工业控制网络漏洞安全防护措施

1、本文格式为Word版，下载可任意编辑工业控制网络漏洞安全防护措施 随着工业化与信息化的融合推动，以及以太网技术在工业掌握系统中的大量应用，病毒和木马对SCADA系统的攻击大事频发，直接影响到公共基础设施的平安，造成的损失不行估量。因此，目前国内外生产企业都是否重视工业掌握系统的平安防护建设。但由于工控网络存在着特别性，商用的信息平安技术无法完全适用，解决工业掌握系统平安需要有针对性地实施特别措施。工业掌握网络的平安漏洞对工控系统而言，可能带来直接隐患的平安漏洞主要包括以下几种：1、病毒与恶意代码病毒泛滥也是总所周知的平安隐患。在全球范围内，每年都会发生数次大规模的病毒爆发，而全球现已发觉数万种

2、病毒，每天还会新生数十余种。除了传统意义上的具有自我复制力量、但必需寄生在其它有用程序中的病毒种类外，各种新型的恶意代码更是层出不穷，如规律炸弹、特洛伊木马、蠕虫等，它们往往具有更强的传播力量和破坏性。如蠕虫病毒和传统病毒相比，其最大的不同在于可以进行自我复制，传统病毒的复制过程需要依靠人工干预，而蠕虫却可以自己独立完成，破坏性和生命力自然强大得多。2、 SCADA系统软件的漏洞国家信息平安漏洞共享平台在2011年收录了100多个对我国影响广泛的工业掌握系统软件平安漏洞，较2010年大幅增长近10倍，这些漏洞涉及西门子等国内外知名工业掌握系统制造商的产品。3、操作系统平安漏洞PC与Window

3、s的技术架构现已成为掌握系统上位机/操作站的主流，而在掌握网络中，操作站是实现与MES通信的主要网络结点，因此其操作系统的漏洞就成为了整个掌握网络信息平安中的一个短板。4、网络通信协议平安漏洞随着TCP/IP协议被掌握网络普遍采纳，网络通信协议漏洞问题变得越来越突出。 TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是相互信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量平安问题。当其推广到社会的应用环境后，平安问题就发生了。所以说，TCP/IP在先天上就存在着致命的设计性平安漏洞。5、平安策略和管理流程漏洞追求可用性而牺牲平

4、安，是许多工业掌握系统存在的普遍现象，缺乏完整有效的平安策略与管理流程，也给工业掌握系统信息平安带来了肯定威逼。应当实行的平安防护策略工业掌握系统的平安防护需要考虑每一个细节。从现场I/O设备、掌握器，到操作站的计算机操作系统，工业掌握网络中同时存在保障工业系统的工业掌握网络和保障生产经营的办公网络，考虑到不同业务终端的平安性与故障容忍程度的不同，防备策略和保障措施应当根据等级进行划分，而实施分层次的纵深防备架构需要分别实行不同的对应手段，构筑从整体到细节的立体防备体系。首先，可实施网络物理隔离。依据公安部制定的GA370-2001端设备隔离部件平安技术要求的定义，物理隔离的含义是：公共网络和

5、专网在网络物理连线上是完全隔离的，且没有任何公用的存储信息。物理隔离部件的平安功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘)，计算机数据不能被重用(至少应包括内存)。信息平安是一个体系防护的概念，网络物理隔离技术不行能解决全部信息平安问题，但能大大提高网络的平安性和可控性，能彻底消退内部网络患病外部网络侵入和破坏的可能性，从而大大削减网络中的担心全因素，缩小追踪网络中非法用户和黑客的范围。目前存在的平安问题，对网络隔离技术而言在理论上都不存在，这就是各国政府和军方都大力推行网络隔离技术的主要缘由。网络隔离技术目前已经进展到了第五代。第一代隔离技术实际上是将网络进行物理上的

