下一代工業(yè)防火墻NIFW白皮書v1.7

NextIndustryFirewall (V1.0)北京六方云信息技術(shù)有限公司2022年5月版權(quán)聲明告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、時與我們聯(lián)系。免責條款目錄第一章工業(yè)控制網(wǎng)絡(luò)安全發(fā)展概述 1第二章什么是下一代工業(yè)防火墻 62.1技術(shù)要求 62.2核心功能 102.3擴展功能 112.4成熟度評估 152.4.1成熟度模型 152.4.2安全能力指標 152.4.3產(chǎn)品化指標 182.4.4成熟度評估等級 182.5應(yīng)用場景 19第三章哪些不屬于下一代工業(yè)防火墻 23第四章關(guān)聯(lián)主題 244.1工業(yè)互聯(lián)網(wǎng)三大融合機制 244.2OT/IT融合趨勢與融合安全 262.4.1三類OT/IT融合 262.4.1OT/IT融合優(yōu)勢 262.4.1OT/IT融合途徑 272.4.1OT/IT融合面臨的挑戰(zhàn) 292.4.1OT/IT融合系統(tǒng)四大特征 292.4.1OT/IT融合安全 304.3四類工控網(wǎng)絡(luò)入侵攻擊技術(shù) 31參考資料 33編寫說明要。如圖1-1所示，工業(yè)控制系統(tǒng)可以總結(jié)為下面的抽象模型：信息系統(tǒng)通過對物理系統(tǒng)CPU，物PLCPLC通過互聯(lián)PLCPLCPLC工業(yè)病毒的制作需要熟悉邏輯編程器和相應(yīng)的軟件開發(fā)工具，比如西門子的TIAPortal西門子邏輯編程器的配套軟件開發(fā)工具。PLC者等待特定的PLC拒絕服務(wù)此階段的工業(yè)控制系統(tǒng)所面臨的威脅主要來自工業(yè)控制網(wǎng)絡(luò)、操作系統(tǒng)、工業(yè)控制設(shè)絡(luò)配置存在安全漏洞設(shè)備的物理防護不充分絡(luò)缺乏冗余備份義安全邊界火墻或配置不當網(wǎng)絡(luò)傳輸非控制流量務(wù)未部署在受控網(wǎng)絡(luò)內(nèi)墻、路由器日志記錄不充分出關(guān)鍵監(jiān)控與控制路徑文方式采用標準的或公開的通信協(xié)議據(jù)與設(shè)備沒有認證或非標準認證乏完整性檢查接認證不充分與互聯(lián)網(wǎng)模式和技術(shù)的融合后形成的工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)/物聯(lián)網(wǎng)/衛(wèi)士網(wǎng)等建立了泛在的網(wǎng)絡(luò)連接，但它們之間通信目的仍然是數(shù)據(jù)感知和操作控制。自互聯(lián)網(wǎng)的遠程調(diào)試自云端的遠程控制議互聯(lián)網(wǎng)化(2)云平臺安全風險聯(lián)網(wǎng)平臺基礎(chǔ)設(shè)施安全應(yīng)用安全數(shù)據(jù)安全(3)工業(yè)網(wǎng)絡(luò)安全風險問身份識別與認證的合法性、完整性、機密性的完整性、機密性、可用性(4)未知威脅對控制系統(tǒng)威脅極大上的高檔數(shù)控機床依賴進口上的工業(yè)網(wǎng)絡(luò)協(xié)議由少數(shù)歐美日企業(yè)掌握統(tǒng)和信息系統(tǒng)之間的網(wǎng)絡(luò)形態(tài)如何變化，工業(yè)控制網(wǎng)絡(luò)安全的重點在三個階段仍然是圍繞據(jù)安全存在一些交集，如圖1-5所示。求：全域(1)安全域定義維度(2)安全域定義方式訪問控制策略O(shè)T子和數(shù)和(1)適應(yīng)下一代工業(yè)網(wǎng)絡(luò)(2)能夠更高效的解決OT/IT融合后的XIoT(ExtendedInternetOfThings)系統(tǒng)所。OTITXIoT的“四高”特性性。有一定的智能化程度(2)能夠檢測不斷變種的威脅；(3)能夠從已經(jīng)發(fā)生的安全事件中自動學習并提煉為安全知識或安全策略。墻的核心功能下一代工業(yè)防火墻核心功能也包括傳統(tǒng)網(wǎng)絡(luò)防火墻的四大核心功能，只是會面對新的安全工業(yè)應(yīng)用的分類當前還未有統(tǒng)一的標準。