工業(yè)互聯(lián)網(wǎng)安全 課件 項(xiàng)目2 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置

工業(yè)互聯(lián)網(wǎng)安全I(xiàn)ndustrialInternetSecurity項(xiàng)目01工業(yè)互聯(lián)網(wǎng)設(shè)備安全配置項(xiàng)目02工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置加強(qiáng)數(shù)字安全專業(yè)建設(shè)項(xiàng)目04項(xiàng)目03工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)安全配置項(xiàng)目05工業(yè)互聯(lián)網(wǎng)應(yīng)用安全配置項(xiàng)目06工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目07工業(yè)互聯(lián)網(wǎng)安全應(yīng)用處置工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全設(shè)置02項(xiàng)目通過以下三個(gè)任務(wù)的實(shí)施，使同學(xué)們掌握工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的注意事項(xiàng)與配置方法。項(xiàng)目情境本項(xiàng)目將主要介紹工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置的相關(guān)知識(shí)，幫助同學(xué)們對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全有系統(tǒng)的了解和認(rèn)識(shí)。網(wǎng)絡(luò)安全的構(gòu)建網(wǎng)絡(luò)安全防護(hù)措施網(wǎng)絡(luò)安全邊界的劃分010203了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)；了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)；了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)和方法；了解網(wǎng)絡(luò)邊界的劃分與隔離；了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法；了解工業(yè)防火墻的適用范圍及作用；了解工業(yè)防火墻的各方面能力需求；理解工業(yè)互聯(lián)網(wǎng)安全措施。知識(shí)目標(biāo)認(rèn)識(shí)KaliLinux環(huán)境；具備Kali的基礎(chǔ)使用能力；理解工業(yè)漏洞管理平臺(tái)掃描的基本原理；具備使用工業(yè)漏洞管理平臺(tái)對在線網(wǎng)絡(luò)資產(chǎn)掃描的能力；具備使用工業(yè)漏洞管理平臺(tái)的能力；具備使用工業(yè)漏洞管理平臺(tái)進(jìn)行安全漏洞檢測的能力；具備使用工業(yè)防火墻的能力；具備使用工業(yè)防火墻進(jìn)行安全訪問策略配置的能力。技能目標(biāo)熟悉常見的網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)，如防火墻、入侵檢測系統(tǒng)、加密技術(shù)等，并了解如何進(jìn)行有效的配置以保障網(wǎng)絡(luò)安全。與團(tuán)隊(duì)成員有效溝通合作，共同完成數(shù)據(jù)采集任務(wù)，培養(yǎng)團(tuán)隊(duì)協(xié)作能力與團(tuán)結(jié)奮斗精神。素質(zhì)目標(biāo)學(xué)習(xí)目標(biāo)學(xué)習(xí)導(dǎo)圖工業(yè)互聯(lián)網(wǎng)安全測評(píng)與應(yīng)急職業(yè)技能等級(jí)標(biāo)準(zhǔn)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置工作任務(wù)職業(yè)技能要求等級(jí)知識(shí)點(diǎn)技能點(diǎn)理解工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的相關(guān)知識(shí)并掌握網(wǎng)絡(luò)安全的掃描與處置①能使用信息搜索工具進(jìn)行網(wǎng)絡(luò)資產(chǎn)信息收集；②能使用網(wǎng)絡(luò)服務(wù)工具，獲取基本的服務(wù)信息；③能使用信息搜索工具，對網(wǎng)絡(luò)安全信息進(jìn)行收集；④能使用安全檢測工具，對網(wǎng)絡(luò)安全進(jìn)行檢測；⑤能使用安全檢測工具，分析安全漏洞；⑥能具備良好的溝通表達(dá)及團(tuán)隊(duì)合作能力。初級(jí)中級(jí)①了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)；②了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)；③了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)和方法；④了解網(wǎng)絡(luò)邊界的劃分與隔離；⑤了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法；⑥了解工業(yè)防火墻的適用范圍及作用；⑦了解工業(yè)防火墻的各方面能力需求；⑧理解工業(yè)互聯(lián)網(wǎng)安全措施。①認(rèn)識(shí)KaliLinux環(huán)境；②具備Kali的基礎(chǔ)使用能力；③理解工業(yè)漏洞管理平臺(tái)掃描的基本原理；④具備使用工業(yè)漏洞管理平臺(tái)對在線網(wǎng)絡(luò)資產(chǎn)掃描的能力；⑤具備使用工業(yè)防火墻的能力；⑥具備使用工業(yè)防火墻去進(jìn)行安全防護(hù)的能力。

