工业控制系统信息安全技术与方案部署

格式：ppt
大小：2.99 MB
文档页数：32

下载文档原格式

《工业控制系统信息安全防护指南》

（VPN）等方式，对接入账户实行专人专号，并定期审计接入账户操作记录。
4）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。
工业企业应保留工业控制系统设备、应用等访问日志，并定期进行备份，通过审计人员账户、访问时间、操作内容等日志信息，追踪定位非授权访问行为。
安全监测和应急预案演练
1）在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。
2）合理分类设置账户权限，以最小特权原则分配账户权限。
工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配，确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作需要。
3）强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令。
主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
身份认证
1）在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
用户在登录工业主机、访问应用服务资源及工业云平台等过程中，应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段，必要时可采用多种认证手段。
边界安全防护
1）分离工业控制系统的开发、测试和生产环境。
工业控制系统的开发、测试和生产环境需执行不同的安全控制措施、工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
2）通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。
工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况，在不同网络边界之间部署边界安全防护设备，实现安全访问控制,阻断非法网络访问，严格禁止没有防护的工业控制网络与互联网连接。

工业控制系统信息安全行动计划(2018—2020年)

工业控制系统信息安全行动计划（2018—2020年）作者：来源：《中国电子报》2018年第02期工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。

近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。

为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快我国工控安全保障体系建设，制定本行动计划。

一、总体要求（一）指导思想全面贯彻落实党的十九大精神，以习近平新时代中国特色社会主义思想为指引，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，重点提升工控安全态势感知、安全防护和应急处置能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。

确保信息安全与信息化建设同步规划、同步建设、同步运行。

坚持落实企业主体责任。

确立企业工控安全主体责任地位，强化责任意识，把工控安全作为工业生产安全的重要组成部分，将安全要求纳入企业生产、经营、管理各环节。

坚持因地制宜分类指导。

准确把握工控安全在不同行业、不同地区的发展基础和特征，结合工控安全威胁的多样性和复杂性，分类别、分层次、分步骤精准施策。

坚持技术和管理并重。

统筹技术防护与安全管理，充分运用先进技术提升工控安全防护能力，创新企业安全管理机制，全面落实安全管理制度。

（二）主要目标到2020年，全系统工控安全管理工作体系基本建立，全社会工控安全意识明显增强。

建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台），态势感知、安全防护、应急处置能力显著提升。

培育一批影响力大、竞争力强的龙头骨干企业，创建3～5个国家新型工业化产业示范基地（工业信息安全），产业创新发展能力大幅提高。

二、主要行动（一）安全管理水平提升落实企业主体责任。

工业控制系统信息安全整体解决方案

2016.03.29工业控制系统信息安全整体解决方案
北京威努特技术有限公司CEO：龙国东
威努特—工控安全专家内容提纲
1
威努特公司介绍
传统IT安全在工控系统应用困境
2
威努特工控安全技术理念
3
威努特工控安全解决方案
4
成功案例
5
威努特—工控安全专家公司简介
☐北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。

☐我们致力于为企业客户提供工控安全整体解决方案与服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。

☐公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队组成的专业化团队。

可为企业客户提供：
稳定可靠的工控安全防护产品；
专业深度的工控安全咨询培训；
全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；
☐帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。

