工业控制系统信息安全技术与方案部署

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,-,#,-,-,#,-,第,3,章 工业控制系统信息安全技术与方案部署,工业控制系统信息安全,第,3,章工业控制系统信息安全技术与方案部署,3.1,工业防火墙技术,3.2,虚拟专用网（,VPN,）技术,3.3,控制网络逻辑分隔,3.4,网络隔离,3.5,纵深防御架构,3.1.1,防火墙的定义,3.1.2,工业防火墙技术,1,数据包过滤（,Packet Filtering,）,技术,数据包,过滤技术,是在,OSI,第,3,层网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（,Access Control Table,）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过,。,数据包,过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好,。,“白名单”,“黑名单”,数据包,过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。,3.1.2,工业防火墙技术,2,状态包检测（,Stateful Inspection,）技术,状态,包检测防火墙采用基于会话连接的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构成动态连接状态表，通过访问控制列表与连接状态表的共同配合，不仅可以对数据包进行简单的包过滤（也就是对源地址、目标地址和端口号进行控制），而且还对状态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，能够根据此次会话前面的数据包进行基于历史相关的访问,控制。,-,加快数据包,的处理,速度,-,具有,更好的性能和,安全性,状态,包检测防火墙虽然成本高一点，对管理员要求复杂一点，但它能提供比数据包过滤防火墙更高的安全性和更好的性能，因而在工业控制中应用越来越多。,3.1.2,工业防火墙技术,3,代理服务（,Proxy Service,）,技术,代理,服务（,Proxy Service,）又称为链路级网关或,TCP,通道（,Circuit Level Gateways or TCP Tunnels,），也有人将它归于应用级网关一类,。,代理服务技术,是,针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能和安全性，但有一定的附加部分和延时，影响性能,。,代理,服务网关防火墙不太适用于工业控制，但也有不计较延时情况的应用。,3.1.3,工业防火墙技术发展方向,1,透明接入,技术,2,分布式防火墙,技术,3,智能型防火墙技术,3.1.4,工业防火墙与一般,IT,防火墙区别,数据包过滤防火墙与一般,IT,防火墙的区别主要表现在以下几点：,（,1,）支持基于白名单策略的访问控制，包括网络层和应用层。,（,2,）工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制。,（,3,）支持动态开放,OPC,协议端口。,（,4,）防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如，学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。,（,5,）防火墙应具有高可靠性，包括故障自恢复、在一定负荷下,72,小时正常运行、无风扇、支持导轨式或机架式安装等。,3.1.5,工业防火墙具体服务规则,1,域名解析系统（,DNS,）,DNS,主要用于域名和,IP,地址之间的翻译,。,2,超文本传输协议（,HTTP,）,HTTP,是在互联网进行,Web,浏览服务的协议,。,3,文件传输协议（,FTP,）和一般的文件传输协议（,TFTP,）,FTP,和,TFTP,用于设备之间的文件传输,。,4,用于远程联接服务的标准协议（,Telnet,）,Telnet,协议在用户端和主机端之间定义一个互动的、以文本为基础的通信,。,3.1.5,工业防火墙具体服务规则,5,简单邮件传输协议（,SMTP,）,SMTP,是互联网上主要的邮件传输协议,。,6,简单网络管理协议（,SNMP,）,SNMP,用于在中央管理控制台与网络设备之间的网络管理服务,。,7,分布式组件对象模型（,DCOM,）,DCOM,是,OPC,和,Profinet,的基本传输协议,。,8,SCADA,与工业,网络协议,SCADA,和一些工业网络协议，诸如,Modbus/TCP,、,EtherNet/IP,等，对于多数控制设备之间的通信是很关键的。只是这些协议设计时没有安全考虑，且不需要任何验证对控制设备远程发出执行命令。因此，这些协议只允许用于控制网，而不允许过渡到公司网。,3.1.6,工业防火墙争论问题,1,数据历史服务器,数据,历史服务器放在公司网，那么一些不安全的协议，如,Modbus/TCP,或,DCOM,，必须穿过防火墙向数据历史服务器汇报，而出现在公司网。同样，数据历史服务器放在控制网，那么一些有问题的协议，如,HTTP,或,SQL,，必须穿过防火墙向数据历史服务器汇报，而出现在控制网。,因此，最好的办法是不用两区系统，采用三区系统，即控制网区、,DMZ,和公司网。在控制网区收集数据，数据历史服务器放在,DMZ,。然而，若很多公司网用户访问历史服务器，将加重防火墙的负担。这可以采用安装两台服务器来解决：第一台放置在控制网收集数据，第二台放置在公司网，镜像第一台服务器，同时支持用户询问，并做好两台服务器的时间同步,。,2,远程支持访问,用户或供应商需通过远程访问进入控制网，则需通过验证。,控制组可以在,DMZ,建立远程访问系统，也可以由,IT,部门用已有的,系统,。