工信部運行局將工業(yè)應(yīng)用分為產(chǎn)品研發(fā)設(shè)計互安全工業(yè)控制操作的安全包括操作意圖是故意還是無意、操作過程監(jiān)測、操作結(jié)果的管控工業(yè)控制操作意圖的識別技術(shù)主要是基于上下文的操作行為基線建模和異常檢測。工安全下一代工業(yè)防火墻作為網(wǎng)絡(luò)邊界安全防護系統(tǒng)，主要圍繞工業(yè)數(shù)據(jù)傳輸和訪問這兩個IPSecVPN提供虛擬可視(1)工業(yè)設(shè)備或資產(chǎn)可視化網(wǎng)絡(luò)屬性(MAC、IP、服務(wù)端口等)、固件版本、操作系統(tǒng)、應(yīng)用進程、等。(2)工業(yè)網(wǎng)絡(luò)可視化還會使用到軟件定義網(wǎng)絡(luò)邊界等技術(shù)，因此工業(yè)防火墻要實現(xiàn)的工業(yè)網(wǎng)絡(luò)可視化應(yīng)該支持(3)工業(yè)流量可視化工業(yè)流量可視化技術(shù)主要是工業(yè)流量的協(xié)議投和載荷的深度解析與解讀，基于機器學下一代工業(yè)防火墻實現(xiàn)工業(yè)流量可視化至少包括基于空間的流量成分分布圖(比如工小、速率、成分的趨勢圖和時序圖(比如操作指令時序圖、操作指令頻次趨勢圖)。(4)工業(yè)應(yīng)用可視化于應(yīng)用流量做被動識別。下一代工業(yè)防火墻僅僅依靠服務(wù)端口來識別工業(yè)應(yīng)用會導致將大(5)工控指令可視化工業(yè)控制操作指令在普渡模型的各個層級之間以及單層橫向之間都大量存在，但這些指令的發(fā)送或接收只有工業(yè)設(shè)備或工業(yè)應(yīng)用所感知，其他系統(tǒng)或者運維人員對工控系統(tǒng)所安(6)網(wǎng)絡(luò)行為可視化由于工業(yè)防火墻是部署在工業(yè)網(wǎng)絡(luò)邊界，因此下一代工業(yè)防火墻實現(xiàn)網(wǎng)絡(luò)行為可視化審計(1)工控協(xié)議合規(guī)性檢查與記錄上一代工業(yè)防火墻核心功能即工控指令白名單，本質(zhì)上是基于工控流量進行工控通信PLCStop常發(fā)生的，攻指令實施破壞是完全可能的(2)安全告警事件、操作日志留存與查詢(3)攻擊與異常流量留存與還原為了能夠在遭受到攻擊后進行溯源取證，需要下一代工業(yè)防火墻在本地或遠程留存攻型代工業(yè)防火墻成熟度模型如圖2-4所示。指標(一)核心能力指標(1)網(wǎng)絡(luò)邊界隔離能力：應(yīng)能夠?qū)蓚€網(wǎng)絡(luò)隔離；(2)網(wǎng)絡(luò)流量監(jiān)測能力：應(yīng)能夠持續(xù)安全監(jiān)測流經(jīng)的網(wǎng)絡(luò)流量；(3)網(wǎng)絡(luò)行為分析能力：應(yīng)能夠分析兩個網(wǎng)絡(luò)之間的網(wǎng)絡(luò)活動；(4)網(wǎng)絡(luò)流量管控能力：應(yīng)能夠基于安全策略對網(wǎng)絡(luò)流量進行管控。(二)通用能力指標(1)功能性2)所提供的安全功能不對原有系統(tǒng)的功能和性能造成損失，比如網(wǎng)絡(luò)通信時延、(2)性能效率2)b)滿足工控系統(tǒng)高確定性要求：通信時延<=30us，抖動<=1us；(3)兼容性、解析與解讀；3)支持各類主流工業(yè)應(yīng)用軟件的識別、控制、審計；4)支持工業(yè)知識庫升級的前向兼容；5)支持系統(tǒng)升級的前向兼容。(4)易用性5)支持集中管控。(5)可靠性1)不應(yīng)采用無法適應(yīng)工業(yè)環(huán)境的技術(shù)，比如散熱風扇、非寬溫支持器件等；2)應(yīng)采用高可靠的軟硬件設(shè)計，比如冗余、備份、抗干擾等；狀態(tài)恢復到繼續(xù)提供服務(wù)的狀態(tài)；輸入，并且不應(yīng)作為許可的輸入加以處理；5)應(yīng)具有從致命性錯誤中恢復的能力，并對用戶是明顯易懂的。(6)安全性2)應(yīng)能防止對程序和數(shù)據(jù)的未授權(quán)訪問(不管是無意的還是故意的)；3)應(yīng)能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件，且能阻止該事件，并對訪問權(quán)限進行管理；權(quán)用戶訪問；掃描和滲透測試；7)應(yīng)滿足國家網(wǎng)絡(luò)安全相關(guān)政策、法規(guī)和標準要求。