第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署第一頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署3.1工業(yè)防火墻技術(shù)3.2虛擬專用網(wǎng)（VPN）技術(shù)3.3控制網(wǎng)絡(luò)邏輯分隔3.4網(wǎng)絡(luò)隔離3.5縱深防御架構(gòu)第二頁，共32頁。3.1.1防火墻的定義第三頁，共32頁。3.1.2工業(yè)防火墻技術(shù)1．數(shù)據(jù)包過濾（PacketFiltering）技術(shù)

數(shù)據(jù)包過濾技術(shù)是在OSI第3層網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表（AccessControlTable）。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。

數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。

“白名單”

“黑名單”數(shù)據(jù)包過濾防火墻適用于工業(yè)控制，早期市場中已普遍使用，但其缺陷也慢慢顯現(xiàn)出來。第四頁，共32頁。3.1.2工業(yè)防火墻技術(shù)2．狀態(tài)包檢測（StatefulInspection）技術(shù)狀態(tài)包檢測防火墻采用基于會話連接的狀態(tài)檢測機制，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)流看待，構(gòu)成動態(tài)連接狀態(tài)表，通過訪問控制列表與連接狀態(tài)表的共同配合，不僅可以對數(shù)據(jù)包進行簡單的包過濾（也就是對源地址、目標地址和端口號進行控制），而且還對狀態(tài)表中的各個連接狀態(tài)因素加以識別，檢測此次會話連接的每個數(shù)據(jù)包是否符合此次會話的狀態(tài)，能夠根據(jù)此次會話前面的數(shù)據(jù)包進行基于歷史相關(guān)的訪問控制。--加快數(shù)據(jù)包的處理速度--具有更好的性能和安全性狀態(tài)包檢測防火墻雖然成本高一點，對管理員要求復(fù)雜一點，但它能提供比數(shù)據(jù)包過濾防火墻更高的安全性和更好的性能，因而在工業(yè)控制中應(yīng)用越來越多。第五頁，共32頁。3.1.2工業(yè)防火墻技術(shù)3．代理服務(wù)（ProxyService）技術(shù)代理服務(wù)（ProxyService）又稱為鏈路級網(wǎng)關(guān)或TCP通道（CircuitLevelGatewaysorTCPTunnels），也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。代理服務(wù)技術(shù)是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。它具有更好的性能和安全性，但有一定的附加部分和延時，影響性能。代理服務(wù)網(wǎng)關(guān)防火墻不太適用于工業(yè)控制，但也有不計較延時情況的應(yīng)用。第六頁，共32頁。3.1.3工業(yè)防火墻技術(shù)發(fā)展方向1．透明接入技術(shù)2．分布式防火墻技術(shù)3．智能型防火墻技術(shù)第七頁，共32頁。3.1.4工業(yè)防火墻與一般IT防火墻區(qū)別數(shù)據(jù)包過濾防火墻與一般IT防火墻的區(qū)別主要表現(xiàn)在以下幾點：（1）支持基于白名單策略的訪問控制，包括網(wǎng)絡(luò)層和應(yīng)用層。（2）工業(yè)控制協(xié)議過濾，應(yīng)具備深度包檢測功能，支持主流的工控協(xié)議的格式檢查機制、功能碼與寄存器檢查機制。（3）支持動態(tài)開放OPC協(xié)議端口。（4）防火墻應(yīng)支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護系統(tǒng)的最小影響。例如，學(xué)習模式，防火墻記錄運行過程中經(jīng)過防火墻的所有策略、資產(chǎn)等信息，形成白名單策略集；驗證模式或測試模式，該模式下防火墻對白名單策略外的行為做告警，但不攔截；工作模式，防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保護。（5）防火墻應(yīng)具有高可靠性，包括故障自恢復(fù)、在一定負荷下72小時正常運行、無風扇、支持導(dǎo)軌式或機架式安裝等。第八頁，共32頁。3.1.5工業(yè)防火墻具體服務(wù)規(guī)則1．域名解析系統(tǒng)（DNS）