與職業(yè)技能等級(jí)標(biāo)準(zhǔn)內(nèi)容對應(yīng)關(guān)系任務(wù)1網(wǎng)絡(luò)安全的構(gòu)建KaliLinux是專門用于滲透測試的Linux操作系統(tǒng)，它由BackTrack發(fā)展而來。本任務(wù)只要講解Kali的基本使用方法，另外還將介紹有關(guān)網(wǎng)絡(luò)安全構(gòu)建的相關(guān)知識(shí)內(nèi)容。任務(wù)描述本任務(wù)學(xué)習(xí)網(wǎng)絡(luò)安全建構(gòu)并掌握Kali的使用。工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（1）工業(yè)網(wǎng)絡(luò)通信主體的不對等性傳統(tǒng)的不同信任域的網(wǎng)絡(luò)隔離，雖然各安全域的信任程度并不對等，但是通信一方對通信另一方并無明顯的控制作用。而工業(yè)領(lǐng)域中的工業(yè)控制，雖然通信雙方的數(shù)據(jù)通信仍可是雙向的，但是一方對另一方的控制作用明顯。這種不對等性，就為工業(yè)防火墻訪問控制規(guī)則的設(shè)計(jì)提出了新要求。在工業(yè)控制系統(tǒng)當(dāng)中，需要對多個(gè)控制子系統(tǒng)統(tǒng)一管理，而主控器只有一個(gè)，即主站。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（2）工業(yè)網(wǎng)絡(luò)通信協(xié)議及加密安全問題工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)主要體現(xiàn)在工控網(wǎng)絡(luò)通信方面。工控網(wǎng)絡(luò)通信要求延時(shí)較低，一要保障可供攻擊者利用的時(shí)間窗口較小，二要保證實(shí)時(shí)性，而不當(dāng)加密方式及算法會(huì)帶來資源消耗與延時(shí)現(xiàn)象。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)1（3）工業(yè)以太網(wǎng)協(xié)議和其他工業(yè)協(xié)議并存工業(yè)應(yīng)用中，工業(yè)以太網(wǎng)協(xié)議和其他工業(yè)協(xié)議并存的情況大量存在，不同的生產(chǎn)環(huán)境所采用的通信協(xié)議也不同。工業(yè)以太網(wǎng)環(huán)境中，多采用工業(yè)以太網(wǎng)協(xié)議來通信，而基于串行通信鏈路生產(chǎn)線上，則多采用RS232/422/485協(xié)議。工業(yè)協(xié)議的動(dòng)態(tài)變化特性主要體現(xiàn)在動(dòng)態(tài)端口和數(shù)據(jù)包生成傳輸上。與IP網(wǎng)絡(luò)協(xié)議數(shù)據(jù)具有較強(qiáng)隨機(jī)性不同，工業(yè)網(wǎng)絡(luò)通信協(xié)議傳輸數(shù)據(jù)包大多具有明顯的順序特征。知識(shí)導(dǎo)入知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)2工業(yè)專用協(xié)議同樣存在眾多安全漏洞。云計(jì)算是工業(yè)互聯(lián)網(wǎng)的關(guān)鍵技術(shù)，工業(yè)云計(jì)算及云平臺(tái)的虛擬化安全問題日漸突出。工業(yè)物聯(lián)網(wǎng)的主流通信協(xié)議是TCP/IP，因此，工業(yè)物聯(lián)網(wǎng)不僅面臨著傳統(tǒng)IP網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，還面臨著工業(yè)物聯(lián)網(wǎng)具有“工業(yè)特征”的特有安全問題。IPv4協(xié)議因安全問題及地址空間所限，將逐步被IPv6協(xié)議所取代。工業(yè)網(wǎng)絡(luò)安全設(shè)備自身安全性也會(huì)對工業(yè)網(wǎng)絡(luò)帶來嚴(yán)重的安全隱患。構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系3工業(yè)互聯(lián)網(wǎng)架構(gòu)以工廠為邏輯邊界，大致分為工廠內(nèi)網(wǎng)和外網(wǎng)兩大部分。工控技術(shù)的通用化和標(biāo)準(zhǔn)化，使得工控設(shè)備與控制的脆弱性暴露更為容易和頻繁，而工控網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的交融更使得原來的攻擊路徑、渠道以及攻擊面得以延拓。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防御涉及因素眾多，也是一個(gè)復(fù)雜的系統(tǒng)工程。知識(shí)導(dǎo)入Kali基礎(chǔ)任務(wù)實(shí)施【任務(wù)目的】認(rèn)識(shí)KaliLinux環(huán)境；

