1、大家好1第3章 工業控制系統信息安全技術與方案部署 工業控制系統信息安全2第3章工業控制系統信息安全技術與方案部署3.1 工業防火墻技術3.2 虛擬專用網（VPN）技術3.3 控制網絡邏輯分隔3.4 網絡隔離3.5 縱深防御架構33.1.1 防火墻的定義43.1.2 工業防火墻技術1數據包過濾（Packet Filtering）技術 數據包過濾技術是在OSI第3層網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，稱為訪問控制表（Access Control Table）。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。

2、 數據包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網絡性能和透明性好。 “白名單” “黑名單” 數據包過濾防火墻適用于工業控制，早期市場中已普遍使用，但其缺陷也慢慢顯現出來。53.1.2 工業防火墻技術2狀態包檢測（Stateful Inspection）技術 狀態包檢測防火墻采用基于會話連接的狀態檢測機制，將屬于同一連接的所有數據包作為一個整體的數據流看待，構成動態連接狀態表，通過訪問控制列表與連接狀態表的共同配合，不僅可以對數據包進行簡單的包過濾（也就是對源地址、目標地址和端口號進行控制），而且還對狀態表中的各個連接狀態因素加以識別，檢測此次會話連接的每個數據包是否符合此次會話的狀態，

3、能夠根據此次會話前面的數據包進行基于歷史相關的訪問控制。 -加快數據包的處理速度 -具有更好的性能和安全性 狀態包檢測防火墻雖然成本高一點，對管理員要求復雜一點，但它能提供比數據包過濾防火墻更高的安全性和更好的性能，因而在工業控制中應用越來越多。63.1.2 工業防火墻技術3代理服務（Proxy Service）技術 代理服務（Proxy Service）又稱為鏈路級網關或TCP通道（Circuit Level Gateways or TCP Tunnels），也有人將它歸于應用級網關一類。 代理服務技術是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡

4、通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記，形成報告，當發現被攻擊跡象時會向網絡管理員發出警報，并保留攻擊痕跡。它具有更好的性能和安全性，但有一定的附加部分和延時，影響性能。 代理服務網關防火墻不太適用于工業控制，但也有不計較延時情況的應用。73.1.3 工業防火墻技術發展方向1透明接入技術2分布式防火墻技術3智能型防火墻技術83.1.4 工業防火墻與一般IT防火墻區別數據包過濾防火墻與一般IT防火墻的區別主要

5、表現在以下幾點：（1）支持基于白名單策略的訪問控制，包括網絡層和應用層。（2）工業控制協議過濾，應具備深度包檢測功能，支持主流的工控協議的格式檢查機制、功能碼與寄存器檢查機制。（3）支持動態開放OPC協議端口。（4）防火墻應支持多種工作模式，保證防火墻區分部署和工作過程以實現對被防護系統的最小影響。例如，學習模式，防火墻記錄運行過程中經過防火墻的所有策略、資產等信息，形成白名單策略集；驗證模式或測試模式，該模式下防火墻對白名單策略外的行為做告警，但不攔截；工作模式，防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保護。（5）防火墻應具有高可靠性，包括故障自恢復、在一定負荷下72小時正常運行

6、、無風扇、支持導軌式或機架式安裝等。93.1.5 工業防火墻具體服務規則1域名解析系統（DNS） DNS主要用于域名和IP地址之間的翻譯。2超文本傳輸協議（HTTP）HTTP是在互聯網進行Web瀏覽服務的協議。3文件傳輸協議（FTP）和一般的文件傳輸協議（TFTP）FTP和TFTP用于設備之間的文件傳輸。4用于遠程聯接服務的標準協議（Telnet）Telnet協議在用戶端和主機端之間定義一個互動的、以文本為基礎的通信。103.1.5 工業防火墻具體服務規則5簡單郵件傳輸協議（SMTP）SMTP是互聯網上主要的郵件傳輸協議。6簡單網絡管理協議（SNMP）SNMP用于在中央管理控制臺與網絡設備之間

7、的網絡管理服務。7分布式組件對象模型（DCOM）DCOM是OPC和Profinet的基本傳輸協議。8SCADA與工業網絡協議SCADA和一些工業網絡協議，諸如Modbus/TCP、EtherNet/IP等，對于多數控制設備之間的通信是很關鍵的。只是這些協議設計時沒有安全考慮，且不需要任何驗證對控制設備遠程發出執行命令。因此，這些協議只允許用于控制網，而不允許過渡到公司網。113.1.6 工業防火墻爭論問題1數據歷史服務器數據歷史服務器放在公司網，那么一些不安全的協議，如Modbus/TCP或DCOM，必須穿過防火墻向數據歷史服務器匯報，而出現在公司網。同樣，數據歷史服務器放在控制網，那么一些有

8、問題的協議，如HTTP或SQL，必須穿過防火墻向數據歷史服務器匯報，而出現在控制網。因此，最好的辦法是不用兩區系統，采用三區系統，即控制網區、DMZ和公司網。在控制網區收集數據，數據歷史服務器放在DMZ。然而，若很多公司網用戶訪問歷史服務器，將加重防火墻的負擔。這可以采用安裝兩臺服務器來解決： 第一臺放置在控制網收集數據，第二臺放置在公司網，鏡像第一臺服務器，同時支持用戶詢問，并做好兩臺服務器的時間同步。2遠程支持訪問用戶或供應商需通過遠程訪問進入控制網，則需通過驗證。控制組可以在DMZ建立遠程訪問系統，也可以由IT部門用已有的系統。遠程支持人員必須采用VPN技術訪問控制設備。3多點廣播數據流

