第3章工业控制系统信息安全技术与部署讲述.ppt

-*- -*- -*- -*- -*- 第3章 工业控制系统信息安全技术与方案部署 《工业控制系统信息安全》 第3章工业控制系统信息安全技术与方案部署 3.1 工业防火墙技术 3.2 虚拟专用网（VPN）技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构 3.1.1 防火墙的定义 3.1.2 工业防火墙技术 1．数据包过滤（Packet Filtering）技术 数据包过滤技术是在OSI第3层网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 “白名单” “黑名单” 数据包过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。 3.1.2 工业防火墙技术 2．状态包检测（Stateful Inspection）技术 状态包检测防火墙采用基于会话连接的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构成动态连接状态表，通过访问控制列表与连接状态表的共同配合，不仅可以对数据包进行简单的包过滤（也就是对源地址、目标地址和端口号进行控制），而且还对状态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，能够根据此次会话前面的数据包进行基于历史相关的访问控制。 --加快数据包的处理速度 --具有更好的性能和安全性 状态包检测防火墙虽然成本高一点，对管理员要求复杂一点，但它能提供比数据包过滤防火墙更高的安全性和更好的性能，因而在工业控制中应用越来越多。 3.1.2 工业防火墙技术 3．代理服务（Proxy Service）技术 代理服务（Proxy Service）又称为链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels），也有人将它归于应用级网关一类。 代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能和安全性，但有一定的附加部分和延时，影响性能。 代理服务网关防火墙不太适用于工业控制，但也有不计较延时情况的应用。 3.1.3 工业防火墙技术发展方向 1．透明接入技术 2．分布式防火墙技术 3．智能型防火墙技术 3.1.4 工业防火墙与一般IT防火墙区别 数据包过滤防火墙与一般IT防火墙的区别主要表现在以下几点： （1）支持基于白名单策略的访问控制，包括网络层和应用层。 （2）工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制。 （3）支持动态开放OPC协议端口。 （4）防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如，学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。 （5）防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。 3.1.5 工业防火墙具体服务规则 1．域名解析系统（DNS） DNS主要用于域名和IP地址之间的翻译。 2．超文本传输协议（HTTP） HTTP是在互联网进行Web浏览服务的协议。 3．文件传输协议（FTP）和一般的文件传输协议（TFTP） FTP和TFTP用于设备之间的文件传输。 4．用于远程联接服务的标准协议（Telnet） Telnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。 3.1.5 工业防火墙具体服务规则 5．简单邮件传输协议（SMTP） SMTP是互联网上主要的邮件传输协议。 6．简单网络管理协议（SNMP） SNMP用于在中央管理控制台与网络设备之间的