第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署

第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署第一頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署3.1工業(yè)防火墻技術3.2虛擬專用網(wǎng)（VPN）技術3.3控制網(wǎng)絡邏輯分隔3.4網(wǎng)絡隔離3.5縱深防御架構第二頁，共32頁。3.1.1防火墻的定義第三頁，共32頁。3.1.2工業(yè)防火墻技術1．數(shù)據(jù)包過濾（PacketFiltering）技術

數(shù)據(jù)包過濾技術是在OSI第3層網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯，稱為訪問控制表（AccessControlTable）。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。

數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好。

“白名單”

“黑名單”數(shù)據(jù)包過濾防火墻適用于工業(yè)控制，早期市場中已普遍使用，但其缺陷也慢慢顯現(xiàn)出來。第四頁，共32頁。3.1.2工業(yè)防火墻技術2．狀態(tài)包檢測（StatefulInspection）技術狀態(tài)包檢測防火墻采用基于會話連接的狀態(tài)檢測機制，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)流看待，構成動態(tài)連接狀態(tài)表，通過訪問控制列表與連接狀態(tài)表的共同配合，不僅可以對數(shù)據(jù)包進行簡單的包過濾（也就是對源地址、目標地址和端口號進行控制），而且還對狀態(tài)表中的各個連接狀態(tài)因素加以識別，檢測此次會話連接的每個數(shù)據(jù)包是否符合此次會話的狀態(tài)，能夠根據(jù)此次會話前面的數(shù)據(jù)包進行基于歷史相關的訪問控制。--加快數(shù)據(jù)包的處理速度--具有更好的性能和安全性狀態(tài)包檢測防火墻雖然成本高一點，對管理員要求復雜一點，但它能提供比數(shù)據(jù)包過濾防火墻更高的安全性和更好的性能，因而在工業(yè)控制中應用越來越多。第五頁，共32頁。3.1.2工業(yè)防火墻技術3．代理服務（ProxyService）技術代理服務（ProxyService）又稱為鏈路級網(wǎng)關或TCP通道（CircuitLevelGatewaysorTCPTunnels），也有人將它歸于應用級網(wǎng)關一類。代理服務技術是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。它具有更好的性能和安全性，但有一定的附加部分和延時，影響性能。代理服務網(wǎng)關防火墻不太適用于工業(yè)控制，但也有不計較延時情況的應用。第六頁，共32頁。3.1.3工業(yè)防火墻技術發(fā)展方向1．透明接入技術2．分布式防火墻技術3．智能型防火墻技術第七頁，共32頁。3.1.4工業(yè)防火墻與一般IT防火墻區(qū)別數(shù)據(jù)包過濾防火墻與一般IT防火墻的區(qū)別主要表現(xiàn)在以下幾點：（1）支持基于白名單策略的訪問控制，包括網(wǎng)絡層和應用層。（2）工業(yè)控制協(xié)議過濾，應具備深度包檢測功能，支持主流的工控協(xié)議的格式檢查機制、功能碼與寄存器檢查機制。（3）支持動態(tài)開放OPC協(xié)議端口。（4）防火墻應支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護系統(tǒng)的最小影響。例如，學習模式，防火墻記錄運行過程中經(jīng)過防火墻的所有策略、資產(chǎn)等信息，形成白名單策略集；驗證模式或測試模式，該模式下防火墻對白名單策略外的行為做告警，但不攔截；工作模式，防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保護。（5）防火墻應具有高可靠性，包括故障自恢復、在一定負荷下72小時正常運行、無風扇、支持導軌式或機架式安裝等。第八頁，共32頁。3.1.5工業(yè)防火墻具體服務規(guī)則1．域名解析系統(tǒng)（DNS）