DNS主要用于域名和IP地址之間的翻譯。2．超文本傳輸協(xié)議（HTTP）HTTP是在互聯(lián)網(wǎng)進行Web瀏覽服務(wù)的協(xié)議。3．文件傳輸協(xié)議（FTP）和一般的文件傳輸協(xié)議（TFTP）FTP和TFTP用于設(shè)備之間的文件傳輸。4．用于遠程聯(lián)接服務(wù)的標準協(xié)議（Telnet）Telnet協(xié)議在用戶端和主機端之間定義一個互動的、以文本為基礎(chǔ)的通信。第九頁，共32頁。3.1.5工業(yè)防火墻具體服務(wù)規(guī)則5．簡單郵件傳輸協(xié)議（SMTP）SMTP是互聯(lián)網(wǎng)上主要的郵件傳輸協(xié)議。6．簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）SNMP用于在中央管理控制臺與網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)管理服務(wù)。7．分布式組件對象模型（DCOM）DCOM是OPC和Profinet的基本傳輸協(xié)議。8．SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議SCADA和一些工業(yè)網(wǎng)絡(luò)協(xié)議，諸如Modbus/TCP、EtherNet/IP等，對于多數(shù)控制設(shè)備之間的通信是很關(guān)鍵的。只是這些協(xié)議設(shè)計時沒有安全考慮，且不需要任何驗證對控制設(shè)備遠程發(fā)出執(zhí)行命令。因此，這些協(xié)議只允許用于控制網(wǎng)，而不允許過渡到公司網(wǎng)。第十頁，共32頁。3.1.6工業(yè)防火墻爭論問題1．數(shù)據(jù)歷史服務(wù)器數(shù)據(jù)歷史服務(wù)器放在公司網(wǎng)，那么一些不安全的協(xié)議，如Modbus/TCP或DCOM，必須穿過防火墻向數(shù)據(jù)歷史服務(wù)器匯報，而出現(xiàn)在公司網(wǎng)。同樣，數(shù)據(jù)歷史服務(wù)器放在控制網(wǎng)，那么一些有問題的協(xié)議，如HTTP或SQL，必須穿過防火墻向數(shù)據(jù)歷史服務(wù)器匯報，而出現(xiàn)在控制網(wǎng)。因此，最好的辦法是不用兩區(qū)系統(tǒng)，采用三區(qū)系統(tǒng)，即控制網(wǎng)區(qū)、DMZ和公司網(wǎng)。在控制網(wǎng)區(qū)收集數(shù)據(jù)，數(shù)據(jù)歷史服務(wù)器放在DMZ。然而，若很多公司網(wǎng)用戶訪問歷史服務(wù)器，將加重防火墻的負擔。這可以采用安裝兩臺服務(wù)器來解決：第一臺放置在控制網(wǎng)收集數(shù)據(jù)，第二臺放置在公司網(wǎng)，鏡像第一臺服務(wù)器，同時支持用戶詢問，并做好兩臺服務(wù)器的時間同步。2．遠程支持訪問用戶或供應(yīng)商需通過遠程訪問進入控制網(wǎng)，則需通過驗證?？刂平M可以在DMZ建立遠程訪問系統(tǒng)，也可以由IT部門用已有的系統(tǒng)。遠程支持人員必須采用VPN技術(shù)訪問控制設(shè)備。3．多點廣播數(shù)據(jù)流多點廣播數(shù)據(jù)流，提高了網(wǎng)絡(luò)的效率，但也帶來了防火墻的復(fù)雜問題。第十一頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署3.1工業(yè)防火墻技術(shù)3.2虛擬專用網(wǎng)（VPN）技術(shù)3.3控制網(wǎng)絡(luò)邏輯分隔3.4網(wǎng)絡(luò)隔離3.5縱深防御架構(gòu)第十二頁，共32頁。3.2.1虛擬專用網(wǎng)技術(shù)的定義1．虛擬專用網(wǎng)技術(shù)的定義虛擬專用網(wǎng)（VPN）技術(shù)是一種采用加密、認證等安全機制，在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全、獨占、自治的邏輯網(wǎng)絡(luò)技術(shù)。它不僅可以保護網(wǎng)絡(luò)的邊界安全，同時也是一種網(wǎng)絡(luò)互連的方式。2．虛擬專用網(wǎng)技術(shù)的優(yōu)點1）容易擴展2）方便與合作伙伴的聯(lián)系3）完全控制主動權(quán)4）成本較低第十三頁，共32頁。3.2.2虛擬專用網(wǎng)的分類1．按VPN應(yīng)用模式分類1）遠程訪問虛擬專用網(wǎng)（AccessVPN）2）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）3）企業(yè)擴展虛擬專用網(wǎng)（ExtranetVPN）第十四頁，共32頁。3.2.2虛擬專用網(wǎng)的分類2．按構(gòu)建者所采用的安全協(xié)議分類1）IPSecVPN2）MPLSVPN3）L2TPVPN4）SSLVPN第十五頁，共32頁。3.2.3虛擬專用網(wǎng)的工作原理VPN連接，表面上看是一種專用連接，實際上是在公共網(wǎng)絡(luò)的基礎(chǔ)上的連接。它通過使用被稱為“隧道”的技術(shù)，建立點對點的連接，實現(xiàn)數(shù)據(jù)包在公共網(wǎng)絡(luò)上的專用“隧道”內(nèi)的傳輸。通常，一個隧道是由隧道啟動器、路由網(wǎng)絡(luò)、隧道交換機和一個或多個隧道終結(jié)器等基本組成的。來自不同的數(shù)據(jù)源的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)過不同的隧道在相同的體系結(jié)構(gòu)中傳輸，并且允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)，還可以區(qū)分來自不同數(shù)據(jù)源的業(yè)務(wù)，因而可以將該業(yè)務(wù)發(fā)往指定的目的地，同時接受指定的等級服務(wù)。