掌握Kali的基礎(chǔ)使用方法?！臼褂霉ぞ摺縆aliLinux主機(jī)打開Kali的命令行登錄KaliLinux系統(tǒng)【步驟1】

開啟SSH服務(wù)提升為root權(quán)限打開Kali的命令行窗口，輸入命令sudo-i，輸入密碼，提升為root權(quán)限0102在Kali命令行窗口中輸入命令systemctlstartssh，開啟SSH服務(wù)使用Xshell或Putty等SSH工具進(jìn)行連接，配置對應(yīng)IP與端口即可，使用Xshell工具連接SSH服務(wù)。輸入Kali的用戶名和密碼，成功連接SSH服務(wù)0304【步驟1】

開啟SSH服務(wù)打開命令行窗口【步驟2】

Kali快捷工具欄介紹打開圖形界面文件夾0102啟動(dòng)Metasploit工具啟動(dòng)Burpsuite工具0304【步驟2】

Kali快捷工具欄介紹打開多個(gè)命令行窗口【步驟3】

切換多個(gè)應(yīng)用窗口將多個(gè)窗口最小化0102再次調(diào)出窗口03【步驟3】

切換多個(gè)應(yīng)用窗口任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全挑戰(zhàn)了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)脆弱性分析與加固挑戰(zhàn)了解構(gòu)建工業(yè)互聯(lián)網(wǎng)防御體系的目標(biāo)認(rèn)識(shí)KaliLinux環(huán)境并掌握Kali的基礎(chǔ)使用方法任務(wù)測驗(yàn)選擇題

A.半單工機(jī)制B.全單工機(jī)制C.半雙工機(jī)制D.全雙工機(jī)制

工業(yè)現(xiàn)場通信大量采用（），無法從機(jī)制上保證通信雙方不在同一時(shí)刻發(fā)送消息。A.工業(yè)以太網(wǎng)B.RS232C.RS422D.RS485

工業(yè)以太網(wǎng)環(huán)境中，多采用（）協(xié)議來通信。A.WindowsB.LinuxC.UnixD.AndroidKali是專門用于滲透測試的（）操作系統(tǒng)。簡答題任務(wù)測驗(yàn)1.工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信及加密安全存在的安全挑戰(zhàn)主要體現(xiàn)在哪些方面？2.簡單描述工業(yè)物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)脆弱性挑戰(zhàn)。3.簡單描述如何構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防御體系。

