Phát hiện, phòng chống tấn công thiết kế hệ thống điều khiển và giám sát nền tảng IoT công nghiệp qua phần mềm KEPserverEX

0

Hệ thống Internet vạn vật (IoT) đang được ứng dụng vào nông nghiệp, công nghiệp, quân sự và thiết lập hệ thống giám sát các thiết bị gia dụng trong gia đình. Đặc điểm chính của các hệ thống này phổ biến dùng vi điều khiển trên nền tảng arduino kết hợp với một server miễn phí. Đây là một nhược điểm rất lớn do độ ổn định theo thời gian dài của vi điều khiển là không cao, tính bảo mật thấp, khả năng bị tấn công và bị chiếm quyền điều khiển là rất cao. Vì vậy cần loại bỏ các nhược điểm này trong các hệ thống điều khiển thông qua chuẩn IoT công nghiệp. Bài viết trình bày nghiên cứu xây dựng một mạng SCADA (Supervisory Control and Data Acquisition) công nghiệp có thể giám sát và thu thập dữ liệu qua Internet, đảm bảo tính bảo mật và an toàn của hệ thống.

NGHIÊN CỨU PHẦN MỀM KEPSERVEREX

Tổng quan về phần mềm KEPserverEX

KEPserverEX là nền tảng kết nối hàng đầu của ngành công nghiệp, cung cấp một nguồn dữ liệu tự động hóa công nghiệp cho tất cả các ứng dụng với độ bảo mật tin cậy cao và dễ sử dụng. Thiết kế nền tảng cho phép người dùng kết nối, quản lý, theo dõi và kiểm soát các thiết bị tự động hóa và ứng dụng phần mềm đa dạng thông qua một giao diện trực quan. KEPserverEX thúc đẩy OPC (một tiêu chuẩn giao tiếp của dữ liệu, được thực hiện giữa các phần mềm với nhau và hoạt động dựa trên cơ chế client – sever; OPC – Object Linking and Embedding for Process Control Unified Architecture) và các giao thức truyền thông tập trung (Information Technology-centric communication protocols), các giao thức truyền thông trung tâm (SNMP – Simple Network Management Protocol, ODBC – Open Database Connectivity, các dịch vụ web) để cung cấp cho người dùng một nguồn cung cấp dữ liệu duy nhất cho công nghiệp.

KEPServerEX là một nền tảng tích hợp mạnh mẽ giúp kết nối thiết bị của rất nhiều hãng PLC (Programmable Logic Controller) trong quá trình giao tiếp với các phần mềm SCADA thuận tiện và nhanh chóng.

Tổng quan về OPC

OPC tạo ra nền tảng linh hoạt và tương thích, cho phép các thành phần từ nhiều nhà sản xuất hoạt động cùng nhau mà không gặp vấn đề tương thích. OPC bao gồm hai thành phần chính: OPC Client và OPC Server. OPC

Client có thể là các phần mềm SCADA như WinCC, LabVIEW, hay HMI (Human-Machine Interface). Kết nối giữa SCADA và PLC có thể thực hiện qua ba phương pháp: sử dụng driver trực tiếp, thông qua OPC Server hoặc qua DDE (Dynamic Data Exchange).

Tốc độ truy cập dữ liệu của SCADA đến PLC qua OPC DA thường bị giảm do phải thông qua phần mềm trung gian. Việc kết nối giữa SCADA và OPC Server trên các máy tính khác nhau có thể phức tạp. Người dùng cần đăng nhập và cấu hình DCOM (Distributed Component Object Model), thường gây khó khăn. OPC DA (Data Access) sử dụng port 135, thường bị chặn bởi tường lửa truyền thống, gây khó khăn trong việc truy cập mạng LAN và chỉ hoạt động trên hệ điều hành Windows, không thể chạy trực tiếp trên PLC.

Để khắc phục những hạn chế này, OPC UA (OPC Unified Architecture) đã được phát triển cho phép Server và Client chạy trên nhiều loại thiết bị khác nhau, bao gồm cảm biến và thiết bị chấp hành, giúp truyền tải dữ liệu trực tiếp lên Cloud. OPC UA sở hữu tính bảo mật cao với nhiều lớp bảo vệ, hỗ trợ xác thực bằng chứng chỉ X509 và cung cấp khả năng chịu lỗi (Fault Tolerance) để đảm bảo hệ thống hoạt động ổn định ngay cả khi gặp sự cố. Mỗi thông điệp được mã hóa và kèm theo chữ ký, tạo cơ chế xác thực mạnh mẽ. Một tính năng nổi bật của OPC UA là khả năng tự động lưu trữ dữ liệu (automatic backfilling) khi kết nối bị gián đoạn, dữ liệu sẽ được buffer trên Server và tự động gửi đến Client khi kết nối được khôi phục.

