第3章-工业控制系统信息安全技术与方案部署优秀PPT.ppt

《第3章-工业控制系统信息安全技术与方案部署优秀PPT.ppt》由会员分享，可在线阅读，更多相关《第3章-工业控制系统信息安全技术与方案部署优秀PPT.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-1-1-第第3 3章章 工业限制系统信息平安技术与方案部署工业限制系统信息平安技术与方案部署 工业限制系统信息平安工业限制系统信息平安-2-2-第3章工业限制系统信息平安技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 限制网络逻辑分隔3.4 网络隔离3.5 纵深防卫架构-3-3-3.1.1 3.1.1 防火墙的定义防火墙的定义-4-4-3.1.2 3.1.2 工业防火墙技术工业防火墙技术1 1数据包过滤（数据包过滤（Packet FilteringPacket Filtering）技术）技术 数据包过滤技术是在数据包过滤技术是在OSIOSI第第3 3层网络层对数据

2、包进行选择，选择的依据是系统内设置的过滤逻层网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问限制表（辑，称为访问限制表（Access Control TableAccess Control Table）。通过检查数据流中每个数据包的源地址、目的）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简洁，价格便宜，易于安装和运用，网络性能和透亮性好。数据包过滤防火墙逻辑简洁，价格便宜，易于安装和运用，网络性能和透亮性好

3、。“白名单白名单”“黑名单黑名单”数据包过滤防火墙适用于工业限制，早期市场中已普遍运用，但其缺陷也渐渐显现出来。数据包过滤防火墙适用于工业限制，早期市场中已普遍运用，但其缺陷也渐渐显现出来。-5-5-3.1.2 3.1.2 工业防火墙技术工业防火墙技术2 2状态包检测（状态包检测（Stateful InspectionStateful Inspection）技术）技术 状态包检测防火墙接受基于会话连接的状态检测机制，将属于同一连接的全部数据包作为一状态包检测防火墙接受基于会话连接的状态检测机制，将属于同一连接的全部数据包作为一个整体的数据流看待，构成动态连接状态表，通过访问限制列表与连接状态表

4、的共同协作，不仅个整体的数据流看待，构成动态连接状态表，通过访问限制列表与连接状态表的共同协作，不仅可以对数据包进行简洁的包过滤（也就是对源地址、目标地址和端口号进行限制），而且还对状可以对数据包进行简洁的包过滤（也就是对源地址、目标地址和端口号进行限制），而且还对状态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，能够依据此次会话前面的数据包进行基于历史相关的访问限制。能够依据此次会话前面的数据包进行基于历史相关的访问限制。-加快数据包的处理速度加快数据包的处理速度 -具

5、有更好的性能和平安性具有更好的性能和平安性 状态包检测防火墙虽然成本高一点，对管理员要求困难一点，但它能供应比数据包过滤防火状态包检测防火墙虽然成本高一点，对管理员要求困难一点，但它能供应比数据包过滤防火墙更高的平安性和更好的性能，因而在工业限制中应用越来越多。墙更高的平安性和更好的性能，因而在工业限制中应用越来越多。-6-6-3.1.2 3.1.2 工业防火墙技术工业防火墙技术3 3代理服务（代理服务（Proxy ServiceProxy Service）技术）技术 代理服务（代理服务（Proxy ServiceProxy Service）又称为链路级网关或）又称为链路级网关或TCPTCP通

6、道（通道（Circuit Level Gateways or Circuit Level Gateways or TCP TunnelsTCP Tunnels），也有人将它归于应用级网关一类。），也有人将它归于应用级网关一类。代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将全部跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的将全部跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接链接”，由两，由两个终止代理服务器上的个终止代理服务器上的“链接链接

7、”来实现，外部计算机的网络链路只能到达代理服务器，从而起到来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，当发觉被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能形成报告，当发觉被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能和平安性，但有确定的附加部分和延时，影响性能。和平安性，但有确定的附加部分和延时，影响性能。代理服务网关防火墙不太适用于工业限制，但也有不计较延时状况

8、的应用。代理服务网关防火墙不太适用于工业限制，但也有不计较延时状况的应用。-7-7-3.1.3 3.1.3 工业防火墙技术发展方向工业防火墙技术发展方向1 1透亮接入技术透亮接入技术2 2分布式防火墙技术分布式防火墙技术3 3智能型防火墙技术智能型防火墙技术-8-8-3.1.4 3.1.4 工业防火墙与一般工业防火墙与一般ITIT防火墙区分防火墙区分数据包过滤防火墙与一般IT防火墙的区分主要表现在以下几点：（1）支持基于白名单策略的访问限制，包括网络层和应用层。（2）工业限制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制。（3）支持动态开放OPC协议端