任務(wù)2網(wǎng)絡(luò)安全邊界的劃分

網(wǎng)絡(luò)掃描是根據(jù)對方服務(wù)所采用的協(xié)議，在一定時(shí)間內(nèi)，通過自身系統(tǒng)對對方協(xié)議進(jìn)行特定讀取、猜想驗(yàn)證、惡意破壞，并將對方直接或間接的返回?cái)?shù)據(jù)作為某指標(biāo)的判斷依據(jù)的一種行為。本任務(wù)主要講解如何使用工業(yè)漏洞管理平臺(tái)工具進(jìn)行網(wǎng)絡(luò)資產(chǎn)掃描，另外還介紹了有關(guān)網(wǎng)絡(luò)安全邊界劃分的相關(guān)知識(shí)。任務(wù)描述學(xué)習(xí)了解網(wǎng)絡(luò)安全邊界劃分，并掌握工業(yè)漏洞管理平臺(tái)網(wǎng)絡(luò)資產(chǎn)掃描方法。網(wǎng)絡(luò)邊界的劃分與隔離1（1）工業(yè)互聯(lián)網(wǎng)架構(gòu)內(nèi)工廠內(nèi)網(wǎng)的劃分與隔離以工業(yè)互聯(lián)網(wǎng)的角度來看，工廠內(nèi)網(wǎng)包括IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)兩層，用于實(shí)現(xiàn)在制產(chǎn)品、生產(chǎn)機(jī)器設(shè)備、信息采集設(shè)備、工控系統(tǒng)及網(wǎng)絡(luò)以及人力等生產(chǎn)要素以及IT系統(tǒng)的廣泛互聯(lián)。按照工業(yè)管理自上而下的層級(jí)劃分，網(wǎng)絡(luò)又分為配置和管理各自分離的“工廠/企業(yè)”“車間/產(chǎn)線”“現(xiàn)場”三級(jí)。知識(shí)導(dǎo)入基于工業(yè)互聯(lián)網(wǎng)宏觀架構(gòu)，工廠內(nèi)網(wǎng)建設(shè)涉及IT網(wǎng)、OT網(wǎng)、智能機(jī)器與在制品連接、泛在無線連接和IT/OT/CT融合組網(wǎng)等。網(wǎng)絡(luò)邊界的劃分與隔離1（2）工業(yè)互聯(lián)網(wǎng)架構(gòu)內(nèi)工廠外網(wǎng)的劃分與隔離以工業(yè)互聯(lián)網(wǎng)的角度來看，工廠外網(wǎng)的作用是為工業(yè)生產(chǎn)全生命周期各環(huán)節(jié)提供支撐，用于生產(chǎn)企業(yè)上下游協(xié)作企業(yè)、企業(yè)與智能產(chǎn)品、企業(yè)與用戶之間的連接。此前，工廠與互聯(lián)網(wǎng)的結(jié)合主要還在進(jìn)銷存及供應(yīng)鏈管理等環(huán)節(jié)，未能有效發(fā)揮聯(lián)網(wǎng)在資源優(yōu)化配置方面的作用和優(yōu)勢。目前，以IPv4為基礎(chǔ)的公共互聯(lián)網(wǎng)在地址空間、安全保障、實(shí)時(shí)性能等方面均難以很好地滿足工業(yè)互聯(lián)網(wǎng)的應(yīng)用需求。知識(shí)導(dǎo)入網(wǎng)絡(luò)邊界的劃分與隔離1（3）SCADA的安全域劃分與隔離SCADA安全域的劃分通常需要較為清晰的工業(yè)網(wǎng)絡(luò)邊界界限。作為SCADA層次網(wǎng)絡(luò)或安全域間的唯一通道，工業(yè)防火墻能夠根據(jù)SCADA網(wǎng)絡(luò)安全策略來控制(允許、拒絕、監(jiān)測)進(jìn)出各安全域的信息流。結(jié)合SCADA功能來考慮，可以將企業(yè)資源層劃分為DMZ安全域和管理信息安全域。知識(shí)導(dǎo)入網(wǎng)絡(luò)邊界的劃分與隔離1（4）DCS的安全域劃分與隔離DCS系統(tǒng)分為企業(yè)資源層、生產(chǎn)管理層和現(xiàn)場控制層，系統(tǒng)安全域的劃分也需要較為清晰的邊界。結(jié)合DCS控制功能和物理空間分布來考慮，可以將企業(yè)資源層劃分為DMZ安全域和管理信息安全域。知識(shí)導(dǎo)入企業(yè)資源層又分為隔離區(qū)和管理信息區(qū)。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法2工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制策略在安全策略層面表示授權(quán)，是對訪問如何控制、如何做出訪問決定的高層指南，通常以用于所有與安全相關(guān)活動(dòng)的一套訪問控制規(guī)則來體現(xiàn)。訪問控制機(jī)制則是指信息系統(tǒng)的主體(用戶)依據(jù)給定的權(quán)限或控制策略，對信息系統(tǒng)的客體(資源)進(jìn)行的不同授權(quán)訪問，是訪問控制策略的軟硬件底層實(shí)現(xiàn)。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法2工業(yè)網(wǎng)絡(luò)實(shí)施多級(jí)安全策略，需要按照安全級(jí)別來決定訪問主、客體之間的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)流向及其權(quán)限控制。工業(yè)漏洞管理平臺(tái)任務(wù)實(shí)施【任務(wù)目的】理解工業(yè)漏洞管理平臺(tái)的基本原理；

