第3章-工业控制系统信息安全技术与方案部署.ppt

《第3章-工业控制系统信息安全技术与方案部署.ppt》由会员分享，可在线阅读，更多相关《第3章-工业控制系统信息安全技术与方案部署.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-1-1-第第3 3章章 工业控制系统信息安全技术与方案部署工业控制系统信息安全技术与方案部署 工业控制系统信息安全工业控制系统信息安全-2-2-第3章工业控制系统信息安全技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 控制网络逻辑分隔3.4 网络隔离3.5 纵深防御架构-3-3-3.1.1 3.1.1 防火墙的定义防火墙的定义-4-4-3.1.2 3.1.2 工业防火墙技术工业防火墙技术1 1数据包过滤（数据包过滤（Packet FilteringPacket Filtering）技术技术 数据包数据包过滤技术过滤技术是在OSI第3层网络层对数据包进行选择，选择的

2、依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。“白名单白名单”“黑名单黑名单”数据包过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。-5-5-3.1.2 3.1.2 工业防火墙技术工业防火墙技术2 2状态包检测（状态包检测（StatefulStateful Inspection Inspection）技术）技术 状态包检测防火墙采用基于会话连接

3、的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构成动态连接状态表，通过访问控制列表与连接状态表的共同配合，不仅可以对数据包进行简单的包过滤（也就是对源地址、目标地址和端口号进行控制），而且还对状态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，能够根据此次会话前面的数据包进行基于历史相关的访问控制。-加快数据包的处理速度 -具有更好的性能和安全性 状态包检测防火墙虽然成本高一点，对管理员要求复杂一点，但它能提供比数据包过滤防火墙更高的安全性和更好的性能，因而在工业控制中应用越来越多。-6-6-3.1.2 3.1.2 工业防火墙技术工业防

4、火墙技术3 3代理服务（代理服务（Proxy ServiceProxy Service）技术技术 代理服务（Proxy Service）又称为链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels），也有人将它归于应用级网关一类。代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册

5、登记，形成报告，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能和安全性，但有一定的附加部分和延时，影响性能。代理服务网关防火墙不太适用于工业控制，但也有不计较延时情况的应用。-7-7-3.1.3 3.1.3 工业防火墙技术发展方向工业防火墙技术发展方向1 1透明接入透明接入技术技术2 2分布式防火墙分布式防火墙技术技术3 3智能型防火墙技术智能型防火墙技术-8-8-3.1.4 3.1.4 工业防火墙与一般工业防火墙与一般ITIT防火墙区别防火墙区别数据包过滤防火墙与一般IT防火墙的区别主要表现在以下几点：（1）支持基于白名单策略的访问控制，包括网络层和应用层。（2）

6、工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制。（3）支持动态开放OPC协议端口。（4）防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如，学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。（5）防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。-9-9-3.1.5 3.1.5 工业防火

7、墙具体服务规则工业防火墙具体服务规则1 1域名解析系统（域名解析系统（DNSDNS）DNS主要用于域名和IP地址之间的翻译。2 2超文本传输协议（超文本传输协议（HTTPHTTP）HTTP是在互联网进行Web浏览服务的协议。3 3文件传输协议（文件传输协议（FTPFTP）和一般的文件传输协议（）和一般的文件传输协议（TFTPTFTP）FTP和TFTP用于设备之间的文件传输。4 4用于远程联接服务的标准协议（用于远程联接服务的标准协议（TelnetTelnet）Telnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。-10-10-3.1.5 3.1.5 工业防火墙具体服务规则工业

8、防火墙具体服务规则5 5简单邮件传输协议（简单邮件传输协议（SMTPSMTP）SMTP是互联网上主要的邮件传输协议。6 6简单网络管理协议（简单网络管理协议（SNMPSNMP）SNMP用于在中央管理控制台与网络设备之间的网络管理服务。7 7分布式组件对象模型（分布式组件对象模型（DCOMDCOM）DCOM是OPC和Profinet的基本传输协议。8 8SCADASCADA与工业与工业网络协议网络协议SCADA和一些工业网络协议，诸如Modbus/TCP、EtherNet/IP等，对于多数控制设备之间的通信是很关键的。只是这些协议设计时没有安全考虑，且不需要任何验证对控制设备远程发出执行命令。因