9、口。（4）防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如，学习模式，防火墙记录运行过程中经过防火墙的全部策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格依据防护策略进行过滤等动作爱护。（5）防火墙应具有高牢靠性，包括故障自复原、在确定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。-9-9-3.1.5 3.1.5 工业防火墙具体服务规则工业防火墙具体服务规则1 1域名解析系统（域名解析系统（DNSDNS）DNSDNS主要用于域名和主要用于域名和IP

10、IP地址之间的翻译。地址之间的翻译。2 2超文本传输协议（超文本传输协议（HTTPHTTP）HTTPHTTP是在互联网进行是在互联网进行WebWeb阅读服务的协议。阅读服务的协议。3 3文件传输协议（文件传输协议（FTPFTP）和一般的文件传输协议（）和一般的文件传输协议（TFTPTFTP）FTPFTP和和TFTPTFTP用于设备之间的文件传输。用于设备之间的文件传输。4 4用于远程联接服务的标准协议（用于远程联接服务的标准协议（TelnetTelnet）TelnetTelnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。协议在用户端和主机端之间定义一个互动的、以文本为基础的通

11、信。-10-10-3.1.5 3.1.5 工业防火墙具体服务规则工业防火墙具体服务规则5 5简洁邮件传输协议（简洁邮件传输协议（SMTPSMTP）SMTPSMTP是互联网上主要的邮件传输协议。是互联网上主要的邮件传输协议。6 6简洁网络管理协议（简洁网络管理协议（SNMPSNMP）SNMPSNMP用于在中心管理限制台与网络设备之间的网络管理服务。用于在中心管理限制台与网络设备之间的网络管理服务。7 7分布式组件对象模型（分布式组件对象模型（DCOMDCOM）DCOMDCOM是是OPCOPC和和ProfinetProfinet的基本传输协议。的基本传输协议。8 8SCADASCADA与工业网络协

12、议与工业网络协议SCADASCADA和一些工业网络协议，诸如和一些工业网络协议，诸如Modbus/TCPModbus/TCP、EtherNet/IPEtherNet/IP等，对于多数限制设备之间的通信是等，对于多数限制设备之间的通信是很关键的。只是这些协议设计时没有平安考虑，且不须要任何验证对限制设备远程发出执行吩咐。很关键的。只是这些协议设计时没有平安考虑，且不须要任何验证对限制设备远程发出执行吩咐。因此，这些协议只允许用于限制网，而不允许过渡到公司网。因此，这些协议只允许用于限制网，而不允许过渡到公司网。-11-11-3.1.6 3.1.6 工业防火墙争论问题工业防火墙争论问题1 1数据历

13、史服务器数据历史服务器数据历史服务器放在公司网，那么一些担忧全的协议，如数据历史服务器放在公司网，那么一些担忧全的协议，如Modbus/TCPModbus/TCP或或DCOMDCOM，必需穿过防火墙向，必需穿过防火墙向数据历史服务器汇报，而出现在公司网。同样，数据历史服务器放在限制网，那么一些有问题的数据历史服务器汇报，而出现在公司网。同样，数据历史服务器放在限制网，那么一些有问题的协议，如协议，如HTTPHTTP或或SQLSQL，必需穿过防火墙向数据历史服务器汇报，而出现在限制网。，必需穿过防火墙向数据历史服务器汇报，而出现在限制网。因此，最好的方法是不用两区系统，接受三区系统，即限制网区、

14、因此，最好的方法是不用两区系统，接受三区系统，即限制网区、DMZDMZ和公司网。在限制网区收和公司网。在限制网区收集数据，数据历史服务器放在集数据，数据历史服务器放在DMZDMZ。然而，若很多公司网用户访问历史服务器，将加重防火墙的。然而，若很多公司网用户访问历史服务器，将加重防火墙的负担。这可以接受安装两台服务器来解决：负担。这可以接受安装两台服务器来解决：第一台放置在限制网收集数据，其次台放置在公司第一台放置在限制网收集数据，其次台放置在公司网，镜像第一台服务器，同时支持用户询问，并做好两台服务器的时间同步。网，镜像第一台服务器，同时支持用户询问，并做好两台服务器的时间同步。2 2远程支持