掌握使用工業(yè)漏洞管理平臺(tái)對在線網(wǎng)絡(luò)資產(chǎn)掃描的方法?！臼褂霉ぞ摺繙y試機(jī)：工業(yè)漏洞管理平臺(tái)

靶機(jī)：任意在線設(shè)備【配置說明】提前在本地網(wǎng)絡(luò)中選取用于掃描得靶機(jī)，如自己的Windows主機(jī)，獲取其IP地址備用。在瀏覽器中輸入工業(yè)漏洞管理平臺(tái)訪問地址01，顯示工業(yè)漏洞管理平臺(tái)登錄界面，輸入用戶名和密碼，登錄工業(yè)漏洞管理平臺(tái)?！静襟E1】

登錄工業(yè)漏洞管理平臺(tái)成功登錄工業(yè)漏洞管理平臺(tái)，執(zhí)行“配置>目標(biāo)”命令?！静襟E2】

創(chuàng)建待掃描的目標(biāo)設(shè)備切換到目標(biāo)配置界面中，單擊界面左上角的“新建目標(biāo)”按鈕。0102顯示“新建目標(biāo)”窗口，在“名稱”選項(xiàng)文本框中輸入該目標(biāo)的名稱；在“主機(jī)”選項(xiàng)中選擇“靜態(tài)IP”選項(xiàng)，并填寫該目標(biāo)的靜態(tài)IP地址；“端口列表”選項(xiàng)默認(rèn)選擇AllIANAassignedTCP?！静襟E2】

創(chuàng)建待掃描的目標(biāo)設(shè)備執(zhí)行“掃描>任務(wù)”命令?！静襟E3】創(chuàng)建掃描任務(wù)切換到掃描任務(wù)界面中，單擊界面左上角的“新建任務(wù)”按鈕。0102顯示“新建任務(wù)”窗口，輸入名稱、內(nèi)容，選擇新建的目標(biāo)機(jī)為掃描目標(biāo)。單擊‘保存’按鈕，在任務(wù)列表中可以查看新建的掃描任務(wù)?！静襟E3】創(chuàng)建掃描任務(wù)0102【步驟4】查看掃描結(jié)果掃描任務(wù)完成后，可通過單擊掃描任務(wù)，查看掃描結(jié)果。單擊“下載”圖標(biāo)，選擇需要的格式，將該報(bào)告下載到本地。執(zhí)行“掃描>報(bào)告”命令，在彈出的窗口中對相關(guān)選項(xiàng)進(jìn)行設(shè)置。單擊“OK”按鈕，查看該掃描任務(wù)產(chǎn)出的掃描信息?！静襟E4】查看掃描結(jié)果0102任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解網(wǎng)絡(luò)邊界的劃分與隔離了解工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制方法理解工業(yè)漏洞管理平臺(tái)的基本原理掌握使用工業(yè)漏洞管理平臺(tái)對在線網(wǎng)絡(luò)資產(chǎn)進(jìn)行漏洞掃描的方法任務(wù)測驗(yàn)選擇題

A.工控安全審計(jì)平臺(tái)B.工控安全加固系統(tǒng)C.工業(yè)防火墻D.工業(yè)漏洞管理平臺(tái)

