工業(yè)控制網(wǎng)絡漏洞安全防護措施

1、本文格式為Word版，下載可任意編輯工業(yè)控制網(wǎng)絡漏洞安全防護措施 隨著工業(yè)化與信息化的融合推動，以及以太網(wǎng)技術在工業(yè)掌握系統(tǒng)中的大量應用，病毒和木馬對SCADA系統(tǒng)的攻擊大事頻發(fā)，直接影響到公共基礎設施的平安，造成的損失不行估量。因此，目前國內(nèi)外生產(chǎn)企業(yè)都是否重視工業(yè)掌握系統(tǒng)的平安防護建設。但由于工控網(wǎng)絡存在著特別性，商用的信息平安技術無法完全適用，解決工業(yè)掌握系統(tǒng)平安需要有針對性地實施特別措施。工業(yè)掌握網(wǎng)絡的平安漏洞對工控系統(tǒng)而言，可能帶來直接隱患的平安漏洞主要包括以下幾種：1、病毒與惡意代碼病毒泛濫也是總所周知的平安隱患。在全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)，而全球現(xiàn)已發(fā)覺數(shù)萬種

2、病毒，每天還會新生數(shù)十余種。除了傳統(tǒng)意義上的具有自我復制力量、但必需寄生在其它有用程序中的病毒種類外，各種新型的惡意代碼更是層出不窮，如規(guī)律炸彈、特洛伊木馬、蠕蟲等，它們往往具有更強的傳播力量和破壞性。如蠕蟲病毒和傳統(tǒng)病毒相比，其最大的不同在于可以進行自我復制，傳統(tǒng)病毒的復制過程需要依靠人工干預，而蠕蟲卻可以自己獨立完成，破壞性和生命力自然強大得多。2、 SCADA系統(tǒng)軟件的漏洞國家信息平安漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業(yè)掌握系統(tǒng)軟件平安漏洞，較2010年大幅增長近10倍，這些漏洞涉及西門子等國內(nèi)外知名工業(yè)掌握系統(tǒng)制造商的產(chǎn)品。3、操作系統(tǒng)平安漏洞PC與Window

3、s的技術架構現(xiàn)已成為掌握系統(tǒng)上位機/操作站的主流，而在掌握網(wǎng)絡中，操作站是實現(xiàn)與MES通信的主要網(wǎng)絡結點，因此其操作系統(tǒng)的漏洞就成為了整個掌握網(wǎng)絡信息平安中的一個短板。4、網(wǎng)絡通信協(xié)議平安漏洞隨著TCP/IP協(xié)議被掌握網(wǎng)絡普遍采納，網(wǎng)絡通信協(xié)議漏洞問題變得越來越突出。 TCP/IP協(xié)議簇最初設計的應用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡，這一網(wǎng)絡是相互信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡中和網(wǎng)際間的大量平安問題。當其推廣到社會的應用環(huán)境后，平安問題就發(fā)生了。所以說，TCP/IP在先天上就存在著致命的設計性平安漏洞。5、平安策略和管理流程漏洞追求可用性而犧牲平

4、安，是許多工業(yè)掌握系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的平安策略與管理流程，也給工業(yè)掌握系統(tǒng)信息平安帶來了肯定威逼。應當實行的平安防護策略工業(yè)掌握系統(tǒng)的平安防護需要考慮每一個細節(jié)。從現(xiàn)場I/O設備、掌握器，到操作站的計算機操作系統(tǒng)，工業(yè)掌握網(wǎng)絡中同時存在保障工業(yè)系統(tǒng)的工業(yè)掌握網(wǎng)絡和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡，考慮到不同業(yè)務終端的平安性與故障容忍程度的不同，防備策略和保障措施應當根據(jù)等級進行劃分，而實施分層次的縱深防備架構需要分別實行不同的對應手段，構筑從整體到細節(jié)的立體防備體系。首先，可實施網(wǎng)絡物理隔離。依據(jù)公安部制定的GA370-2001端設備隔離部件平安技術要求的定義，物理隔離的含義是：公共網(wǎng)絡和

5、專網(wǎng)在網(wǎng)絡物理連線上是完全隔離的，且沒有任何公用的存儲信息。物理隔離部件的平安功能應保證被隔離的計算機資源不能被訪問(至少應包括硬盤、軟盤和光盤)，計算機數(shù)據(jù)不能被重用(至少應包括內(nèi)存)。信息平安是一個體系防護的概念，網(wǎng)絡物理隔離技術不行能解決全部信息平安問題，但能大大提高網(wǎng)絡的平安性和可控性，能徹底消退內(nèi)部網(wǎng)絡患病外部網(wǎng)絡侵入和破壞的可能性，從而大大削減網(wǎng)絡中的擔心全因素，縮小追蹤網(wǎng)絡中非法用戶和黑客的范圍。目前存在的平安問題，對網(wǎng)絡隔離技術而言在理論上都不存在，這就是各國政府和軍方都大力推行網(wǎng)絡隔離技術的主要緣由。網(wǎng)絡隔離技術目前已經(jīng)進展到了第五代。第一代隔離技術實際上是將網(wǎng)絡進行物理上的

