路採取層級架構，將提供管理功能的裝置與控制製造過程的裝置進行隔離。工作單元的頂層路由器為西門子提供的RUGGEDCOM RX1510路由器，該路由器提供防火牆能力，實現基於規則的網路流量放行和限制。該路由器透過網路地址轉換（NAT）連線實驗室的區域網（即圖8-5中的試驗檯區域網）。管理型區域網的二層網路流量由Netgear GS724T託管乙太網交換機處理，而控制型區域網的網路流量由西門子i800託管乙太網交換機處理。

路由器和網路交換機用於將收到的網路流量映象至位於測量機架上的抓包伺服器上。串聯（即bump-in-the-wire）在網路中的網路探針部署在PLC、HMI和站1，專門用於將進出網路流量轉發至抓包伺服器。

所有的基於製造過程的網路通訊均採取Modbus TCP工業網路協議，機器人控制器和機器人驅動程式之間的網路流量採取機器人作業系統（ROS）本身的TCPROS和UDPROS協議。

圖8-5機器人裝配CRS網路

連載完

譯者宣告：

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。