DNS主要用于域名和IP地址之間的翻譯。2．超文本傳輸協(xié)議（HTTP）HTTP是在互聯(lián)網(wǎng)進行Web瀏覽服務的協(xié)議。3．文件傳輸協(xié)議（FTP）和一般的文件傳輸協(xié)議（TFTP）FTP和TFTP用于設備之間的文件傳輸。4．用于遠程聯(lián)接服務的標準協(xié)議（Telnet）Telnet協(xié)議在用戶端和主機端之間定義一個互動的、以文本為基礎的通信。第九頁，共32頁。3.1.5工業(yè)防火墻具體服務規(guī)則5．簡單郵件傳輸協(xié)議（SMTP）SMTP是互聯(lián)網(wǎng)上主要的郵件傳輸協(xié)議。6．簡單網(wǎng)絡管理協(xié)議（SNMP）SNMP用于在中央管理控制臺與網(wǎng)絡設備之間的網(wǎng)絡管理服務。7．分布式組件對象模型（DCOM）DCOM是OPC和Profinet的基本傳輸協(xié)議。8．SCADA與工業(yè)網(wǎng)絡協(xié)議SCADA和一些工業(yè)網(wǎng)絡協(xié)議，諸如Modbus/TCP、EtherNet/IP等，對于多數(shù)控制設備之間的通信是很關鍵的。只是這些協(xié)議設計時沒有安全考慮，且不需要任何驗證對控制設備遠程發(fā)出執(zhí)行命令。因此，這些協(xié)議只允許用于控制網(wǎng)，而不允許過渡到公司網(wǎng)。第十頁，共32頁。3.1.6工業(yè)防火墻爭論問題1．數(shù)據(jù)歷史服務器數(shù)據(jù)歷史服務器放在公司網(wǎng)，那么一些不安全的協(xié)議，如Modbus/TCP或DCOM，必須穿過防火墻向數(shù)據(jù)歷史服務器匯報，而出現(xiàn)在公司網(wǎng)。同樣，數(shù)據(jù)歷史服務器放在控制網(wǎng)，那么一些有問題的協(xié)議，如HTTP或SQL，必須穿過防火墻向數(shù)據(jù)歷史服務器匯報，而出現(xiàn)在控制網(wǎng)。因此，最好的辦法是不用兩區(qū)系統(tǒng)，采用三區(qū)系統(tǒng)，即控制網(wǎng)區(qū)、DMZ和公司網(wǎng)。在控制網(wǎng)區(qū)收集數(shù)據(jù)，數(shù)據(jù)歷史服務器放在DMZ。然而，若很多公司網(wǎng)用戶訪問歷史服務器，將加重防火墻的負擔。這可以采用安裝兩臺服務器來解決：第一臺放置在控制網(wǎng)收集數(shù)據(jù)，第二臺放置在公司網(wǎng)，鏡像第一臺服務器，同時支持用戶詢問，并做好兩臺服務器的時間同步。2．遠程支持訪問用戶或供應商需通過遠程訪問進入控制網(wǎng)，則需通過驗證?？刂平M可以在DMZ建立遠程訪問系統(tǒng)，也可以由IT部門用已有的系統(tǒng)。遠程支持人員必須采用VPN技術訪問控制設備。3．多點廣播數(shù)據(jù)流多點廣播數(shù)據(jù)流，提高了網(wǎng)絡的效率，但也帶來了防火墻的復雜問題。第十一頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署3.1工業(yè)防火墻技術3.2虛擬專用網(wǎng)（VPN）技術3.3控制網(wǎng)絡邏輯分隔3.4網(wǎng)絡隔離3.5縱深防御架構第十二頁，共32頁。3.2.1虛擬專用網(wǎng)技術的定義1．虛擬專用網(wǎng)技術的定義虛擬專用網(wǎng)（VPN）技術是一種采用加密、認證等安全機制，在公共網(wǎng)絡基礎設施上建立安全、獨占、自治的邏輯網(wǎng)絡技術。它不僅可以保護網(wǎng)絡的邊界安全，同時也是一種網(wǎng)絡互連的方式。2．虛擬專用網(wǎng)技術的優(yōu)點1）容易擴展2）方便與合作伙伴的聯(lián)系3）完全控制主動權4）成本較低第十三頁，共32頁。3.2.2虛擬專用網(wǎng)的分類1．按VPN應用模式分類1）遠程訪問虛擬專用網(wǎng)（AccessVPN）2）企業(yè)內部虛擬網(wǎng)（IntranetVPN）3）企業(yè)擴展虛擬專用網(wǎng)（ExtranetVPN）第十四頁，共32頁。3.2.2虛擬專用網(wǎng)的分類2．按構建者所采用的安全協(xié)議分類1）IPSecVPN2）MPLSVPN3）L2TPVPN4）SSLVPN第十五頁，共32頁。3.2.3虛擬專用網(wǎng)的工作原理VPN連接，表面上看是一種專用連接，實際上是在公共網(wǎng)絡的基礎上的連接。它通過使用被稱為“隧道”的技術，建立點對點的連接，實現(xiàn)數(shù)據(jù)包在公共網(wǎng)絡上的專用“隧道”內的傳輸。通常，一個隧道是由隧道啟動器、路由網(wǎng)絡、隧道交換機和一個或多個隧道終結器等基本組成的。來自不同的數(shù)據(jù)源的網(wǎng)絡業(yè)務經(jīng)過不同的隧道在相同的體系結構中傳輸，并且允許網(wǎng)絡協(xié)議穿越不兼容的體系結構，還可以區(qū)分來自不同數(shù)據(jù)源的業(yè)務，因而可以將該業(yè)務發(fā)往指定的目的地，同時接受指定的等級服務。第十六頁，共32頁。3.2.4虛擬專用網(wǎng)的關鍵技術1.