6、分開，形成信息孤島;其次代采納硬件卡隔離技術;第三代采納數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術;第四代采納的是空氣開關隔離技術;而第五代隔離技術采納了平安通道隔離技術。基于平安通道的最新隔離技術通過專用通信硬件和專有平安協(xié)議等平安機制，來實現(xiàn)內(nèi)外部網(wǎng)絡的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術存在的問題，還能有效地把內(nèi)外部網(wǎng)絡隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的平安交換，透亮支持多種網(wǎng)絡應用，成為當前隔離技術的進展方向?？偟膩碚f，網(wǎng)絡隔離技術的主要目標是解決工業(yè)掌握系統(tǒng)中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應用協(xié)議漏洞、鏈路連接漏洞、平安策略漏洞等，網(wǎng)絡隔離也是目前唯一能解決上述問題的平安技術。另外還可以構

7、建網(wǎng)絡防火墻。網(wǎng)絡防火墻通過設置不同的平安規(guī)章來掌握設備或系統(tǒng)之間的數(shù)據(jù)流，在實際應用中主要用于分析與互聯(lián)網(wǎng)連接的TCP/IP協(xié)議簇。防火墻在網(wǎng)絡中使用的前提是必需保證網(wǎng)絡的連通性，其通過規(guī)章設置和協(xié)議分析，來限制和過濾那些對管理比較敏感、擔心全的信息，防止未經(jīng)授權的訪問。由于工業(yè)掌握與商用網(wǎng)絡的差異，常規(guī)的網(wǎng)絡平安設置規(guī)章用在掌握網(wǎng)絡上就會存在許多問題。只有正確地設計、配置和維護硬件防火墻的規(guī)章，才可以愛護工業(yè)掌握網(wǎng)絡系統(tǒng)的平安環(huán)境。建議設置的特別規(guī)章包括：1、SCADA和工業(yè)協(xié)議。MODBUS/ TCP、EtherNet/ IP和DNP3等在工業(yè)掌握系統(tǒng)中被大量使用，但是這些協(xié)議在設計時沒

8、有平安加密機制，通常也不會要求任何認證便可以在遠程對一個掌握裝置執(zhí)行命令。這些協(xié)議應當只被允許在掌握網(wǎng)絡單向傳輸，不準許在辦公網(wǎng)絡穿透到掌握網(wǎng)絡。能夠完成這一功能的工業(yè)防火墻或者平安路由器，通常被部署在具有以太網(wǎng)接口的I/O設備和掌握器上，從而避開因設備聯(lián)網(wǎng)而造成的病毒攻擊或廣播風暴，還可以避開各子系統(tǒng)間的病毒攻擊和干擾。2、分布式組件對象模型(DCOM) 。在過程掌握中，OLE和ProfiNet(opc)是使用DCOM的，它運用了微軟的遠程過程調(diào)用服務。該服務有許多的漏洞，許多病毒都會利用這個弱點獵取系統(tǒng)權限。此外OPC也利用DCOM動態(tài)地打開任意端口，這在防火墻中進行過濾是特別困難的。通用

9、防火墻無法完成對OPC協(xié)議的規(guī)章限制，假如必需需要該協(xié)議，則要求掌握網(wǎng)絡、網(wǎng)絡之間必需物理分開，將掌握網(wǎng)絡和企業(yè)網(wǎng)絡橫向隔離。3、超文本傳輸協(xié)議(HTTP)。一般來說，HTTP不應當被允許從企業(yè)管理網(wǎng)透過進入掌握網(wǎng)絡，由于他們會帶來重大平安風險。假如HTTP服務到掌握網(wǎng)絡是肯定必需的，那么在防火墻中需要通過HTTP代理配置來阻擋全部執(zhí)行腳本和Java應用程序，而且特定的設備使用HTTPS更平安。4、限制文件傳輸協(xié)議(FTP)。FTP用于在設備之間傳輸、交換文件，在SCADA 、dcs、plc、RTU等系統(tǒng)中都有應用。FTP協(xié)議并沒有任何平安原則，登入密碼不加密，有些FTP為了實現(xiàn)歷史緩沖區(qū)而消

10、失溢出的漏洞，所以應配置防火墻規(guī)章堵塞其通信。假如FTP通訊不能被要求禁止，通過FTP輸出數(shù)據(jù)時，應額外增加多個特征碼授權認證，并供應加密的通信隧道。5、簡潔郵件傳輸協(xié)議(SMTP)。SMTP在互聯(lián)網(wǎng)上是主要的電子郵件傳輸協(xié)議。電子郵件常常包含惡意代碼程序，所以不應允許以任何掌握網(wǎng)絡設備接收電子郵件，SMTP郵件應主要用于從掌握網(wǎng)絡到辦公網(wǎng)絡之間輸動身送報警信息。6、簡潔網(wǎng)絡管理協(xié)議(SNMP)。SNMP是網(wǎng)絡管理服務中心，供應管理掌握臺與設備如網(wǎng)絡設備、打印機、PLC之間的監(jiān)控，并制定管理的會話規(guī)章。從運維角度看，SNMP是特別有用的服務，但在平安方面存在許多問題。SNMP V1和SNMP V2C的平安機制比較脆弱，通信不加密，全部通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡通信，就可以利用各種嗅探軟件直接獵取通信字符串，即使用戶轉(zhuǎn)變了通信字符串的默認值也無濟于事。SNMP V3解決了上述平安性問題，但卻沒有被廣