6、分开，形成信息孤岛;其次代采纳硬件卡隔离技术;第三代采纳数据转发隔离技术;第四代采纳的是空气开关隔离技术;而第五代隔离技术采纳了平安通道隔离技术。基于平安通道的最新隔离技术通过专用通信硬件和专有平安协议等平安机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，还能有效地把内外部网络隔离开来，而且高效地实现了内外网数据的平安交换，透亮支持多种网络应用，成为当前隔离技术的进展方向。总的来说，网络隔离技术的主要目标是解决工业掌握系统中的各种漏洞：操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、平安策略漏洞等，网络隔离也是目前唯一能解决上述问题的平安技术。另外还可以构

7、建网络防火墙。网络防火墙通过设置不同的平安规章来掌握设备或系统之间的数据流，在实际应用中主要用于分析与互联网连接的TCP/IP协议簇。防火墙在网络中使用的前提是必需保证网络的连通性，其通过规章设置和协议分析，来限制和过滤那些对管理比较敏感、担心全的信息，防止未经授权的访问。由于工业掌握与商用网络的差异，常规的网络平安设置规章用在掌握网络上就会存在许多问题。只有正确地设计、配置和维护硬件防火墙的规章，才可以爱护工业掌握网络系统的平安环境。建议设置的特别规章包括：1、SCADA和工业协议。MODBUS/ TCP、EtherNet/ IP和DNP3等在工业掌握系统中被大量使用，但是这些协议在设计时没

8、有平安加密机制，通常也不会要求任何认证便可以在远程对一个掌握装置执行命令。这些协议应当只被允许在掌握网络单向传输，不准许在办公网络穿透到掌握网络。能够完成这一功能的工业防火墙或者平安路由器，通常被部署在具有以太网接口的I/O设备和掌握器上，从而避开因设备联网而造成的病毒攻击或广播风暴，还可以避开各子系统间的病毒攻击和干扰。2、分布式组件对象模型(DCOM) 。在过程掌握中，OLE和ProfiNet(opc)是使用DCOM的，它运用了微软的远程过程调用服务。该服务有许多的漏洞，许多病毒都会利用这个弱点猎取系统权限。此外OPC也利用DCOM动态地打开任意端口，这在防火墙中进行过滤是特别困难的。通用

9、防火墙无法完成对OPC协议的规章限制，假如必需需要该协议，则要求掌握网络、网络之间必需物理分开，将掌握网络和企业网络横向隔离。3、超文本传输协议(HTTP)。一般来说，HTTP不应当被允许从企业管理网透过进入掌握网络，由于他们会带来重大平安风险。假如HTTP服务到掌握网络是肯定必需的，那么在防火墙中需要通过HTTP代理配置来阻挡全部执行脚本和Java应用程序，而且特定的设备使用HTTPS更平安。4、限制文件传输协议(FTP)。FTP用于在设备之间传输、交换文件，在SCADA 、dcs、plc、RTU等系统中都有应用。FTP协议并没有任何平安原则，登入密码不加密，有些FTP为了实现历史缓冲区而消

10、失溢出的漏洞，所以应配置防火墙规章堵塞其通信。假如FTP通讯不能被要求禁止，通过FTP输出数据时，应额外增加多个特征码授权认证，并供应加密的通信隧道。5、简洁邮件传输协议(SMTP)。SMTP在互联网上是主要的电子邮件传输协议。电子邮件常常包含恶意代码程序，所以不应允许以任何掌握网络设备接收电子邮件，SMTP邮件应主要用于从掌握网络到办公网络之间输动身送报警信息。6、简洁网络管理协议(SNMP)。SNMP是网络管理服务中心，供应管理掌握台与设备如网络设备、打印机、PLC之间的监控，并制定管理的会话规章。从运维角度看，SNMP是特别有用的服务，但在平安方面存在许多问题。SNMP V1和SNMP V2C的平安机制比较脆弱，通信不加密，全部通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探软件直接猎取通信字符串，即使用户转变了通信字符串的默认值也无济于事。SNMP V3解决了上述平安性问题，但却没有被广