15、访问远程支持访问用户或供应商需通过远程访问进入限制网，则需通过验证。用户或供应商需通过远程访问进入限制网，则需通过验证。限制组可以在限制组可以在DMZDMZ建立远程访问系统，也可以由建立远程访问系统，也可以由ITIT部门用已有的系统。部门用已有的系统。远程支持人员必需接受远程支持人员必需接受VPNVPN技术访问限制设备。技术访问限制设备。3 3多点广播数据流多点广播数据流多点广播数据流，提高了网络的效率，但也带来了防火墙的困难问题。多点广播数据流，提高了网络的效率，但也带来了防火墙的困难问题。-12-12-第3章工业限制系统信息平安技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN

16、）技术3.3 限制网络逻辑分隔3.4 网络隔离3.5 纵深防卫架构-13-13-3.2.1 3.2.1 虚拟专用网技术的定义虚拟专用网技术的定义1 1虚拟专用网技术的定义虚拟专用网技术的定义 虚拟专用网（虚拟专用网（VPNVPN）技术是一种接受加密、认证等平安机制，在公共网络基础）技术是一种接受加密、认证等平安机制，在公共网络基础设施上建立平安、独占、自治的逻辑网络技术。它不仅可以爱护网络的边界平安，设施上建立平安、独占、自治的逻辑网络技术。它不仅可以爱护网络的边界平安，同时也是一种网络互连的方式。同时也是一种网络互连的方式。2 2虚拟专用网技术的优点虚拟专用网技术的优点 1 1）简洁扩展）简

17、洁扩展 2 2）便利与合作伙伴的联系）便利与合作伙伴的联系 3 3）完全限制主动权）完全限制主动权 4 4）成本较低）成本较低-14-14-3.2.2 3.2.2 虚拟专用网的分类虚拟专用网的分类1 1按按VPNVPN应用模式分类应用模式分类1）远程访问虚拟专用网（Access VPN）2）企业内部虚拟网（Intranet VPN）3）企业扩展虚拟专用网（Extranet VPN）-15-15-3.2.2 3.2.2 虚拟专用网的分类虚拟专用网的分类2 2按构建者所接受的平安协议分类按构建者所接受的平安协议分类1 1）IPSec VPNIPSec VPN2 2）MPLS VPNMPLS VPN

18、3 3）L2TP VPNL2TP VPN4 4）SSL VPNSSL VPN-16-16-3.2.3 3.2.3 虚拟专用网的工作原理虚拟专用网的工作原理 VPN连接，表面上看是一种专用连接，事实上是在公共网络的基础上的连接。它通过运用被称为“隧道”的技术，建立点对点的连接，实现数据包在公共网络上的专用“隧道”内的传输。通常，一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道终结器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体系结构中传输，并且允许网络协议穿越不兼容的体系结构，还可以区分来自不同数据源的业务，因而可以将该业务发往指定的目的地，同时接受指定的等级服务。

19、-17-17-3.2.4 3.2.4 虚拟专用网的关键技术虚拟专用网的关键技术1.1.加密技术加密技术2.2.平安隧道技术平安隧道技术3.3.用户身份认证技术用户身份认证技术4.4.访问限制技术访问限制技术-18-18-3.2.5 3.2.5 虚拟专用网的协议虚拟专用网的协议1.1.常见虚拟专用网的协议常见虚拟专用网的协议1 1）点对点隧道协议）点对点隧道协议2 2）其次层隧道协议）其次层隧道协议3 3）第三层隧道协议）第三层隧道协议-19-19-3.2.5 3.2.5 虚拟专用网的协议虚拟专用网的协议2 2IPSecIPSec体系体系1）IPSec协议简介2）IPSec优点3）IPSec体系

20、结构-20-20-第3章工业限制系统信息平安技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 限制网络逻辑分隔3.4 网络隔离3.5 纵深防卫架构-21-21-3.3 3.3 限制网络逻辑分隔限制网络逻辑分隔 工业限制系统网络至少应通过具有物理分隔网络设备，与公司管理网进行逻辑分隔。公司管理网络与工业限制系统网络有连接要求时，应当做到以下几点：（1）公司管理网络与工业限制系统网络的连接必需有文件记载，且尽量接受最少的访问点。如有冗余的访问点，也必需有文件记载。（2）公司管理网络与工业限制系统网络之间宜安装状态包检测防火墙，只允许明确授权的信息访问流量，对其他未授权的信