Page 3。

工业控制系统信息安全防护指南

工业掌握系统信息安全防护指南工信部2022 年 10 月公布工业掌握系统信息安全事关经济进展、社会稳定和国家安全。

为提升工业企业工业掌握系统信息安全〔以下简称工控安全〕防护水平，保障工业掌握系统安全，制定本指南。

工业掌握系统应用企业以及从事工业掌握系统规划、设计、建设、运维、评估的企事业单位适用本指南。

工业掌握系统应用企业应从以下十一个方面做好工控安全防护工作。

一、安全软件选择与治理〔一〕在工业主机上承受经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

〔二〕建立防病毒和恶意软件入侵治理机制，对工业掌握系统及临时接入的设备实行病毒查杀等安全预防措施。

二、配置和补丁治理〔一〕做好工业掌握网络、工业主机和工业掌握设备的安全配置，建立工业掌握系统配置清单，定期进展配置审计。

〔二〕对重大配置变更制定变更打算并进展影响分析，配置变更实施前进展严格安全测试。

〔三〕亲热关留意大工控安全漏洞及其补丁公布，准时实行补丁升级措施。

在补丁安装前，需对补丁进展严格的安全评估和测试验证。

三、边界安全防护〔一〕分别工业掌握系统的开发、测试和生产环境。

〔二〕通过工业掌握网络边界防护设备对工业掌握网络与企业网或互联网之间的边界进展安全防护，制止没有防护的工业控制网络与互联网连接。

〔三〕通过工业防火墙、网闸等防护设备对工业掌握网络安全区域之间进展规律隔离安全防护。

四、物理和环境安全防护〔一〕对重要工程师站、数据库、效劳器等核心工业掌握软硬件所在区域实行访问掌握、视频监控、专人值守等物理安全防护措施。

〔二〕撤除或封闭工业主机上不必要的 USB、光驱、无线等接口。

假设确需使用，通过主机外设安全治理技术手段实施严格访问掌握。

五、身份认证〔一〕在工业主机登录、应用效劳资源访问、工业云平台访问等过程中使用身份认证治理。

对于关键设备、系统和平台的访问承受多因素认证。

〔二〕合理分类设置账户权限，以最小特权原则安排账户权限。

工业控制网络安全和工业控制网安全解决方案

工业控制网络安全解决方案数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》，通知要求，各地区、各部门、各单位务必高度重视工业控制系统信息安全管理，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

加强数据采集与监控安全（SCADA安全）、分布式控制系统安全（DCS安全）、过程控制系统安全（PCS安全）、可编程逻辑控制器安全（PLC安全）等工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

通知特别要求：“1.断开工业控制系统同公共网络之间的所有不必要连接。

2.对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。

”要实现高安全的工控网安全防护保障,还是必须采用网络安全隔离,也就是使用隔离网闸,这也是为什么国家电网强制要求使用安全隔离网闸的原因。

凭借雄厚的技术实力，北京数码星辰为了解决工业控制网和公共网络之间的物理隔离，控制网和管理网（MIS网），以及控制网与企业内部网之间的隔离，专门研制针对控制网和MIS连接保护的宇宙盾网络安全隔离产品，并以此提出了数码星辰的控制网安全防护解决方案。

工控系统网络安全的挑战与解决方案

工控系统网络安全的挑战与解决方案在当今数字化、信息化的时代，工业控制系统（以下简称“工控系统”）在各个关键基础设施领域，如能源、交通、制造业等，发挥着至关重要的作用。