Nguyên lý hoạt động của máy chủ OPC

OPC xác định giao diện giữa máy khách và máy chủ, cho phép quyền truy cập dữ liệu thời gian thực, giám sát báo động và sự kiện, cũng như truy cập dữ liệu lịch sử. Kết nối OPC cổ điển là kết nối máy chủ-máy khách trên một máy tính, nhưng cũng hỗ trợ nhiều tùy chọn khác, như kết nối máy khách với nhiều máy chủ OPC qua mạng (tập hợp OPC) và kết nối giữa các máy chủ OPC để chia sẻ dữ liệu (bắc cầu OPC).

OPC DataHub được thiết kế để kết hợp chức năng của cả OPC server và máy khách, hỗ trợ nhiều kết nối cùng lúc, cho phép tổng hợp và bắc cầu dữ liệu. Hai OPC DataHub có thể phản ánh dữ liệu qua mạng TCP (Transmission Control Protocol), tạo ra đường hầm OPC.

Hình 1. Kết nối KEPServerEX, KEPServerEX và Tia Portal, Visual Studio

Bảo mật phần mềm KEPServerEX

Phần mềm KEPServerEX sử dụng giao thức OPC UA (OPC Unified Architecture) để truyền dữ liệu an toàn và đáng tin cậy cho các ứng dụng công nghiệp, thiết lập kênh đường hầm bảo mật giữa các hệ thống và bảo vệ thông tin trong quá trình truyền tải.

Kênh đường hầm bảo mật, kênh này liên kết hai phiên bản KEPServerEX với một phiên bản là “tunnel client” và phiên bản còn lại là “tunnel server”. Cả hai sử dụng OPC UA để mã hóa và bảo vệ dữ liệu, ngăn chặn truy cập trái phép.

Đường hầm là kênh liên lạc bảo mật cho phép truyền dữ liệu an toàn qua mạng không an toàn, với thông tin được mã hóa để bảo vệ khỏi các tấn công và giám sát. Dữ liệu truyền qua đường hầm được mã hóa để ngăn chặn truy cập trái phép, cho phép vượt qua các rào mạng nhờ vào khả năng mã hóa của OPC UA.

Kết nối giữa các phiên bản KEPServerEX (Hình 1a): Đảm bảo dữ liệu được truyền tải một cách đáng tin cậy, duy trì tính toàn vẹn và ổn định. Cách cấu hình bảo mật theo tài liệu tham khảo [6] để thiết lập kênh truyền dữ liệu an toàn, một phiên bản KEPServerEX hoạt động như máy khách và phiên bản còn lại như máy chủ. Trình điều khiển OPC UA Client kết nối với giao diện OPC UA Server, giúp duy trì kết nối bảo mật cho hệ thống môi trường công nghiệp hiện đại. Bảo mật giữa KEPServerEX và phần mềm khác [7] như Hình 1b.

HỆ THỐNG PHÂN LOẠI SẢN PHẨM THEO TRỌNG LƯỢNG SỬ DỤNG PHẦN MỀM KEPSERVEREX

Sơ đồ hệ thống phân loại trọng lượng qua web dùng KEPServerEX

Nguyên lý hoạt động của hệ thống:

Tín hiệu điều khiển từ máy tính và HMI tại hiện trường được gửi đến PLC. CPU xử lý tín hiệu điều khiển và tín hiệu từ cảm biến để điều khiển các khối đầu ra như băng tải và xy lanh. Tín hiệu giám sát từ PLC cũng được gửi về máy tính và HMI để người vận hành theo dõi.

Tín hiệu điều khiển và giám sát được đẩy lên web thông qua phần mềm KEPServerEX. Tín hiệu từ web được gửi đến máy tính và thiết bị di động (smartphone) qua địa chỉ IP. Tín hiệu điều khiển từ xa từ máy tính và thiết bị di động được gửi qua web, sau đó qua KEPServerEX đến PLC. PLC xử lý dữ liệu từ KEPServerEX để điều khiển các thiết bị đầu ra.

Hình 2. Hệ thống phân loại sản phẩm qua web

Cấu hình KEPServerEX

Click chuột phải vào biểu tượng KEPServerEX ở thanh taskbar và chọn setting. Tại tab “Configuration API Service mục Enable và Enable HTTP chọn Yes, mục CORS nhập đấu, sau đó nhấn Apply. Sau khi cấu hình, nhấn vào đường link ở mục View in browse nếu trình duyệt hiện lên như bên dưới tức là đã cấu hình thành công. Quay lại mục setting của Kepware, tại tab “IoT gateway” chọn “Use the JRE at”.

Cấu hình IoT Gateway cho KEPServerEX: Click IoT Gateway chọn Add Agent, mục name đặt tên cho project (tùy chọn), mục type chọn “REST Server”, sau đó nhấn Next.

