《工业互联网安全技术基础》课件- 23-网络边界安全

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术边界防护技术010203边界防护的必要性边界防护场景边界防护措施目录04边界产品介绍边界防御一般是在信息安全区和危险区建立一个边界。隔离内外环境，对于不安全的程序和进程禁止运行，目的是让病毒程序没有机会执行，只能以静态文件的形式存在，病毒程序完全没有机会实施对抗功能。一、边界防护一、边界防护随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与企业网或互联网互通，其他网络的安全风险很容易渗透到工控网络。与此同时，工业生产网内部各业务单元之间如果未采取边界防护措施，一旦某个业务单元遭受病毒感染和恶意公司，将可能蔓延至整个工业网络，造成严重后果。边界防护的必要性二、边界防护场景控制系统业务局域网监管隔离墙

（DMZ）工业网络:二、边界防护场景与管理网和互联网的连接一般受到控制，独立性较高，因此对于边界的防护分为三种情况：二、边界防护场景工控网络与其他网络无连接，只需做好设备自身的安全防护，不需新增边界防护设备1.工控网络与其他网有连接，则需要使用防火墙和网闸等防护设备进行边界防护工控网络与其他网络由连接，且通信实时性要求非常高，则需要企业采取弥补措施或依托专业机构提供定制化的解决方案2.3.三、边界防护措施安全防护三层工业交换机入侵检测协议过滤隔离设备审计防火墙网闸……三、边界防护措施随着自动化渐渐成熟并伴随着工业以太网的大量使用和大型工业控制网络的建立而崛起，工业交换机即工业以太网交换机，也广泛应用于工业控制领域。目前，三层工业以太网交换机呈现出较强的增长趋势，正在局域网中取代路由器。目前，国内市场主要厂商有东土、Moxa、迈威通信、研华科技......在选择交换机时，面对如此丰富多彩的品牌，用户在选择时要从哪些方面入手是必须解决的问题。三层交换机三、边界防护措施对于三层工业以太网交换机的选择，由于不同用户的网络结构和应用都会有所不同，所以在选择三层工业以太网交换机的侧重点也就有所不同。但对于用户而言，一般要注意如下几方面。注重满配置时的吞吐量分布式优于集中式关注延时与延时抖动指标性能稳定安全可靠三层交换机三、边界防护措施入侵检测技术工业系统安全检测方法主要有2种:变种攻击检测隐蔽过程攻击检测三、边界防护措施变种攻击检测误用入侵检测技术漏报率高误报率低异常入侵检测技术漏报率低误报率高（学习正常行为模式）（学习特定入侵行为）入侵检测技术三、边界防护措施隐蔽过程攻击检测方法可分为2种。一方面需要提取更多的上下文信息，如果信息量不充分，那么就可能存在漏报现象；另一方面，要获取工业控制系统中的领域约束逻辑，这是检测隐蔽过程攻击的关键，同时，也是一个非常耗时的过程。入侵检测技术隐蔽攻击检测方式如表3：检测隐蔽的过程攻击已经成为近年来工业IDS的研究热点，避免漏报和语义分析是关键。如何设计新的算法，提升过程攻击的检测精度是需要进一步研究的内容。三、边界防护措施入侵检测技术三、边界防护措施工业协议审计奇安信工业安全监测审计系统（简称ISD）是以工业资产为中心、以安全风险监测为主线的具有资产自动识别、漏洞无损发现、威胁实时检测、行为异常分析、工业协议审计等核心功能的IT/OT一体化工业安全监测审计系统，同时为工业统一安全态势感知与管理平台提供持续安全检测与审计数据，帮助工业企业进行全面工业安全管理和分析提供数据支撑。工业安全监测与审计系统三、边界防护措施工业协议审计Ps:工业安全监测审计系统三、边界防护措施为了保护网络边界，企业一般采用如下措施来进行边界安全防护：(1)梳理网络拓扑结构，确定工控网络边界1确定区域边界2对网络做出必要的变更3对区域进行记录(2)部署边界防护设备三、边界防护措施为了有效地实现工控网络和其他网络之间的边界安全防护，在每个网络边界处部署一个或多个边界安全设备防火墙网闸隔离设备三、边界防护措施几种防护措施对比优点缺点防火墙1.具备工业数据报文过滤功能2.安全防护1.不满足单向传输国标2.无数采功能网闸1.具备工业数采与转发功能2.生产网络相对安全1.双向传输2.安全性低于单向传输正向隔离装置1.单向数据传输2.生产网络相对安全1.无数采与转发功能2.传输数据单一，常用于电力领域四、边界产品介绍石化盈科产品概述：通过一个平台可以监控到全公司的工控安全状况。工控安全防火墙可对工控协议进行识别分析、白名单访问控制、网络攻击防护。安全数采网关集安全防护与数据采集功能于一体，可替代BUFFER机做数据采集和转发，做到单套生产装置隔离。石化盈科产品特性：四、边界产品介绍物理架构实现单向生产数据安全采集;工业网络边界的病毒、攻击、数据流量、日志综合展示与监控;企业经营管理网络与工业网络之间形成纵深防御;四、边界产品介绍石化盈科应用案例：内部市场企业茂名石化、销售华南、销售华中、济南天分、销售华北、福建石油、天津石化、上海赛科、北海炼化等外部市场企业中天合创、中海油惠州炼化、伊泰能化等四、边界产品介绍天阗工控产品概述：