然而，随着工业互联网的快速发展以及信息技术与工业生产的深度融合，工控系统面临着日益严峻的网络安全挑战。

这些挑战不仅可能导致生产中断、设备损坏，甚至会威胁到国家安全和公共利益。

因此，深入研究工控系统网络安全的挑战，并探寻有效的解决方案，具有极其重要的现实意义。

一、工控系统网络安全面临的挑战1、系统漏洞与老旧设备许多工控系统在设计之初并未充分考虑网络安全问题，导致系统存在诸多漏洞。

同时，由于工业生产的连续性要求，一些老旧设备仍在超期服役，这些设备往往缺乏安全更新和维护，容易成为攻击者的突破口。

2、网络互联带来的风险随着工业 40 的推进，工控系统逐渐与企业管理网络、互联网相连接，网络边界变得模糊。

这使得外部的网络攻击有了更多的途径可以侵入工控系统，增加了安全风险。

3、恶意软件与病毒攻击恶意软件和病毒的不断进化，给工控系统带来了巨大威胁。

它们可以通过网络传播、移动存储设备等途径进入工控系统，破坏系统的正常运行，窃取敏感数据。

4、人为疏忽与内部威胁操作人员的安全意识不足、违规操作或内部人员的恶意行为，都可能导致工控系统遭受网络攻击。

例如，使用弱密码、随意连接外部网络、误操作关键设备等。

5、供应链安全问题工控系统的硬件、软件和服务往往来自多个供应商，供应链中的任何一个环节出现安全漏洞，都可能影响到整个工控系统的安全。

二、工控系统网络安全挑战的影响1、生产中断与经济损失一旦工控系统遭受网络攻击，可能导致生产流程中断，造成巨大的经济损失。

例如，工厂停产、交通瘫痪、能源供应中断等。

2、设备损坏与环境危害某些攻击可能会导致工业设备的过载、失控甚至损坏，不仅造成财产损失，还可能引发环境污染等次生灾害。

3、数据泄露与隐私侵犯工控系统中包含大量的敏感数据，如生产工艺、配方、客户信息等。

工业控制系统信息安全优秀解决方案

微型PLC
小型PLC
中型PLC
大型PLC
工业控制系统关键设备的发展
单片机 arm主板
工控机
可信计算机
笔记本
IPAD
手机
操作系统
工业控制系统关键设备的发展
组态软件
PLC编程软件
计算机硬件系统(主板)
建立可信链
计算机软件系统运行时
标识平台身份
保护密钥
可信计算机
可信密码模块嵌入
解决当前核心安全问题
控制系统依附于人的天性。严格的边界防御可能被一个好奇的操作员\USB驱动器以及糟糕的安全意识所绕过
PLC与RTU不是运行在现代的操作系统之上，没有漏洞
PLC可以并且已经成为恶意软件感染的目标
因为工业控制系统不易获取，所以针对他们制造有效攻击是不可能的
针对工业控制系统的攻击动机、意图以及资源都是存在的。
RE1：所有用户不能执行未授权的功能：例如工程师，操作员等具有不同的权限（每个人都要有）
RE2：可以预先配置角色或有用户配置角色 1、浏览；2、操作员；3、控制应用工程师；4、控制系统管理员； 5、操作主管。6、仪表技术员。
RE3：主管越权：在生产出现重要事项的时候，控制系统支持双授权。
36
目录
是网络战中的“战术原子弹”而非 “弓箭”
Stuxnet利用漏洞来感染和传播，他首先寻找西门子公司的WICC和PCS7程序，通过总线PROFIBUS注入木马，使用默认SQL证书入侵PLC，然后寻找变频器控制自动化设备，搞破坏
16
认识观念被颠覆
以前的认识
从STUXNET学到的教训
控制系统可以与其他网络有效隔离、消除网络事故风险

工业控制系统网络安全的挑战与解决方案

工业控制系统网络安全的挑战与解决方案随着信息技术的快速发展，工业控制系统（Industrial Control Systems，简称ICS）在现代工业中起着至关重要的作用。

然而，网络化的工业控制系统也带来了一系列的网络安全挑战。

本文将探讨工业控制系统网络安全所面临的挑战，并提出一些解决方案以应对这些挑战。

一、工业控制系统网络安全挑战1. 网络攻击威胁：工业控制系统面临多种网络攻击威胁，包括恶意软件感染、黑客入侵、数据篡改和拒绝服务攻击等。

这些攻击可能导致产业设备故障、生产数据泄露、工厂生产中断等严重后果。

2. 技术老化和漏洞：许多工业控制系统使用过时的技术和软件，这些技术和软件往往存在漏洞和安全隐患。

黑客可以利用这些漏洞实施攻击，并窃取关键信息或者破坏工业设备。

3. 隔离困难：工业控制系统通常由多个网络和子系统组成，这些网络和子系统之间需要进行互联和数据共享。

然而，这也给网络安全带来了挑战，因为网络和子系统的互联可能导致攻击者通过一个子系统侵入整个工业控制系统。

4. 人为因素：人为因素也是工业控制系统网络安全的一个重要挑战。

员工的不规范行为、信息泄露、密码弱点等都可能成为网络攻击的入口。

二、工业控制系统网络安全解决方案1. 安全培训和教育：组织应加强对员工的网络安全培训和教育，提高员工的安全意识和技能，以减少人为因素导致的网络安全风险。

2. 网络监测和入侵检测系统：建立网络监测和入侵检测系统，实时监控工业控制系统的网络流量和异常活动，及时发现并应对潜在的网络攻击。

3. 漏洞管理和补丁更新：定期对工业控制系统进行漏洞扫描和安全评估，即时安装补丁和更新软件，以确保系统的及时修复和漏洞修补。

4. 访问控制和权限管理：实施严格的访问控制策略，限制对工业控制系统的访问权限，确保只有授权人员能够访问和操作系统，减少潜在的攻击风险。

5. 网络隔离和分区：将工业控制系统划分为不同的网络区域，实施网络隔离和分区措施，限制不同网络之间的通信和数据共享，减少攻击面。

工业控制系统网络安全问题及措施

工业控制系统网络安全问题及措施摘要：根据工业控制网络的安全需求，改进安全技术措施和安全管理措施，实现3层安全隔离，对工控网络进行可用性、性能和服务水平的统一监控管理，保证工业控制系统安全稳定运行。