（）可以對網(wǎng)絡(luò)中的在線設(shè)備進(jìn)行漏洞掃描A.最小特權(quán)原則B.最小泄露原則C.多級(jí)安全策略D.單級(jí)安全策略（）是對客體賦予一個(gè)安全敏感度標(biāo)簽，憑此標(biāo)簽來表征安全分級(jí)。A.資源授權(quán)B.登錄控制C.訪問權(quán)限D(zhuǎn).授權(quán)核查工業(yè)網(wǎng)絡(luò)訪問控制中最重要的是確定（）。簡答題任務(wù)測驗(yàn)1.

什么是工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問控制策略？2.

簡單描述工業(yè)網(wǎng)絡(luò)訪問控制的目標(biāo)。3.

工業(yè)網(wǎng)絡(luò)訪問控制的核心是什么？

任務(wù)3網(wǎng)絡(luò)安全防護(hù)措施工控防火墻是一款集多種智能引擎的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。本任務(wù)主要講解如何使用工業(yè)防火墻進(jìn)行工業(yè)控制協(xié)議防護(hù)的方法，另外還介紹了有關(guān)網(wǎng)絡(luò)安全防護(hù)的相關(guān)知識(shí)。任務(wù)描述了解工業(yè)防火墻，掌握工業(yè)防火墻的基礎(chǔ)功能的使用。工業(yè)防火墻的適用范圍及作用1從全局整體來構(gòu)建縱深防御安全體系，重要一環(huán)就是部署工業(yè)防火墻，作為多層縱深防御體系的重要防線和工業(yè)網(wǎng)絡(luò)安全的重要基礎(chǔ)保障措施。工業(yè)防火墻（IndustrialFirewall，IFW）適用于工業(yè)網(wǎng)絡(luò)環(huán)境的、具有不同操作方法和目標(biāo)的技術(shù)統(tǒng)稱，在工業(yè)控制系統(tǒng)當(dāng)中應(yīng)用的防火墻，又稱為工業(yè)控制防火墻(IndustrialControlFirewall，ICF)。知識(shí)導(dǎo)入工業(yè)防火墻的適用范圍及作用1（1）安全域間工業(yè)防火墻的適用范圍及作用特征分析通常使用工業(yè)防火墻將工業(yè)網(wǎng)絡(luò)劃分為若干區(qū)域，通過定義各區(qū)域之間的訪問控制策略來保證工業(yè)網(wǎng)絡(luò)數(shù)據(jù)傳輸安全、抵御網(wǎng)絡(luò)攻擊。知識(shí)導(dǎo)入與傳統(tǒng)IP網(wǎng)絡(luò)環(huán)境中的防火墻類似，工業(yè)防火墻也是用于不同網(wǎng)絡(luò)安全域之間隔離的物理或虛擬設(shè)備。工業(yè)防火墻的適用范圍及作用1（2）現(xiàn)場工控防火墻的適用范圍及作用特征分析工業(yè)網(wǎng)絡(luò)對實(shí)時(shí)性和可靠性要求很高，部署防火墻會(huì)占用一定資源，會(huì)犧牲一部分實(shí)時(shí)性，但絕不能認(rèn)為工業(yè)防火墻可有可無，更不能將其視為隱患，而應(yīng)視為IT、CT、OT深度融合形成工業(yè)互聯(lián)網(wǎng)后不可或缺的安全基礎(chǔ)防護(hù)手段。知識(shí)導(dǎo)入工業(yè)防火墻的適用范圍及作用1（3）工業(yè)Web應(yīng)用防火墻的適用范圍及作用特征分析工業(yè)互聯(lián)網(wǎng)中Web應(yīng)用廣泛，特別是在企業(yè)管理層和現(xiàn)場管理層當(dāng)中。WAF作為特殊的專用防火墻，可部署于Web服務(wù)器與其客戶端之間。可在工業(yè)互聯(lián)網(wǎng)平臺(tái)將WAF部署為透明代理、反向代理、路由代理以及端口鏡像等。檢測方法方面，可采用基于規(guī)則和基于異常的方法。WAF還能監(jiān)測輸入數(shù)據(jù)引入的風(fēng)險(xiǎn)。知識(shí)導(dǎo)入工業(yè)防火墻的各方面能力需求2（1）工業(yè)防火墻對工業(yè)環(huán)境適應(yīng)性的能力需求及其解決方案在現(xiàn)場長期應(yīng)用的工業(yè)防火墻，工作環(huán)境較為惡劣，必須具備工業(yè)環(huán)境適用性。建議采用尺寸緊湊、功耗低、集成度高、可靠性好、電磁兼容能力強(qiáng)的嵌入式工控機(jī)或定制工業(yè)級(jí)計(jì)算機(jī)作為工業(yè)防火墻承載平臺(tái)，按照5～10年生命周期設(shè)計(jì)。