Đặt tên port number cho project (tùy chọn), ở đây đặt 5000, bỏ tick mục Use HTTPS, sau đó nhấn Finish. Cổng Port Number sau này sẽ dùng để

cấu hình ở phần lập trình Webserver (Visual Studio Code) ở file index.js.

Click chuột phải vào IoT Gateway vừa tạo, chọn Properties. Tại mục Server phần Enable Write Endpoint chọn Yes để trình duyệt có thể ghi dữ liệu vào PLC. Tạo 1 kênh có tên chanel 1 và thực hiện khai báo các data block lấy dữ liệu từ PLC.

Tạo Project trên phần mềm KEPServerEX: Khởi động phần mềm KEPServerEX click vào File vào New đặt tên File và nơi lưu File.

Truyền thông KEPServerEX và Tia Portal

Kết nối truyền thông PLC thật và KEPServerEX như hình dưới đây. Khi muốn truyền nhận dữ liệu từ PLC thật với các phần mềm khác như ViSual Studio Code, Excell, LaView… ta cấu hình ID của KEPServerEX đúng địa chỉ đã cấu hình phần cứng PLC trên Tia Portal khi lập trình.

Khi kết nối phần mềm Tia Portal với KEPServerEX thông qua NetToPLCsim (phần mềm tạo PLC ảo), người dùng có thể lập trình mà không cần PLC thật. NetToPLCsim truyền thông với KEPServerEX để gửi dữ liệu điều khiển và giám sát qua web.

Sau khi S7 online, máy ảo thông qua NetToPLCsim với địa chỉ IP mặc định là 198.168.0.2. Cần nhập địa chỉ IP LAN để kết nối qua mạng Wifi. Khi kết nối thành công, chỉ cần thay đổi địa chỉ IP của thiết bị khi chuyển đổi giữa các mạng Wifi khác nhau.

Hình 3. Kết nối Kepserver PLC và Tia Portal, Visual Studio Code

Lập trình cho hệ thống

Lập trình code PLC, VinCC trên phần mềm Tia Portal và hai phần chính khi lập trình phần mềm KEPServerEX là Device và IoT Gateway để tạo kết nối giữa PLC và KEPServerEX.

Device lưu các tag dữ liệu để kết nối với Visual Studio Code. IoT Gateway lưu các tag dữ liệu đẩy từ Device sang sau đó đẩy các dữ liệu từ PLC lên Web và ngược lại. Giao diện hệ thống phân loại sản phẩm theo trọng lượng qua Web (Hình 4).

Hình 4. Giao diện điều khiển hệ thống Web và WinCC, HMI

Đánh giá kết quả thử nghiệm

Đánh giá chất lượng của hệ thống

– Độ chính xác: Hệ thống có khả năng phân loại sản phẩm với độ chính xác cao nhờ cảm biến, băng tải chất lượng và khả năng phản hồi, xử lý dữ liệu nhanh của PLC.

– Hiệu suất: Hệ thống hoạt động nhanh chóng, liên tục và ổn định, đảm bảo hiệu quả sản xuất cao.

– Dễ bảo trì: Dễ lập trình và mở rộng, giúp nâng cấp hệ thống đơn giản và tối ưu hóa được quy trình sản xuất.

Đánh giá hiệu quả trong bảo mật và an toàn thông tin của hệ thống

– Bảo mật hệ thống: Có khả năng đáp ứng tốt các tiêu chuẩn bảo mật hiện đại với các cơ chế xác thực, mã hóa truyền thông và bảo mật thường xuyên. Nhật ký có thể ghi lại thông tin về các lần đăng nhập thay đổi cài đặt, hay các hoạt động khác, giúp người quản trị phát hiện và xử lý kịp thời các vấn đề bảo mật. KepserverEX có khả năng tích hợp với hệ thống giám sát và gửi cảnh báo khi phát hiện các sự kiện bất thường như truy cập trái phép hoặc tấn công vào WebServer.

– An toàn thông tin hệ thống: Có khả năng bảo vệ dữ liệu, đảm bảo tính toàn vẹn và sẵn sàng của thông tin trong suốt quá trình vận hành. Các cơ chế chống giả mạo dữ liệu và xử lý sự cố khi mất kết nối hoặc mất nguồn giúp hệ thống duy trì hoạt động liên tục và đáng tin cậy. Hệ thống có các tính năng bảo mật và an toàn cao.

KẾT LUẬN

Nghiên cứu thử nghiệm mô hình IoT theo chuẩn công nghiệp sử dụng KepServerEx để giám sát và thu thập dữ liệu qua Internet. KEPServer là phần mềm trung gian truyền, nhận dữ liệu từ hệ thống phân loại sản phẩm theo trọng lượng sử dụng PLC và Web. Giao diện điều khiển được xây dựng trên nền tảng WinCC, cho phép giám sát thiết bị từ xa qua chức năng remote access. Kết quả cho thấy hệ thống hoạt động ổn định và an toàn.

Nguồn: Tạp chí ATTT