白皮書下載1 概述
1.1 工控安全形勢
隨着工業信息化的快速發展以及工業 4.0 時代的到來,工業化與信息化的融合趨勢越來越明顯,工業控製系統也在利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平。未來為了提高生產效率和效益,工控網絡會越來越開放,但信息網絡與控製網絡實現互聯時,如何保證過程控製網絡的安全就變成了一個嚴峻的問題。特別是對於石油、石化、電力、鋼鐵、煤礦等生產行業,對連續生產的安全性和可靠性有着極高的要求,一旦實現了信息網絡與控製網絡之間的互聯,就相當於將控製網絡直接暴露給外網而面臨被攻擊的可能。
根據監測數據顯示, 我國很多重要控製系統都暴露在互聯網上, 涉及市政供水供熱、 能源、 水利等關鍵基礎設施領域, 一旦被攻擊, 後果將非常嚴重。
由於工控網絡建設之初很少考慮到安全性問題,比如工控協議基本都是采用明文方式傳輸,並且缺少身份認證的支持,很容易造成重要數據的泄露,同時增加了系統被旁路控製的可能。
1.2 需求分析
面對工控網絡的安全問題,傳統防火墻不能滿足防護要求,主要表現在以下幾個方面:
■ 傳統防火墻無法對工業協議進行識別,尤其是不能針對工業協議的特征做到精確識別;
■ 傳統防火墻無法對工業協議進行深度過濾,比如不能阻斷不符合協議規約的訪問請求,不能阻斷違規的操作指令等;
■ 傳統防火墻無法對OPC Classic動態端口進行精準跟蹤控製。
2 產品簡介
DPtech IFW1000系列工控防火墻是專用於工業控製系統的特殊防火墻,其除了滿足傳統防火墻的基本要求外,還滿足工業控製環境下的特殊要求,主要應用在工業控製層級間隔離以及各層區域間隔離,能夠對SCADA、DCS、PLC等工業控製系統進行有效的安全保護。
IFW1000系列工控防火墻不僅支持傳統防火墻的包過濾、NAT、狀態檢測等功能,而且還支持OPC、Modbus、IEC104、IEC61850/MMS等工業協議的精確識別以及協議內容深度解析過濾,能對工控網絡環境進行多層級保護,保障了工控網絡的安全性。
3 技術架構
如圖3-1,DPtech IFW1000以專業的硬件平臺為基礎,在此基礎上高度融合Conplat平臺和驅動適配模塊,形成穩定的框架層,然後在框架基礎上進行系統管理、配置管理、日誌管理、路由管理等基礎模塊的開發,通過硬件層、框架層、基礎層最終保障包括網絡層控製、工業協議安全等模塊在內業務層的良好運轉。
4 主要功能
4.1 網絡層控製
DPtech IFW1000支持包括包過濾、NAT、狀態檢測、用戶/MAC/IP綁定在內的多種網絡層控製功能:
包過濾功能包括IPv4包過濾和IPv6包過濾,是指設備根據包過濾規則,通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源端口號、目的端口號、協議類型等因素或它們的組合來確定是否允許該數據包通過。用戶通過定製各種包過濾規則,實現對數據包的基本安全防護。
NAT功能包括源NAT、目的NAT、靜態NAT、端口塊NAT等功能,通過地址復用的方法來滿足IP地址的需要,可以在一定程度上緩解IP地址空間枯竭的壓力。
狀態檢測功能包括TCP、ICMP等,通過對相應報文交互的邏輯關系進行檢測,來達到阻斷異常請求或連接的目的。
用戶/MAC/IP功能綁定將用戶、MAC、IP兩兩進行綁定,能夠有效防範非法用戶的接入以及防止用戶隨意修改用戶主機的IP地址而帶來的管理不便。
4.2 應用層控製
DPtech IFW1000支持對工業協議的應用層防護,包含工業協議訪問控製和工業協議內容安全兩大核心功能:
工業協議訪問控製功能依賴於DPtech IFW1000強大的協議識別能力,通過對工業協議報文頭部特征字段的精確識別,來實現精準的訪問控製功能;除此之外,利用工業協議的自定義,來達到協議擴展的目的,使得訪問控製功能的作用發揮到最大。
工業協議內容安全功能以工業協議的深度解析為基礎,對協議格式進行檢查,阻斷不符合協議規約的異常請求,比如非標準功能碼、 異常長度、 超越標準值等 ,同時依靠預先設置的安全規則,對工業協議內容進行檢查和匹配,實現指令和參數的精細化控製。
4.3 攻擊防護
攻擊防範功能是DPtech IFW1000的重要特性之一,是指通過分析報文的內容特征和行為特征判斷報文是否具有攻擊特性,並且對攻擊行為采取措施以保護網絡主機或者網絡設備。
DPtech IFW1000的攻擊防範功能能夠檢測拒絕服務型(Denial of Service,DoS)、掃描窥探型、畸形報文型等多種類型的攻擊,並對攻擊采取合理的防範措施。攻擊防範的具體功能包括黑名單過濾、報文攻擊特征識別、流量異常檢測和入侵檢測統計。
除了對傳統的IPv4安全防範技術,DPtech IFW1000對於IPv6的安全也擁有全面防護,支持IPv6的包過濾、業務長連接、huge-icmp-pak、icmp-flood、ip-sweep、ip-spoofing(l2/l3)、udp-flood、tear-drop、ip-fragment、ping-of-death、port-scan、syn-flood、syn-proxy、tcp abnormal、land-attack、NDP defender等。
4.4 VPN
DPtech IFW1000集成了專業的VPN特性,采用加密、認證和隧道技術,可以對工控網絡中傳輸的數據做專業級的隧道加密防護,有效的避免重要數據的泄露,保障數據的傳輸完整,同時在簡化網絡結構的基礎上,還大大提升了用戶網絡安全建設的性價比。
5 產品優勢
5.1 豐富的工業協議種類