知識(shí)導(dǎo)入機(jī)械侵入能力工業(yè)防火墻必須具備機(jī)械侵入防護(hù)能力，硬件殼體應(yīng)選用金屬隔爆殼，至少要達(dá)到IP40以上(可有效防護(hù)直徑1mm以上異物侵入)，輔以內(nèi)部灌膠，以適應(yīng)高塵、高污染工業(yè)環(huán)境。知識(shí)導(dǎo)入氣候適應(yīng)能力建議采用無風(fēng)扇設(shè)計(jì)，具備強(qiáng)耐寒暑環(huán)境適應(yīng)能力，工作寬溫范圍支持40～70℃，存儲(chǔ)寬溫范圍支持40～85℃，濕度支持要求5%～95%無凝結(jié)。電磁兼容能力工業(yè)現(xiàn)場常見的工業(yè)信號(hào)發(fā)生器、晶振、電動(dòng)機(jī)、接近開關(guān)、工業(yè)繼電器、焊機(jī)、FPGA、邏輯電路、可控硅逆變器、整流器、電暈放電等電磁噪聲和電磁脈沖等，容易產(chǎn)生電磁兼容問題。知識(shí)導(dǎo)入機(jī)架規(guī)格需求及解決方案工業(yè)防火墻還需滿足工業(yè)環(huán)境中的沖擊、振動(dòng)、拉伸等機(jī)械要求。工業(yè)防火墻有兩種部署方式。一種是部署于生產(chǎn)制造工廠的廠房或車間的機(jī)房；另一種是導(dǎo)軌式工業(yè)防火墻。工業(yè)防火墻的網(wǎng)絡(luò)層控制能力需求及解決方案2（2）工業(yè)防火墻的網(wǎng)絡(luò)層控制能力需求及其解決方案工控防火墻首先需要防護(hù)已知工業(yè)網(wǎng)絡(luò)脆弱性，具備基礎(chǔ)防火墻功能，實(shí)現(xiàn)基于主體、客體、角色、協(xié)議、資產(chǎn)、時(shí)間、訪問控制列表等多元一體化訪問控制。在IP網(wǎng)絡(luò)隔離方面，不僅應(yīng)具有安全域管理與訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶身份認(rèn)證等傳統(tǒng)功能，還應(yīng)用具有應(yīng)用層控制、Web攻擊防護(hù)、信息泄露防護(hù)、惡意代碼識(shí)別以及IPS等新功能，可實(shí)現(xiàn)L2～L7數(shù)據(jù)包的細(xì)粒度過濾檢測，同時(shí)具有用戶、應(yīng)用及內(nèi)容識(shí)別能力。知識(shí)導(dǎo)入安全域管理與訪問控制能力此處主要涉及工業(yè)網(wǎng)絡(luò)安全域管理、IP應(yīng)用層協(xié)議訪問控制以及IP網(wǎng)絡(luò)應(yīng)用內(nèi)容訪問控制問題。知識(shí)導(dǎo)入網(wǎng)絡(luò)地址轉(zhuǎn)換能力工業(yè)網(wǎng)絡(luò)中仍大量使用IPv4地址，IPv4地址不足也是工業(yè)網(wǎng)絡(luò)面臨的一個(gè)重要問題。用戶身份認(rèn)證能力如果用戶需要通過工業(yè)防火墻，可要求防火墻另一側(cè)的被訪問資源對其進(jìn)行認(rèn)證。加密數(shù)據(jù)交換能力建議部署工業(yè)防火墻時(shí)，啟用虛擬專用網(wǎng)網(wǎng)關(guān)功能。知識(shí)導(dǎo)入惡意代碼、Web攻擊及入侵防御能力惡意代碼查殺可對各類蠕蟲、病毒、木馬、僵尸軟件等進(jìn)行查殺，并攔截HTTP、FTP等應(yīng)用層協(xié)議夾雜的惡意代碼。狀態(tài)檢測能力采用包過濾方式，防火墻只能按照預(yù)設(shè)的靜態(tài)規(guī)則來過濾報(bào)文。狀態(tài)檢測的不足在于無法徹底識(shí)別數(shù)據(jù)包中的木馬等惡意代碼。工業(yè)互聯(lián)網(wǎng)安全措施3工業(yè)互聯(lián)網(wǎng)安全是在明確防護(hù)對象、設(shè)定合理的安全目標(biāo)后，通過配置網(wǎng)絡(luò)安全防護(hù)策略、制定安全應(yīng)急處置制度、實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢分析、定期舉行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測網(wǎng)絡(luò)中存在的安全隱患、完善安全防護(hù)策略，從而提升安全防護(hù)能力，并持續(xù)此過程，以構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)措施。安全防護(hù)措施：安全目標(biāo)；事件分析；檢測感知；風(fēng)險(xiǎn)評(píng)估；防護(hù)體系和應(yīng)急處置。知識(shí)導(dǎo)入使用工業(yè)防火墻任務(wù)實(shí)施【任務(wù)目的】了解工業(yè)防火墻的基礎(chǔ)功能；