关键词：工控制系统；工业互联网；风险防护0引言随着工业互联网的发展、钢铁行业信息化的推进，EMS（能源管理系统）和MES （生产过程执行系统）建设日益增多，这些子系统负责原料供应、焦化、烧结、除尘、炼铁、炼钢、连铸、热轧以及冷轧等多工序的控制任务，一旦受到恶性攻击或者病毒的袭击，将导致工业控制系统的控制组件和整个生产线停运，甚至造成伤亡等严重后果。

工业控制网络安全十分重要，第一，它的保护攻击主题是特殊的，不同于传统的网络攻击，如网络欺诈和网络入侵，目的是赚钱和利润。

从一般意义上说，工业入侵者不会是“黑客”，但可能是恐怖组织甚至敌对势力支持的组织；其次，攻击和破坏的后果严重。

在自动化发展的初期，工厂控制系统网络相对封闭，工业控制系统一度被认为是绝对独立的，不可能受到外部网络攻击的。

但近年来，为了实现实时数据采集和生产控制，通过逻辑隔离，满足“两化融合”的需求和管理的便利性。

工业互联网的兴起，远程运维需求迫切，通过互联网对工业控制系统的网络攻击也逐年增加，国内外生产企业已经加快了工业控制系统的安全控制措施的建设。

1工业控制网络的安全需求1.1网络边界防护需求生产网络内边界缺乏有效的防护措施，无法有效保护各业务系统的安全。

1.2远程访问防护需求生产控制网络存在远程维护通道，很多工业控制设备维护依赖提供商，由此也带来了入侵的途径，存在一定的安全隐患。

1.3网络监测与审计需求生产网络内缺少安全审计设备，无法对网络中的攻击行为、数据流量、重要操作等进行监测审计，一旦出现安全事故无法进行事后审计。

1.4操作系统漏洞管理需求生产网络中的工控机多数使用微软、Linux操作系统，由于生产控制网络的封闭及控制系统对业务实时性要求较高，无法进行正常的系统漏洞升级操作，导致使用的微软操作系统存在大量安全漏洞。

工业控制系统信息安全

工业控制系统信息安全在当今高度数字化和信息化的时代，工业控制系统在各个领域中发挥着至关重要的作用，从制造业到能源供应，从交通运输到基础设施。

然而，随着这些系统与网络的深度融合，工业控制系统信息安全问题日益凸显，成为了企业和社会面临的重大挑战。

工业控制系统，简称ICS，是用于控制工业生产过程的一系列软硬件设备的组合。

它包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）等。

这些系统负责监控和调节生产过程中的各种参数，确保生产的高效、稳定和安全。

然而，由于其与互联网的连接越来越紧密，以及对信息化技术的依赖程度不断提高，工业控制系统面临着来自网络空间的诸多威胁。

首先，黑客攻击是工业控制系统信息安全的一大威胁。

黑客可能出于经济利益、政治目的或者单纯的破坏欲望，对工业控制系统发起攻击。

他们可能通过网络漏洞入侵系统，窃取敏感信息，或者篡改控制指令，导致生产过程失控。

例如，2010 年的“震网”病毒攻击事件，就是针对伊朗核设施的工业控制系统进行的一次有组织、有针对性的攻击，造成了大量离心机损坏，严重影响了伊朗的核计划。

其次，内部人员的误操作或恶意行为也可能给工业控制系统带来安全隐患。

内部员工可能由于缺乏安全意识，误将带有病毒的移动存储设备插入工业控制系统的计算机，从而引入恶意软件。

或者，一些心怀不满的员工可能故意破坏系统，泄露关键信息，给企业造成巨大损失。

再者，工业控制系统自身的安全漏洞也是一个不容忽视的问题。

由于许多工业控制系统在设计之初并未充分考虑信息安全因素，导致系统存在诸多安全漏洞。

而且，一些老旧的工业控制系统由于技术更新不及时，难以应对不断变化的网络威胁。

工业控制系统信息安全问题的影响是巨大的。

一旦工业控制系统遭受攻击，可能导致生产停滞、设备损坏、产品质量下降，甚至可能引发人员伤亡和环境污染等严重后果。

例如，在化工行业，如果工业控制系统被攻击导致生产流程失控，可能会引发爆炸、泄漏等危险事故。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