9、此，这些协议只允许用于控制网，而不允许过渡到公司网。-11-11-3.1.6 3.1.6 工业防火墙争论问题工业防火墙争论问题1 1数据历史服务器数据历史服务器数据历史服务器放在公司网，那么一些不安全的协议，如Modbus/TCP或DCOM，必须穿过防火墙向数据历史服务器汇报，而出现在公司网。同样，数据历史服务器放在控制网，那么一些有问题的协议，如HTTP或SQL，必须穿过防火墙向数据历史服务器汇报，而出现在控制网。因此，最好的办法是不用两区系统，采用三区系统，即控制网区、DMZ和公司网。在控制网区收集数据，数据历史服务器放在DMZ。然而，若很多公司网用户访问历史服务器，将加重防火墙的负担。这

10、可以采用安装两台服务器来解决：第一台放置在控制网收集数据，第二台放置在公司网，镜像第一台服务器，同时支持用户询问，并做好两台服务器的时间同步。2 2远程支持访问远程支持访问用户或供应商需通过远程访问进入控制网，则需通过验证。控制组可以在DMZ建立远程访问系统，也可以由IT部门用已有的系统。远程支持人员必须采用VPN技术访问控制设备。3 3多点广播数据流多点广播数据流多点广播数据流，提高了网络的效率，但也带来了防火墙的复杂问题。-12-12-第3章工业控制系统信息安全技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 控制网络逻辑分隔3.4 网络隔离3.5 纵深防御架构-

11、13-13-3.2.1 3.2.1 虚拟专用网技术的定义虚拟专用网技术的定义1 1虚拟专用网技术的虚拟专用网技术的定义定义 虚拟专用网（VPN）技术是一种采用加密、认证等安全机制，在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全，同时也是一种网络互连的方式。2 2虚拟专用网技术的虚拟专用网技术的优点优点 1）容易扩展 2）方便与合作伙伴的联系 3）完全控制主动权 4）成本较低-14-14-3.2.2 3.2.2 虚拟专用网的分类虚拟专用网的分类1 1按按VPNVPN应用模式应用模式分类分类1）远程访问虚拟专用网（Access VPN）2）企业内部虚拟网（In

12、tranet VPN）3）企业扩展虚拟专用网（Extranet VPN）-15-15-3.2.2 3.2.2 虚拟专用网的分类虚拟专用网的分类2 2按构建者所采用的安全协议按构建者所采用的安全协议分类分类1）IPSec VPN2）MPLS VPN3）L2TP VPN4）SSL VPN-16-16-3.2.3 3.2.3 虚拟专用网的工作原理虚拟专用网的工作原理 VPN连接，表面上看是一种专用连接，实际上是在公共网络的基础上的连接。它通过使用被称为“隧道”的技术，建立点对点的连接，实现数据包在公共网络上的专用“隧道”内的传输。通常，一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道终结

13、器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体系结构中传输，并且允许网络协议穿越不兼容的体系结构，还可以区分来自不同数据源的业务，因而可以将该业务发往指定的目的地，同时接受指定的等级服务。-17-17-3.2.4 3.2.4 虚拟专用网的关键技术虚拟专用网的关键技术1.1.加密技术加密技术2.2.安全安全隧道隧道技术技术3.3.用户用户身份认证身份认证技术技术4.4.访问访问控制技术控制技术-18-18-3.2.5 3.2.5 虚拟专用网的协议虚拟专用网的协议1.1.常见常见虚拟专用网的虚拟专用网的协议协议1）点对点隧道协议2）第二层隧道协议3）第三层隧道协议-19-19-