21、息访问流量一概拒绝。（3）防火墙的规则不仅要供应传输限制协议（TCP）和用户数据报协议（UDP）端口的过滤、网间限制报文协议（ICMP）类型和代码过滤，还要供应源端和目的地端的过滤。-22-22-3.3 3.3 限制网络逻辑分隔限制网络逻辑分隔 公司管理网络与工业限制系统网络之间的通信，一个可接受的方法是在两者之间建立一个中间非军事化区（DMZ）网络。这个非军事化区（DMZ）应连接至防火墙，以确保定制的通信仅在公司管理网络与非军事化区（DMZ）之间、工业限制系统网络与非军事化区（DMZ）之间进行。公司管理网络与工业限制系统网络之间不行以干脆相互通信。这个方法将在下一节中具体介绍。工业限制系统网

22、络与公司外部网络之间通信，应接受虚拟专用网络（VPN）技术。-23-23-第3章工业限制系统信息平安技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 限制网络逻辑分隔3.4 网络隔离3.5 纵深防卫架构-24-24-3.4 3.4 网络隔离网络隔离1 1双宿主计算机双宿主计算机 双宿主计算机能把网络信息流量从一个网络传到另一个网络。假如其双宿主计算机能把网络信息流量从一个网络传到另一个网络。假如其中任何一台计算机不配置平安限制，将带来威逼。为防止这种威逼，除防中任何一台计算机不配置平安限制，将带来威逼。为防止这种威逼，除防火墙外，任何系统不行以延长公司网与工业限制网。

23、公司管理网络与工业火墙外，任何系统不行以延长公司网与工业限制网。公司管理网络与工业限制系统网络之间连接，必需通过防火墙。限制系统网络之间连接，必需通过防火墙。-25-25-3.4 3.4 网络隔离网络隔离2 2防火墙位于公司网与限制网间防火墙位于公司网与限制网间 在工业限制网和公司网络之间增在工业限制网和公司网络之间增加一个简洁的两个口的防火墙，极大加一个简洁的两个口的防火墙，极大地提高了限制系统信息平安。进行合地提高了限制系统信息平安。进行合理配置后，防火墙就可以进一步削减理配置后，防火墙就可以进一步削减限制网外来攻击的机会。限制网外来攻击的机会。-26-26-3.4 3.4 网络隔离网络隔

24、离3 3防火墙与路由器防火墙与路由器 位于公司网与位于公司网与限制网间限制网间 更成熟的架构设计是接受路由器与更成熟的架构设计是接受路由器与防火墙组合，如图防火墙组合，如图3-63-6所示。路由所示。路由器安装在防火墙前面，进行基本的器安装在防火墙前面，进行基本的包过滤，而防火墙将接受状态包检包过滤，而防火墙将接受状态包检测技术或代理网管技术处理较困难测技术或代理网管技术处理较困难的问题。的问题。-27-27-3.4 3.4 网络隔离网络隔离4 4防火墙带防火墙带DMZDMZ位于公司网与限制位于公司网与限制网间网间 更进一步的设计架构是运用的更进一步的设计架构是运用的防火墙能在限制网和公司网之

25、间建防火墙能在限制网和公司网之间建立非军事区（立非军事区（DMZDMZ）。）。-28-28-3.4 3.4 网络隔离网络隔离5 5双防火墙位于公司网与限制网双防火墙位于公司网与限制网间间 对前面架构稍加变更，就出现对前面架构稍加变更，就出现接受双防火墙的架构。接受双防火墙的架构。-29-29-第3章工业限制系统信息平安技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 限制网络逻辑分隔3.4 网络隔离3.5 纵深防卫架构-30-30-3.5 3.5 纵深防卫架构纵深防卫架构 单个平安产品、技术和解决方案不能足够爱护限制系统。一个涉及两种或多种重叠平安机理的多层策略，技术上称为纵深防护，是普遍须要的。-31-31-3.5 3.5 纵深防卫架构纵深防卫架构 这个纵深防卫架构包括为工业限制系统所需的防火墙、DMZ运用和入侵检测实力。其中多个DMZ的运用为功能分开和访问权限分开，而且已证明对有多个网络和不同运作要求的大架构特别有效。同时，应当看到，随着这些年的信息技术的发展和应用，这个纵深防卫架构中的Modem由于担忧全而不接受，已越来越多地由VPN的成熟技术所取代。