,远程支持人员必须采用,VPN,技术访问控制设备,。,3,多点广播数据流,多点广播数据流，提高了网络的效率，但也带来了防火墙的复杂问题。,第,3,章工业控制系统信息安全技术与方案部署,3.1,工业防火墙技术,3.2,虚拟专用网（,VPN,）技术,3.3,控制网络逻辑分隔,3.4,网络隔离,3.5,纵深防御架构,3.2.1,虚拟专用网技术的定义,1,虚拟专用网技术的,定义,虚拟,专用网（,VPN,）技术是一种采用加密、认证等安全机制，在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全，同时也是一种网络互连的方式。,2,虚拟专用网技术的,优点,1,）容易,扩展,2,）方便与合作伙伴的,联系,3,）完全控制,主动权,4,）,成本较低,3.2.2,虚拟专用网的分类,1,按,VPN,应用模式,分类,1,）远程访问虚拟专用网（,Access VPN,）,2,）企业内部虚拟网（,Intranet VPN,）,3,）企业扩展虚拟专用网（,Extranet VPN,）,3.2.2,虚拟专用网的分类,2,按构建者所采用的安全协议,分类,1,）,IPSec,VPN,2,）,MPLS,VPN,3,）,L2TP,VPN,4,）,SSL,VPN,3.2.3,虚拟专用网的工作原理,VPN,连接，表面上看是一种专用连接，实际上是在公共网络的基础上的连接。它通过使用被称为“隧道”的技术，建立点对点的连接，实现数据包在公共网络上的专用“隧道”内的传输。,通常,，一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道终结器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体系结构中传输，并且允许网络协议穿越不兼容的体系结构，还可以区分来自不同数据源的业务，因而可以将该业务发往指定的目的地，同时接受指定的等级服务。,3.2.4,虚拟专用网的关键技术,1.,加密技术,2.,安全,隧道,技术,3.,用户,身份认证,技术,4.,访问,控制技术,3.2.5,虚拟专用网的协议,1.,常见,虚拟专用网的,协议,1,）点对点隧道,协议,2,）第二层隧道,协议,3,）第三层隧道,协议,3.2.5,虚拟专用网的协议,2,IPSec,体系,1,）,IPSec,协议,简介,2,）,IPSec,优点,3,）,IPSec,体系结构,第,3,章工业控制系统信息安全技术与方案部署,3.1,工业防火墙技术,3.2,虚拟专用网（,VPN,）技术,3.3,控制网络逻辑分隔,3.4,网络隔离,3.5,纵深防御架构,3.3,控制网络逻辑分隔,工业控制系统,网络至少应通过具有物理分隔网络设备，与公司管理网进行逻辑分隔。公司管理网络与工业控制系统网络有连接要求时，应该做到以下几点：,（,1,）公司管理网络与工业控制系统网络的连接必须有文件记载，且尽量采用最少的访问点。如有冗余的访问点，也必须有文件记载。,（,2,）公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙，只允许明确授权的信息访问流量，对其他未授权的信息访问流量一概拒绝。,（,3,）防火墙的规则不仅要提供传输控制协议（,TCP,）和用户数据报协议（,UDP,）端口的过滤、网间控制报文协议（,ICMP,）类型和代码过滤，还要提供源端和目的地端的过滤。,3.3,控制网络逻辑分隔,公司,管理网络与工业控制系统网络之间的通信，一个可接受的方法是在两者之间建立一个中间非军事化区（,DMZ,）网络。这个非军事化区（,DMZ,）应连接至防火墙，以确保定制的通信仅在公司管理网络与非军事化区（,DMZ,）之间、工业控制系统网络与非军事化区（,DMZ,）之间进行。公司管理网络与工业控制系统网络之间不可以直接相互通信。这个方法将在下一节中详细介绍。,工业控制系统,网络与公司外部网络之间通信，应采用虚拟专用网络（,VPN,）技术。,第,3,章工业控制系统信息安全技术与方案部署,3.1,工业防火墙技术,3.2,虚拟专用网（,VPN,）技术,3.3,控制网络逻辑分隔,3.4,网络隔离,3.5,纵深防御架构,3.4,网络隔离,1,双宿主计算机,双,宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其中任何一台计算机不配置安全控制，将带来威胁。为防止这种威胁，除防火墙外，任何系统不可以延伸公司网与工业控制网。公司管理网络与工业控制系统网络之间连接，必须通过防火墙。,3.4,网络隔离,2,防火墙位于公司网与控制网间,在,工业控制网和公司网络之间增加一个简单的两个口的防火墙,，极,大地提高了控制系统信息安全。进行合理配置后，防火墙就可以进一步减少控制网外来攻击的机会。,3.4,网络隔离,3,防火墙与路由器 位于公司网与控制网间,更成熟的架构设计是采用路由器与防火墙组合，如图,3-6,所示。路由器安装在防火墙前面，进行基本的包过滤，而防火墙将采用状态包检测技术或代理网管技术处理较复杂的问题。,3.4,网络隔离,4,防火墙带,DMZ,位于公司网与控制网间,更进一步,的设计架构是使用的防火墙能在控制网和公司网之间建立非军事区（,DMZ,）。,3.4,网络隔离,5,双防火墙位于公司网与控制网间,对,前面架构稍加变化，就出现采用双防火墙的,架构,。,第,3,章工业控制系统信息安全技术与方案部署,3.1,工业防火墙技术,3.2,虚拟专用网（,VPN,）技术,3.3,控制网络逻辑分隔,3.4,网络隔离,3.5,纵深防御架构,3.5,纵深防御架构,单个,安全产品、技术和解决方案不能足够保护控制系统。一个涉及两种或多种重叠安全机理的多层策略，技术上称为纵深防护，是普遍需要,的。,3.5,纵深防御架构,这个,纵深防御架构包括为工业控制系统所需的防火墙、,DMZ,使用和入侵检测能力。其中,多个,DMZ,的使用为功能