DPtech IFW1000不但預置了包括Modbus、OPC、IEC104、DNP3、EN/IP、IEC61850、BACnet、FINS等在內的近百種工業協議,還支持工業協議的自定義,包括二層協議類型和三層網絡端口號的自定義,對設備可識別的工業協議進行了擴展,滿足多種工業場景對於協議支持的需求。
5.2 精準的工業協議深度過濾
DPtech IFW1000支持多種工業協議內容深度解析過濾,可以對工業協議進行指令級別的控製,詳見表5-1。
表5-1 工業協議深度過濾介紹
|
協議名稱 |
深度過濾 |
|
Modbus/TCP> |
Modbus安全規則: |
|
OPC Classic |
支持OPC動態端口限製; |
|
IEC104 |
支持遙調、遙控、遙測、遙信、站召喚等類型標識控製; |
|
IEC61850/MMS |
支持MMS PDU類型控製; |
|
IEC61850/GOOSE |
支持畸形數據包檢查; |
|
IEC61850/SV |
支持畸形數據包檢查; |
5.3 業務多工作模式
DPtech IFW1000支持防護模式、測試模式、全通模式,用於設備策略部署過程中的安全性檢驗,降低工控防火墻的上線過程對業務的影響,具體如下:
■ 防護模式:工控防火墻對白名單策略外的行為進行阻斷,並發送相應日誌;
■ 測試模式:該模式用於對設備策略的合法性進行驗證,對白名單策略外的行為只做告警,但不攔截;
■ 全通模式:設備對經過的報文全部放通。
5.4 白名單策略自學習
DPtech IFW1000支持工業協議流量的自學習,形成白名單策略,實現用戶一鍵勾選部署策略,解決用戶因不了解工業協議而帶來的配置難問題,同時該學習深度與工業協議深度內容檢測深度一致,降低部署難度的同時,又可達到更深的防護效果。
5.5 豐富的網絡特性
DPtech IFW1000支持豐富的網絡特性,既包括STP、VLAN、ARP等二層特性、也包括BGP、OSPFv2/v3、MPLS等IPv4/IPv6的三層特性,具體如下:
■ 支持透明組網模式、路由組網模式;
■ 支持IPv4/IPv6協議栈,具備完善豐富的IPv6協議栈過渡以及隧道技術;
■ Access、Trunk VLAN、端口聚合、端口鏡像 ;
■ 策略路由、靜態路由、組播IPv4/6路由(IGMP、PIM、MSDP、組播VPN);
■ IPv4路由(支持RIP v1/2、OSPF、IS-IS、BGP、Guard路由);
■ IPv6路由(支持RIPng、OSPFv3、Guard路由)、IPv6隧道技術;
■ 支持完善的MPLS VPN;
■ 支持DNS、DHCP、ARP、BFD、STP、QOS 。
DPtech IFW1000豐富的網絡特性為用戶提供了靈活組網能力,可適應各種類型的網絡環境,支持路由模式、透明模式,可適應各種復雜應用組網環境。
5.6 高性能、低時延處理能力
DPtech IFW1000的包過濾和NAT功能采用了決策樹算法把安全策略編譯成快速匹配表項,報文經過設備時提取五元組一次性送入快速匹配表項進行策略匹配,可以一次性查找到相應的匹配,形成單數據流並行處理的體系結構,即便IFW1000設備在有海量策略數的情況下,依舊可保持高性能、低時延的處理能力,滿足管理員對設備超高處理性能與低傳輸延遲的需求,讓安全防護設備從此不再成為網絡傳輸的瓶頸。
5.7 高可靠性
DPtech IFW1000具備完善的雙機熱備技術,包括普通雙機熱備、高級雙機熱備、非對稱雙機熱備、靜默雙機熱備等;同時IFW1000在透明模式下,支持強大的軟硬件Bypass功能,使設備斷電、工作異常、版本升級等等情況下,均可將流量放通,從而避免單點故障,降低對工控網絡產生的影響。
6 應用場景
6.1 工控網絡層級間隔離
如圖6-1,DPtech IFW1000可以用於管理網與控製網之間的隔離。
6.2 同層級不同區域隔離
如圖6-2,DPtech IFW1000可以用於控製網不同區域之間的隔離。
6.3 現場控製層安全隔離
如圖6-3,DPtech IFW1000可以用於關鍵控製器與控製網的隔離。
7 附錄
7.1 縮略語表
表7-1 常見縮略語
|
縮略語 |
中文 |
英文 |
|
ICS |
工業控製系統 |
Industrial Control System |
|
SCADA |
監控與數據采集系統 |
Supervisory Control And Data Acquisition System |
|
DCS |
集散控製系統 |
Distributed Control System |
|
PCS |
過程控製系統 |
Process Control System |
|
PLC |
可編程式邏輯控製器 |
Programmable Logic Controller |
|
RTU |
遠程終端單元 |
Remote Terminal Unit |
|
IED |
智能電子設備 |
Intelligent Electronic Devices |
|
HMI |
人機界面 |
Human-Machine Interface |
|
MES |
製造執行系統 |
Manufactoring Execution System |
|
ERP |
企業資源計劃 |
Enterprise Resource Planning |
|
OLE |
對象連接與嵌入 |
Object Linking and Embedding |
|
OPC |
用於過程控製的OLE |
OLE for Process Control |
|
VPN |
虛擬專用網絡 |
Virtual Private Network |
|
IFW |
工控防火墻 |
Industrial Firewall |