(7)可維護性1)應(yīng)符合工業(yè)行業(yè)信息安全相關(guān)法律法規(guī)、標準、協(xié)議；號、相關(guān)的質(zhì)量特性、參數(shù)和數(shù)據(jù)模型；到檢查或拆卸故障件時不必拆卸其他設(shè)備和機件；及部件應(yīng)能互換；6)在設(shè)計時采取避免或消除在使用操作和保養(yǎng)維修時造成的人為差錯的措施，即(8)智能化(9)協(xié)同性標(一)視覺(2)應(yīng)符合工業(yè)行業(yè)顏色使用的行業(yè)規(guī)范。(二)交互(1)應(yīng)符合工業(yè)行業(yè)的人機交互界面，比如電子大屏、觸摸屏、物理按鈕等；(2)應(yīng)符合工業(yè)行業(yè)的人機交互習慣，比如觸摸、物理操作、C/S、B/S等。(三)價值等級頂尖水平際一流廠商水平(一)SCADA(二)DCS(三)PLC(四)BAS樓宇自動化系統(tǒng)(五)PAC(PhysicalAccessSystem)安防控制系統(tǒng)(六)SIS(SafetyInstrumentedSystem)安全保護系統(tǒng)(七)IIoT(IndustrialInternetofThings)物聯(lián)網(wǎng)(一)增加工控安全防護功能模塊的網(wǎng)絡(luò)安全網(wǎng)關(guān)T(二)上一代工業(yè)防火墻(1)以工控指令白名單作為主要的網(wǎng)絡(luò)安全防護手段(2)包過濾防火墻，更不是狀態(tài)檢測防火墻類型，如圖4-1所示，它們分別是：系統(tǒng)/云(一)工業(yè)化與信息化深度融合；(二)工業(yè)生產(chǎn)與互聯(lián)網(wǎng)模式有機融合；T系統(tǒng)(如企業(yè)資源計劃(ERP)、客戶關(guān)系管理系統(tǒng)(CRM)等)托管在互聯(lián)網(wǎng)的云服務(wù)平臺OTOT較難達網(wǎng)絡(luò)資源控制能力，開放的網(wǎng)絡(luò)可編程能力，以及定制化的網(wǎng)絡(luò)資源(如帶寬、服務(wù)質(zhì)量產(chǎn)品服務(wù)與互聯(lián)網(wǎng)融合將通過智能工業(yè)產(chǎn)品的信息采集和聯(lián)網(wǎng)能力為工業(yè)企業(yè)提供新信息化與工業(yè)化的深度融合是實現(xiàn)工業(yè)數(shù)字化轉(zhuǎn)型成功的前提條件，工業(yè)互聯(lián)網(wǎng)是實技術(shù)融合的想法并不新鮮。通過允許不同的技術(shù)作為單個內(nèi)聚系統(tǒng)進行有效集成和互的OTITOTIT，因為機器對機器通信技術(shù)在不斷發(fā)展，安裝在物理設(shè)備上的物聯(lián)網(wǎng)傳感器和執(zhí)行器可以通過控和分OTIT行以工能夠更高效地完成工作并改進決策。通信，允許它們與IT資源(服務(wù)器和存儲)交換OT數(shù)據(jù)，有時甚至可以跨越相當長的距然后將該信息傳輸?shù)椒治鰬?yīng)用程序或企業(yè)資源規(guī)劃軟件平臺，以集成到組織的統(tǒng)一業(yè)務(wù)運如圖4-2所示，將邊緣計算能力添加到工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備中，可以實現(xiàn)更接近圖4-2邊緣計算能力添加到工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備的示意圖OTIT的溝通和協(xié)無線化：是利用各種無線技術(shù)支持工廠內(nèi)更加廣泛的信息采集與傳送，消除工廠內(nèi)的獲得一定規(guī)模的應(yīng)用；同時針對于工業(yè)場景的工業(yè)無線技術(shù)也開始出現(xiàn)，如WIA-PA、鍵問題。本上都是“剛性生SDN破工廠內(nèi)部。。能攻擊響應(yīng)和測量注入常可能由于利用競爭條件或二次攻擊(如阻止真正服務(wù)器響應(yīng)的拒絕服務(wù)攻擊)而被采用。令注入攻擊絡(luò)中注入虛假的監(jiān)控操作。遠程終端和智能電子設(shè)備通常被編程為直接在遠程站點自動監(jiān)備由于許多工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議缺乏驗證數(shù)據(jù)包來源的身份驗證功能。這使攻擊者能MSCI注入(MPCI)和惡意功能代碼注入(MF