加密技術2.安全隧道技術3.用戶身份認證技術4.訪問控制技術第十七頁，共32頁。3.2.5虛擬專用網(wǎng)的協(xié)議1.常見虛擬專用網(wǎng)的協(xié)議1）點對點隧道協(xié)議2）第二層隧道協(xié)議3）第三層隧道協(xié)議第十八頁，共32頁。3.2.5虛擬專用網(wǎng)的協(xié)議2．IPSec體系1）IPSec協(xié)議簡介2）IPSec優(yōu)點3）IPSec體系結構第十九頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署3.1工業(yè)防火墻技術3.2虛擬專用網(wǎng)（VPN）技術3.3控制網(wǎng)絡邏輯分隔3.4網(wǎng)絡隔離3.5縱深防御架構第二十頁，共32頁。3.3控制網(wǎng)絡邏輯分隔工業(yè)控制系統(tǒng)網(wǎng)絡至少應通過具有物理分隔網(wǎng)絡設備，與公司管理網(wǎng)進行邏輯分隔。公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡有連接要求時，應該做到以下幾點：（1）公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡的連接必須有文件記載，且盡量采用最少的訪問點。如有冗余的訪問點，也必須有文件記載。（2）公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡之間宜安裝狀態(tài)包檢測防火墻，只允許明確授權的信息訪問流量，對其他未授權的信息訪問流量一概拒絕。（3）防火墻的規(guī)則不僅要提供傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）端口的過濾、網(wǎng)間控制報文協(xié)議（ICMP）類型和代碼過濾，還要提供源端和目的地端的過濾。第二十一頁，共32頁。3.3控制網(wǎng)絡邏輯分隔公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡之間的通信，一個可接受的方法是在兩者之間建立一個中間非軍事化區(qū)（DMZ）網(wǎng)絡。這個非軍事化區(qū)（DMZ）應連接至防火墻，以確保定制的通信僅在公司管理網(wǎng)絡與非軍事化區(qū)（DMZ）之間、工業(yè)控制系統(tǒng)網(wǎng)絡與非軍事化區(qū)（DMZ）之間進行。公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡之間不可以直接相互通信。這個方法將在下一節(jié)中詳細介紹。工業(yè)控制系統(tǒng)網(wǎng)絡與公司外部網(wǎng)絡之間通信，應采用虛擬專用網(wǎng)絡（VPN）技術。第二十二頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署3.1工業(yè)防火墻技術3.2虛擬專用網(wǎng)（VPN）技術3.3控制網(wǎng)絡邏輯分隔3.4網(wǎng)絡隔離3.5縱深防御架構第二十三頁，共32頁。3.4網(wǎng)絡隔離1．雙宿主計算機雙宿主計算機能把網(wǎng)絡信息流量從一個網(wǎng)絡傳到另一個網(wǎng)絡。如果其中任何一臺計算機不配置安全控制，將帶來威脅。為防止這種威脅，除防火墻外，任何系統(tǒng)不可以延伸公司網(wǎng)與工業(yè)控制網(wǎng)。公司管理網(wǎng)絡與工業(yè)控制系統(tǒng)網(wǎng)絡之間連接，必須通過防火墻。第二十四頁，共32頁。3.4網(wǎng)絡隔離2．防火墻位于公司網(wǎng)與控制網(wǎng)間在工業(yè)控制網(wǎng)和公司網(wǎng)絡之間增加一個簡單的兩個口的防火墻，極大地提高了控制系統(tǒng)信息安全。進行合理配置后，防火墻就可以進一步減少控制網(wǎng)外來攻擊的機會。第二十五頁，共32頁。3.4網(wǎng)絡隔離3．防火墻與路由器位于公司網(wǎng)與控制網(wǎng)間更成熟的架構設計是采用路由器與防火墻組合，如圖3-6所示。路由器安裝在防火墻前面，進行基本的包過濾，而防火墻將采用狀態(tài)包檢測技術或代理網(wǎng)管技術處理較復雜的問題。第二十六頁，共32頁。3.4網(wǎng)絡隔離4．防火墻帶DMZ位于公司網(wǎng)與控制網(wǎng)間更進一步的設計架構是使用的防火墻能在控制網(wǎng)和公司網(wǎng)之間建立非軍事區(qū)（DMZ）。第二十七頁，共32頁。3.4網(wǎng)絡隔離5．雙防火墻位于公司網(wǎng)與控制網(wǎng)間

對前面架構稍加變化，就出現(xiàn)采用雙防火墻的架構。第二十八頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術與方案部署3.1工業(yè)防火墻技術3.2虛擬專用網(wǎng)（VPN）技術3.3控制網(wǎng)絡邏輯分隔3.4網(wǎng)絡隔離3.5縱深防御架構第二十九頁，共32頁。3.5縱深防御架構單個安全產(chǎn)品、技術和