企业之IT安全管控概览和实践案例
一、前言
本文将记录安全管控之安全协议,安全设备,安全管控手段,攻防演练,安全管控措施,数据安全,等保护网等相关知识,以供日常安全管理借鉴。
关联资源:工业互联网产业联盟、工业控制系统信息安全产业联盟、 网络安全等级保护基本要求、
二、安全基础知识
2.1、工控安全
1)工控安全意义
因工控生产企业涉及多网络,多域,多组织,网络结构复杂且生产控制网络异常重要,甚至涉及重大国家安全事件,因此通过适合的工控安全解决放来对工控网络进行分区分域安全管理与访问控制,尤其确保工控网络的安全,但又能允许多网络域间实现一定的数据通信,
工业安全设备相对于一般IT设备的特点:
- 采用工业级芯片和电子元器件、无风扇一体化,防爆设计,支持-40℃~85℃宽温工业环境,设备在高湿,盐雾、粉尘等恶劣环境仍可正常运行。
- 支持多网络接入,支持工业协议(支持主流工控厂商OT协议和常见IT协议的深度解析)及内部的指令、内部寄存器等信息进行深度检查;支持工业协议畸形/异常报文的识别;基于自研嵌入式操作系统,控制与转发平面分离,计算资源更多专注于安全业务,具有更好性能,可满足工控系统时延、时序、抖动等严苛要求。
- 采用可信计算技术,基于硬件可信根,实现启动、固件、系统、功能的完整可信链,为工业控制系统和工厂构建安全可信环境。
2)工控安全常见设备及管控措施
1、网络安全产品: 这是工控系统防御的第一道屏障,包括防火墙、入侵检测系统(IDS)和入侵预防系统(IPS)等。防火墙可以控制进出网络的数据包;防火墙如GW031工控防火墙,通过构建基于“白名单”技术的工业安全通讯模型,确保通讯链路的安全性,并支持多种网络工作模式。IDS和IPS则能实时监测工控网络中的流量,检测潜在的攻击行为,并对异常行为发出警报或采取行动。远程访问控制系统:远程访问控制系统(ACL)可对远程访问工控网络的用户进行身份验证和访问控制,确保只有经过授权的人员能够远程接入工控系统。
<1> 工业网闸
网闸是几乎可实现物理上的线路隔离,工业网闸可部署于工业控制网络边界,部署于OT网(工控网/生产网)与IT网(一般认为为办公网)之间,采用协议隔离技术进行两个安全域之间的访问控制,保护工业控制网络、过程监控层网络及现场控制层网络。除了具备域间边界隔离的功能,工业网闸还具备传统网闸最基本的访问控制和应用层过滤防护功能,并且支持如OPC、Modbus等主流工业控制协议的深度解析,能够实现规约合法性检查和深度功能码、操作码过滤等功能,从而能够实现对工业网络数据的安全传输。比如可将其以串联方式部署在企业管理层与生产执行层之间;网络传输到其后以“摆渡”方式进行安全数据交换,阻止来自办公网及外部互联系统的网络攻击,实现有效阻断来自办公网及外部互联系统对生产执行层的病毒、木马攻击以及越权登陆与越权访问。
网闸通用的系统架构为**“2+1”系统架构,该架构是指采用双主机架构,包括内端机**、外端机和隔离控制单元。隔离控制单元采用专用的私有协议,用于内端处理单元和外端处理单元之间的通信,以提高工业控制网络边界的安全防护能力;内端机与外端机各自独立,但通过隔离控制单元进行通信。工业网闸采用“2+1”结构,即2个主机和1个隔离板,数据纯单向传输。隔离板为双FPGA组成,数据传输使用基于SERDES(Serializer/Deserializer,串行化/解串行化)技术的高速串行通信,数据封装使用自定义格式;工业网闸主要用于保护工业控制系统(ICS)免受网络攻击。它通过物理隔离和数据摆渡的机制,实现了内外网的安全隔离。常见的以太网网闸传输速率有10Mbps、100Mbps、1000Mbps、10Gbps,串行通信网闸一般在几十kbps至几Mbps之间,其他类型网闸如Profinet、Modbus、CAN等专用协议网闸在数十kbps至数百kbps之间。工业网闸的硬件部分包括两个主要部分:接口机A和接口机B。接口机A连接外部网络,而接口机B连接内部网络。这两台接口机取消了所有系统自带的网络功能,例如ICMP协议、所有TCP协议以及OPC、Modbus等工业控制协议,从而使得内外网的用户和网络扫描工具无法感知工业网闸的存在。软件层面,工业网闸通常配备一个客户端,这个客户端只能运行在特定的主机上,这些主机被称为节点机。节点机通过预设的端口与工业网闸进行单向通信&#x