掌握使用工業(yè)防火墻進(jìn)行工業(yè)控制協(xié)議防護(hù)的方法?！臼褂霉ぞ摺繙y試服務(wù)機(jī)：一臺(tái)Windows，用于連接模擬Slave端測試客戶機(jī)：一臺(tái)Windows，用于連接模擬Master端工具軟件：工業(yè)防火墻管理平臺(tái)在瀏覽器中輸入工業(yè)防火墻管理平臺(tái)訪問地址00，顯示工業(yè)防火墻管理平臺(tái)登錄界面，輸入用戶名和密碼，登錄工業(yè)防火墻管理平臺(tái)?！静襟E1】

登錄工業(yè)防火墻管理平臺(tái)【步驟2】

配置工業(yè)防火墻在工業(yè)防火墻管理平臺(tái)左側(cè)單擊“防火墻”選項(xiàng)組中的“規(guī)則”選項(xiàng)，選擇需要配置的網(wǎng)口，進(jìn)入該網(wǎng)口的規(guī)則列表界面。單擊規(guī)則列表界面右上角的“+”圖標(biāo)，顯示規(guī)則添加選項(xiàng)?！癟CP/IP版本”選項(xiàng)選擇IPv4；“協(xié)議”選項(xiàng)選擇TCP；“源”和“目標(biāo)”選項(xiàng)的IP地址根據(jù)兩臺(tái)Windows系統(tǒng)地址進(jìn)行填寫；“目標(biāo)端口范圍”選擇MODBUS/TCP?！静襟E2】

配置工業(yè)防火墻配置工業(yè)協(xié)議防護(hù)部分DPI選項(xiàng)選擇MODBUS，填寫Salve端的ID、讀寫方式、功能碼、地址及長度信息。單擊“保存”按鈕，再單擊“應(yīng)用更改”按鈕，完成防護(hù)規(guī)則配置?！静襟E2】

配置工業(yè)防火墻打開ModbusSavle模擬終端【步驟3】

模擬工業(yè)協(xié)議通信Salve端完成“SlaveDefinition”對話框的設(shè)置啟動(dòng)Salve010102