--加快数据包的处理速度 --具有更好的性能和安全性
状态包检测防火墙虽然成本高一点，对管理员要求复杂一点，但它能提供比数据包过滤防火墙更高的安全性和更好的性能，因而在工业控制中应用越来越多。
-6-
6
3.1.2 工业防火墙技术
3．代理服务（Proxy Service）技术
代理服务（Proxy Service）又称为链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels），也有人将它归于应用级网关一类。
中任何一台计算机不配置安全控制，将带来威胁。为防止这种威胁，除防火墙外，任何系统不可以延伸公司网与工业控制网。公司管理网络与工业控制系统网络之间连接，必须通过防火墙。
-25-
25
3.4 网络隔离
2．防火墙位于公司网与控制网间在工业控制网和公司网络之间增
加一个简单的两个口的防火墙，极大地提高了控制系统信息安全。进行合理配置后，防火墙就可以进一步减少控制网外来攻击的机会。
工业控制系统网络与公司外部网络之间通信，应采用虚拟专用网络（VPN）技术。
-23-
23
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网（VPN）技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-24-
24
3.4 网络隔离
1．双宿主计算机双宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其
-30-
30
3.5 纵深防御架构
单个安全产品、技术和解决方案不能足够保护控制系统。一个涉及两种或多种重叠安全机理的多层策略，技术上称为纵深防护，是普遍需要的。
-31-
31
3.5 纵深防御架构
这个纵深防御架构包括为工业控制系统所需的防火墙、DMZ使用和入侵检测能力。其中多个DMZ的使用为功能分开和访问权限分开，而且已证实对有多个网络和不同运作要求的大架构非常有效。
代理服务网关防火墙不太适用于工业控制，但也有不计较延时情况的应用。
-7-
7
3.1.3 工业防火墙技术发展方向
1．透明接入技术 2．分布式防火墙技术 3．智能型防火墙技术
-8-
8
3.1.4 工业防火墙与一般IT防火墙区别
数据包过滤防火墙与一般IT防火墙的区别主要表现在以下几点：（1）支持基于白名单策略的访问控制，包括网络层和应用层。（2）工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制。（3）支持动态开放OPC协议端口。（4）防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如，学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。（5）防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。
-20-
20
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网（VPN）技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-21-
21
3.3 控制网络逻辑分隔
工业控制系统网络至少应通过具有物理分隔网络设备，与公司管理网进行逻辑分隔。公司管理网络与工业控制系统网络有连接要求时，应该做到以下几点：（1）公司管理网络与工业控制系统网络的连接必须有文件记载，且尽量采用最少的访问点。如有冗余的访问点，也必须有文件记载。（2）公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙，只允许明确授权的信息访问流量，对其他未授权的信息访问流量一概拒绝。（3）防火墙的规则不仅要提供传输控制协议（TCP）和用户数据报协议（UDP）端口的过滤、网间控制报文协议（ICMP）类型和代码过滤，还要提供源端和目的地端的过滤。
-26-
26
3.4 网络隔离
3．防火墙与路由器位于公司网与控制网间更成熟的架构设计是采用路由器与防火墙组合，如图3-6所示。路由器安装在防火墙前面，进行基本的包过滤，而防火墙将采用状态包检测技术或代理网管技术处理较复杂的问题。
-27-
27
3.4 网络隔离
4．防火墙带DMZ位于公司网与控制网间
1.加密技术 2.安全隧道技术 3.用户身份认证技术 4.访问控制技术
-18-
18
3.2.5 虚拟专用网的协议
1.常见虚拟专用网的协议 1）点对点隧道协议 2）第二层隧道协议 3）第三层隧道协议
-19-
19
3.2.5 虚拟专用网的协议
2．IPSec体系 1）IPSec协议简介 2）IPSec优点 3）IPSec体系结构
1．数据包过滤（Packet Filtering）技术数据包过滤技术是在OSI第3层网络层对数据包进行选择，选择的依据是系统内设置的过滤
逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。