第十六頁，共32頁。3.2.4虛擬專用網(wǎng)的關(guān)鍵技術(shù)1.加密技術(shù)2.安全隧道技術(shù)3.用戶身份認證技術(shù)4.訪問控制技術(shù)第十七頁，共32頁。3.2.5虛擬專用網(wǎng)的協(xié)議1.常見虛擬專用網(wǎng)的協(xié)議1）點對點隧道協(xié)議2）第二層隧道協(xié)議3）第三層隧道協(xié)議第十八頁，共32頁。3.2.5虛擬專用網(wǎng)的協(xié)議2．IPSec體系1）IPSec協(xié)議簡介2）IPSec優(yōu)點3）IPSec體系結(jié)構(gòu)第十九頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署3.1工業(yè)防火墻技術(shù)3.2虛擬專用網(wǎng)（VPN）技術(shù)3.3控制網(wǎng)絡(luò)邏輯分隔3.4網(wǎng)絡(luò)隔離3.5縱深防御架構(gòu)第二十頁，共32頁。3.3控制網(wǎng)絡(luò)邏輯分隔工業(yè)控制系統(tǒng)網(wǎng)絡(luò)至少應(yīng)通過具有物理分隔網(wǎng)絡(luò)設(shè)備，與公司管理網(wǎng)進行邏輯分隔。公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)有連接要求時，應(yīng)該做到以下幾點：（1）公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的連接必須有文件記載，且盡量采用最少的訪問點。如有冗余的訪問點，也必須有文件記載。（2）公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間宜安裝狀態(tài)包檢測防火墻，只允許明確授權(quán)的信息訪問流量，對其他未授權(quán)的信息訪問流量一概拒絕。（3）防火墻的規(guī)則不僅要提供傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）端口的過濾、網(wǎng)間控制報文協(xié)議（ICMP）類型和代碼過濾，還要提供源端和目的地端的過濾。第二十一頁，共32頁。3.3控制網(wǎng)絡(luò)邏輯分隔公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間的通信，一個可接受的方法是在兩者之間建立一個中間非軍事化區(qū)（DMZ）網(wǎng)絡(luò)。這個非軍事化區(qū)（DMZ）應(yīng)連接至防火墻，以確保定制的通信僅在公司管理網(wǎng)絡(luò)與非軍事化區(qū)（DMZ）之間、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與非軍事化區(qū)（DMZ）之間進行。公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間不可以直接相互通信。這個方法將在下一節(jié)中詳細介紹。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與公司外部網(wǎng)絡(luò)之間通信，應(yīng)采用虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)。第二十二頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署3.1工業(yè)防火墻技術(shù)3.2虛擬專用網(wǎng)（VPN）技術(shù)3.3控制網(wǎng)絡(luò)邏輯分隔3.4網(wǎng)絡(luò)隔離3.5縱深防御架構(gòu)第二十三頁，共32頁。3.4網(wǎng)絡(luò)隔離1．雙宿主計算機雙宿主計算機能把網(wǎng)絡(luò)信息流量從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)。如果其中任何一臺計算機不配置安全控制，將帶來威脅。為防止這種威脅，除防火墻外，任何系統(tǒng)不可以延伸公司網(wǎng)與工業(yè)控制網(wǎng)。公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間連接，必須通過防火墻。第二十四頁，共32頁。3.4網(wǎng)絡(luò)隔離2．防火墻位于公司網(wǎng)與控制網(wǎng)間在工業(yè)控制網(wǎng)和公司網(wǎng)絡(luò)之間增加一個簡單的兩個口的防火墻，極大地提高了控制系統(tǒng)信息安全。進行合理配置后，防火墻就可以進一步減少控制網(wǎng)外來攻擊的機會。第二十五頁，共32頁。3.4網(wǎng)絡(luò)隔離3．防火墻與路由器位于公司網(wǎng)與控制網(wǎng)間更成熟的架構(gòu)設(shè)計是采用路由器與防火墻組合，如圖3-6所示。路由器安裝在防火墻前面，進行基本的包過濾，而防火墻將采用狀態(tài)包檢測技術(shù)或代理網(wǎng)管技術(shù)處理較復(fù)雜的問題。第二十六頁，共32頁。3.4網(wǎng)絡(luò)隔離4．防火墻帶DMZ位于公司網(wǎng)與控制網(wǎng)間更進一步的設(shè)計架構(gòu)是使用的防火墻能在控制網(wǎng)和公司網(wǎng)之間建立非軍事區(qū)（DMZ）。第二十七頁，共32頁。3.4網(wǎng)絡(luò)隔離5．雙防火墻位于公司網(wǎng)與控制網(wǎng)間

對前面架構(gòu)稍加變化，就出現(xiàn)采用雙防火墻的架構(gòu)。第二十八頁，共32頁。第3章工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署3.1工業(yè)防火墻技術(shù)3.2虛擬專用網(wǎng)（VPN）技術(shù)3.3控制網(wǎng)絡(luò)邏輯分隔3.4網(wǎng)絡(luò)隔離3.5縱深防御架構(gòu)第二十九頁，共32頁。3.5縱深防御架構(gòu)單個安全產(chǎn)品、技術(shù)和