天阗工控异常检测系统，是面向工业企业领域客户推出的针对工业控制系统的专用网络安全检测系统。该产品支持对多种工业控制网络协议的深入解读，提供特有的工控网络安全检测策略，并可针对工控网络敏感指令数据进行记录和异常检测，可检测工控网络中发生的入侵攻击，可实时监测工控网络中的敏感操控，实现故障与异常的预警。四、边界产品介绍天阗工控功能特点：​自动网络梳理​规则场景化​​监测工业指令操控行为​工控协议入侵检测异常报文检测​以太网入侵检测​工控漏洞攻击检测第4章工控网络安全技术工控防火墙技术010203防火墙技术介绍工业防火墙特点工业防火墙应用目录一、防火墙技术介绍防火墙技术

（FirewallTechnology）的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。隔离保护记录检测确保计算机网络运行安全保障用户资料与信息完整为用户提供安全的网络使用体验防火墙技术在工控系统中可应用于工业控制环境，对于工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定工业环境和功能要求的防火墙。一、防火墙技术介绍二、工业防火墙特点与传统防火墙对比：二、工业防火墙特点1.工业防火墙内置了工业通讯协议的解析和过滤功能，可针对工业协议采用深度的包检测技术和应用层通讯跟踪技术，做到对非法指令的阻断、非工控协议的拦截，以起到保护控制器的功能。

如表1和图1所示，工业防火墙能解析常用的工业通讯协议。

表1：常用工业通讯协议

图1：工业防火墙解析工业协议2.支持基于白名单策略的访问控制，包括网络层和应用层。3.具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。4.支持动态开放OPC协议端口二、工业防火墙特点4.工业防火墙一般部署在每个独立的生产单元的边界，如图2所示，且具备Bypass机制，其延时一般只是微秒级。二、工业防火墙特点

图2:工业防火墙部署位置广播风暴抑制拒绝服务攻击防护协议包过滤流量优先级冗余机制工控防火墙下一代智能工控防火墙三、工业防火墙应用应用场景工业防火墙的应用场景主要包括以下三种：（1）部署于隔离管理网与控制网之间三、工业防火墙应用工业防火墙控制跨层访问并深度过滤层级间的数据交换，阻止攻击者基于管理网向控制网发起攻击。（2）部署于控制网的不同安全区域间三、工业防火墙应用工业防火墙可将控制网分成不同的安全区域，控制安