工控安全防护技术.pdfVIP

Special Project 特别企划 责任编辑：赵志远 投稿信箱：netadmin@365 工控安全防护技术 工控系统安全防护技术 专业隔离防护解决方案。工 输），未知设备接入报警等。 主要包含如下几种 ： 业防火墙还可以实时对组态 3. 计算机防病毒及主动 1. 工业防火墙 的防火墙策略进行修改， 而 安全防御 工业防火墙技术是防范 且不影响实时通讯。 生产控制区具备控制功 工控网络攻击最常用的技术 2. 在线审计与异常检测 能的系统应当逐步推广应用 手段，通过隔离工控网络和 生产控制区的监控系统 以密码硬件为核心的可信计 信息网络来实现网络边界防 应当具备安全审计功能， 能 算技术， 用于实现计算环境 护与逻辑隔离。把握好访问 够对生产网络通讯做行为分 和网络环境安全可信， 免疫 控制的颗粒度决定了工控网 析，实时监测网络中的通讯 未知恶意代码破坏， 应对高 络安全建设的成败， 以往的 链路状态， 溯源 网络中病毒 级别的恶意攻击。由于工业 端口级访问控制策略无法防 木 马 的 传 播 路 径 ；同 时，用 控制环境的特殊性， 恶意代 护工业协议恶意代码攻击， 户可自定义异常状态判定阈 码库难 以获得及时的升级， 这就需要在网络边界处部署 值，将发生的异常通讯 以告 因此在工控系统中实施基于 具 有 工 业 协 议 深 度 包 检 测 警的形式汇总展示。实现此 恶意代码库的恶意代码防范 （DPI）功能的工业防火墙系 项功能的基础是抓包分析技 将存在严重滞后性。攻击者 统来提供更加有效的工业协 术，抓包分析技术可 以从中 可轻易利用恶意代码库尚未 议应用层防护。 了解协议的实现情况、 是否 收集的恶意代码侵入主机系 工业防火墙一般部署在 存在网络攻击等， 为制定安 统，进而破坏整个工控系统。 企 业 信 息 网 和 生 产 网 的 隔 全策略及进行安全审计提供 可信计算终端防护 由授 离、关键控制节点、 生产网区 直接依据。 权服务器和安全客户端两部 域之间、 生产网和第三方系 除具备实时工业通讯协 分组成。客户端全面度量系 统边界隔离防护 （例如远程 议行为解析外， 审计设备也 统所有进程， 并将度量信息 维护）。工业防火墙不仅提 可像飞机的黑匣子一样， 能 提交至授权服务器端， 服务 供针对端口的防护， 更对基 够 回 溯 及 追 查 网 络 安 全 问 器对这些信息进行编辑后生 于 应 用 层 的 数 据 包 深 度 检 题，完成追根溯源， 主要包括 成白名单， 供客户端下载， 客 查，采用了工业通讯协议 白 如下功能 ：网络数据流量监 户端依据所下载的白名单对 名单技术， 内置 PC/ Modbus/ 测，网络异常数据报警及追 系统和应用进行防护，