14、3.2.5 3.2.5 虚拟专用网的协议虚拟专用网的协议2 2IPSecIPSec体系体系1）IPSec协议简介2）IPSec优点3）IPSec体系结构-20-20-第3章工业控制系统信息安全技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 控制网络逻辑分隔3.4 网络隔离3.5 纵深防御架构-21-21-3.3 3.3 控制网络逻辑分隔控制网络逻辑分隔 工业控制系统网络至少应通过具有物理分隔网络设备，与公司管理网进行逻辑分隔。公司管理网络与工业控制系统网络有连接要求时，应该做到以下几点：（1）公司管理网络与工业控制系统网络的连接必须有文件记载，且尽量采用最少的访问点

15、。如有冗余的访问点，也必须有文件记载。（2）公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙，只允许明确授权的信息访问流量，对其他未授权的信息访问流量一概拒绝。（3）防火墙的规则不仅要提供传输控制协议（TCP）和用户数据报协议（UDP）端口的过滤、网间控制报文协议（ICMP）类型和代码过滤，还要提供源端和目的地端的过滤。-22-22-3.3 3.3 控制网络逻辑分隔控制网络逻辑分隔 公司管理网络与工业控制系统网络之间的通信，一个可接受的方法是在两者之间建立一个中间非军事化区（DMZ）网络。这个非军事化区（DMZ）应连接至防火墙，以确保定制的通信仅在公司管理网络与非军事化区（DMZ）之间

16、、工业控制系统网络与非军事化区（DMZ）之间进行。公司管理网络与工业控制系统网络之间不可以直接相互通信。这个方法将在下一节中详细介绍。工业控制系统网络与公司外部网络之间通信，应采用虚拟专用网络（VPN）技术。-23-23-第3章工业控制系统信息安全技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 控制网络逻辑分隔3.4 网络隔离3.5 纵深防御架构-24-24-3.4 3.4 网络隔离网络隔离1 1双宿主计算机双宿主计算机 双宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其中任何一台计算机不配置安全控制，将带来威胁。为防止这种威胁，除防火墙外，任何系统不可以

17、延伸公司网与工业控制网。公司管理网络与工业控制系统网络之间连接，必须通过防火墙。-25-25-3.4 3.4 网络隔离网络隔离2 2防火墙位于公司网与控制网间防火墙位于公司网与控制网间 在工业控制网和公司网络之间增加一个简单的两个口的防火墙，极大地提高了控制系统信息安全。进行合理配置后，防火墙就可以进一步减少控制网外来攻击的机会。-26-26-3.4 3.4 网络隔离网络隔离3 3防火墙与路由器防火墙与路由器 位于公司网与位于公司网与控制网间控制网间 更成熟的架构设计是采用路由器与防火墙组合，如图3-6所示。路由器安装在防火墙前面，进行基本的包过滤，而防火墙将采用状态包检测技术或代理网管技术处

18、理较复杂的问题。-27-27-3.4 3.4 网络隔离网络隔离4 4防火墙带防火墙带DMZDMZ位于公司网与控制位于公司网与控制网间网间 更进一步的设计架构是使用的防火墙能在控制网和公司网之间建立非军事区（DMZ）。-28-28-3.4 3.4 网络隔离网络隔离5 5双防火墙位于公司网与控制网双防火墙位于公司网与控制网间间 对前面架构稍加变化，就出现采用双防火墙的架构。-29-29-第3章工业控制系统信息安全技术与方案部署3.1 工业防火墙技术3.2 虚拟专用网（VPN）技术3.3 控制网络逻辑分隔3.4 网络隔离3.5 纵深防御架构-30-30-3.5 3.5 纵深防御架构纵深防御架构 单个安全产品、技术和解决方案不能足够保护控制系统。一个涉及两种或多种重叠安全机理的多层策略，技术上称为纵深防护，是普遍需要的。-31-31-3.5 3.5 纵深防御架构纵深防御架构 这个纵深防御架构包括为工业控制系统所需的防火墙、DMZ使用和入侵检测能力。其中多个DMZ的使用为功能分开和访问权限分开，而且已证实对有多个网络和不同运作要求的大架构非常有效。同时，应该看到，随着这些年的信息技术的发展和应用，这个纵深防御架构中的Modem由于不安全而不采用，已越来越多地由VPN的成熟技术所取代。