更进一步的设计架构是使用的防火墙能在控制网和公司网之间建立非军事区（DMZ）。
-28-
28
3.4 网络隔离
5．双防火墙位于公司网与控制网间
对前面架构稍加变化，就出现采用双防火墙的架构。
-29-
29
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网（VPN）技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
同时，应该看到，随着这些年的信息技术的发展和应用，这个纵深防御架构中的Modem由于不安全而不采用，已越来越多地由VPN的成熟技术所取代。
-32-
32
-10-
10
3.1.5 工业防火墙具体服务规则
5．简单邮件传输协议（SMTP） SMTP是互联网上主要的邮件传输协议。 6．简单网络管理协议（SNMP） SNMP用于在中央管理控制台与网络设备之间的网络管理服务。 7．分布式组件对象模型（DCOM） DCOM是OPC和Profinet的基本传输协议。 8．SCADA与工业网络协议 SCADA和一些工业网络协议，诸如Modbus/TCP、EtherNet/IP等，对于多数控制设备之间的通信是很关键的。只是这些协议设计时没有安全考虑，且不需要任何验证对控制设备远程发出执行命令。因此，这些协议只允许用于控制网，而不允许过渡到公司网。
设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全，同时也是一种网络互连的方式。 2．虚拟专用网技术的优点
1）容易扩展 2）方便与合作伙伴的联系 3）完全控制主动权 4）成本较低
-14-
14
3.2.2 虚拟专用网的分类
1．按VPN应用模式分类 1）远程访问虚拟专用网（Access VPN） 2）企业内部虚拟网（Intranet VPN） 3）企业扩展虚拟专用网（Extranet VPN）
代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。它具有更好的性能和安全性，但有一定的附加部分和延时，影响性能。
通常，一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道终结器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体系结构中传输，并且允许网络协议穿越不兼容的体系结构，还可以区分来自不同数据源的业务，因而可以将该业务发往指定的目的地，同时接受指定的等级服务。
-17-
17
3.2.4 虚拟专用网的关键技术
-9-
9
3.1.5 工业防火墙具体服务规则
1．域名解析系统（DNS） DNS主要用于域名和IP地址之间的翻译。 2．超文本传输协议（HTTP） HTTP是在互联网进行Web浏览服务的协议。 3．文件传输协议（FTP）和一般的文件传输协议（TFTP） FTP和TFTP用于设备之间的文件传输。 4．用于远程联接服务的标准协议（Telnet） Telnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。
数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。 “白名单” “黑名单” 数据包过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。
-5-
5
3.1.2 工业防ction）技术
状态包检测防火墙采用基于会话连接的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构成动态连接状态表，通过访问控制列表与连接状态表的共同配合，不仅可以对数据包进行简单的包过滤（也就是对源地址、目标地址和端口号进行控制），而且还对状态表中的各个连接状态因素加以识别，检测此次会话连接的每个数据包是否符合此次会话的状态，能够根据此次会话前面的数据包进行基于历史相关的访问控制。
-11-
11
3.1.6 工业防火墙争论问题
1．数据历史服务器数据历史服务器放在公司网，那么一些不安全的协议，如Modbus/TCP或DCOM，必须穿过防火墙向数据历史服务器汇报，而出现在公司网。同样，数据历史服务器放在控制网，那么一些有问题的协议，如HTTP或SQL，必须穿过防火墙向数据历史服务器汇报，而出现在控制网。因此，最好的办法是不用两区系统，采用三区系统，即控制网区、DMZ和公司网。在控制网区收集数据，数据历史服务器放在DMZ。然而，若很多公司网用户访问历史服务器，将加重防火墙的负担。这可以采用安装两台服务器来解决：第一台放置在控制网收集数据，第二台放置在公司网，镜像第一台服务器，同时支持用户询问，并做好两台服务器的时间同步。 2．远程支持访问用户或供应商需通过远程访问进入控制网，则需通过验证。控制组可以在DMZ建立远程访问系统，也可以由IT部门用已有的系统。远程支持人员必须采用VPN技术访问控制设备。 3．多点广播数据流多点广播数据流，提高了网络的效率，但也带来了防火墙的复杂问题。