9、多點廣播數據流，提高了網絡的效率，但也帶來了防火墻的復雜問題。12第3章工業控制系統信息安全技術與方案部署3.1 工業防火墻技術3.2 虛擬專用網（VPN）技術3.3 控制網絡邏輯分隔3.4 網絡隔離3.5 縱深防御架構133.2.1 虛擬專用網技術的定義1虛擬專用網技術的定義 虛擬專用網（VPN）技術是一種采用加密、認證等安全機制，在公共網絡基礎設施上建立安全、獨占、自治的邏輯網絡技術。它不僅可以保護網絡的邊界安全，同時也是一種網絡互連的方式。2虛擬專用網技術的優點 1）容易擴展 2）方便與合作伙伴的聯系 3）完全控制主動權 4）成本較低143.2.2 虛擬專用網的分類1按VPN應用模式分類

10、1）遠程訪問虛擬專用網（Access VPN）2）企業內部虛擬網（Intranet VPN）3）企業擴展虛擬專用網（Extranet VPN）153.2.2 虛擬專用網的分類2按構建者所采用的安全協議分類1）IPSec VPN2）MPLS VPN3）L2TP VPN4）SSL VPN163.2.3 虛擬專用網的工作原理 VPN連接，表面上看是一種專用連接，實際上是在公共網絡的基礎上的連接。它通過使用被稱為“隧道”的技術，建立點對點的連接，實現數據包在公共網絡上的專用“隧道”內的傳輸。 通常，一個隧道是由隧道啟動器、路由網絡、隧道交換機和一個或多個隧道終結器等基本組成的。來自不同的數據源的網絡業

11、務經過不同的隧道在相同的體系結構中傳輸，并且允許網絡協議穿越不兼容的體系結構，還可以區分來自不同數據源的業務，因而可以將該業務發往指定的目的地，同時接受指定的等級服務。173.2.4 虛擬專用網的關鍵技術1.加密技術2.安全隧道技術3.用戶身份認證技術4.訪問控制技術183.2.5 虛擬專用網的協議1.常見虛擬專用網的協議1）點對點隧道協議2）第二層隧道協議3）第三層隧道協議193.2.5 虛擬專用網的協議2IPSec體系1）IPSec協議簡介2）IPSec優點3）IPSec體系結構20第3章工業控制系統信息安全技術與方案部署3.1 工業防火墻技術3.2 虛擬專用網（VPN）技術3.3 控制網

12、絡邏輯分隔3.4 網絡隔離3.5 縱深防御架構213.3 控制網絡邏輯分隔 工業控制系統網絡至少應通過具有物理分隔網絡設備，與公司管理網進行邏輯分隔。公司管理網絡與工業控制系統網絡有連接要求時，應該做到以下幾點：（1）公司管理網絡與工業控制系統網絡的連接必須有文件記載，且盡量采用最少的訪問點。如有冗余的訪問點，也必須有文件記載。（2）公司管理網絡與工業控制系統網絡之間宜安裝狀態包檢測防火墻，只允許明確授權的信息訪問流量，對其他未授權的信息訪問流量一概拒絕。（3）防火墻的規則不僅要提供傳輸控制協議（TCP）和用戶數據報協議（UDP）端口的過濾、網間控制報文協議（ICMP）類型和代碼過濾，還要提供

13、源端和目的地端的過濾。223.3 控制網絡邏輯分隔 公司管理網絡與工業控制系統網絡之間的通信，一個可接受的方法是在兩者之間建立一個中間非軍事化區（DMZ）網絡。這個非軍事化區（DMZ）應連接至防火墻，以確保定制的通信僅在公司管理網絡與非軍事化區（DMZ）之間、工業控制系統網絡與非軍事化區（DMZ）之間進行。公司管理網絡與工業控制系統網絡之間不可以直接相互通信。這個方法將在下一節中詳細介紹。 工業控制系統網絡與公司外部網絡之間通信，應采用虛擬專用網絡（VPN）技術。23第3章工業控制系統信息安全技術與方案部署3.1 工業防火墻技術3.2 虛擬專用網（VPN）技術3.3 控制網絡邏輯分隔3.4 網

14、絡隔離3.5 縱深防御架構243.4 網絡隔離1雙宿主計算機 雙宿主計算機能把網絡信息流量從一個網絡傳到另一個網絡。如果其中任何一臺計算機不配置安全控制，將帶來威脅。為防止這種威脅，除防火墻外，任何系統不可以延伸公司網與工業控制網。公司管理網絡與工業控制系統網絡之間連接，必須通過防火墻。253.4 網絡隔離2防火墻位于公司網與控制網間 在工業控制網和公司網絡之間增加一個簡單的兩個口的防火墻，極大地提高了控制系統信息安全。進行合理配置后，防火墻就可以進一步減少控制網外來攻擊的機會。263.4 網絡隔離3防火墻與路由器 位于公司網與控制網間 更成熟的架構設計是采用路由器與防火墻組合，如圖3-6所示。路由器安裝在防火墻前面，進行基本的包過濾，而防火墻將采用狀態包檢測技術或代理網管技術處理較復雜的問題。273.4 網絡隔離4防火墻帶DMZ位于公司網與控制網間 更進一步的設計架構是使用的防火墻能在控制網和公司網之間建立非軍事區（DMZ）。283.4 網絡隔離5雙防火墻位于公司網與控制網間 對前面架構稍加變化，就出現采用雙防火墻的架構。29第3章工業控制系統信息安全技術與方案部署3.1 工業防火墻技術3.2 虛擬專用網（VPN）技術3.3 控制網絡邏輯分隔3.4 網絡隔離3.5 縱深防御架構303.5 縱深防御架構 單