網(wǎng)絡(luò)隔離技術(shù)在工業(yè)控制系統(tǒng)隔離技術(shù)中應(yīng)用

2021/9/3 1:35:16 人評(píng)論次瀏覽分類：電子技術(shù) 文章地址：http://m.prosperiteweb.com/tech/3954.html

ICS網(wǎng)絡(luò)安全防護(hù)技術(shù)是有效阻止威脅對(duì)ICS可用性造成破壞的技術(shù)，但對(duì)于防護(hù)技術(shù)的選擇要依據(jù)ICS的特點(diǎn)。由于ICS的高實(shí)時(shí)性和可用性要求，防護(hù)技術(shù)不能帶來高時(shí)延以及破壞ICS的通信。本文將介紹ICS信息安全常用的安全防護(hù)技術(shù)，這些技術(shù)通過多年的驗(yàn)證證明是有效的，不會(huì)影響ICS的可用性。

1、網(wǎng)絡(luò)隔離技術(shù)
網(wǎng)絡(luò)隔離(Network Isolation)技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個(gè)大類，是把兩個(gè)或者兩個(gè)以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、 NetBEUI等) 進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。其主要原理是使用不同的協(xié)議，故也叫協(xié)議隔離。

網(wǎng)絡(luò)隔離的主要目的：將有害的網(wǎng)絡(luò)安全威脅隔離開，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)進(jìn)行安全交互。

一般的網(wǎng)絡(luò)隔離技術(shù)都是以訪問控制思想為策略，物理隔離為基礎(chǔ)，并定義相關(guān)約束和規(guī)則來保障網(wǎng)絡(luò)的安全強(qiáng)度，用于實(shí)現(xiàn)不同安全級(jí)別網(wǎng)絡(luò)之間的安全隔離，并提供適度可控的數(shù)據(jù)交換的技術(shù)。有時(shí)也形象地稱為網(wǎng)閘，或數(shù)據(jù)擺渡。

隨著近幾年的飛速發(fā)展，目前的隔離技術(shù)已經(jīng)比較完善，涵蓋了幾乎所有級(jí)別用戶的網(wǎng)絡(luò)隔離需求。網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實(shí)生活中的“隔離”存在某種認(rèn)識(shí)上的區(qū)別，從傳統(tǒng)意義來理解，“隔離”使兩個(gè)網(wǎng)絡(luò)真正分開，但這樣來談網(wǎng)絡(luò)安全是沒有任何意義的。事實(shí)上，網(wǎng)絡(luò)安全中“隔離”后的兩個(gè)網(wǎng)絡(luò)并非完全沒有聯(lián)系，還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。

目前可以采用的隔離方法主要有以下三類：
①物理隔離。通過一定軟、硬件方法使得訪問內(nèi)、外網(wǎng)的設(shè)備、線路、存儲(chǔ)均相對(duì)獨(dú)立。
②網(wǎng)絡(luò)隔離。利用協(xié)議轉(zhuǎn)換進(jìn)行網(wǎng)間的數(shù)據(jù)交換。
③安全隔離。利用專用設(shè)備實(shí)現(xiàn)僅在應(yīng)用層進(jìn)行數(shù)據(jù)交換。

2、網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程
到目前為止，整個(gè)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展經(jīng)歷了以下五代：
第一代隔離技術(shù)—完全的隔離；
第二代隔離技術(shù)—硬件卡隔離；
第三代隔離技術(shù)—網(wǎng)絡(luò)協(xié)議隔離；
第四代隔離技術(shù)—空氣開關(guān)網(wǎng)閘隔離；
第五代隔離技術(shù)—安全網(wǎng)閘隔離。

3、網(wǎng)絡(luò)隔離技術(shù)的原理應(yīng)用
①網(wǎng)間不同層次的主要安全威脅
網(wǎng)間的安全威脅主要來自來以下三個(gè)層次：
◆物理層。電氣攻擊、線路偵聽、線路破壞等。
◆網(wǎng)絡(luò)層。拒絕服務(wù)攻擊、地址欺騙、碎片攻擊等。
◆應(yīng)用層。惡意代碼、垃圾郵件等。

②網(wǎng)絡(luò)隔離技術(shù)要求
無論采取哪種網(wǎng)絡(luò)隔離方案，在具體應(yīng)用中至少要在安全和控制中滿足如下需求：
◆具有高度的自身安全性。
◆確保網(wǎng)絡(luò)之間是隔離的。
◆保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)。
◆對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查。
◆在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明。

③網(wǎng)絡(luò)隔離的原理和分類
盡管正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機(jī)制，但是由于這些技術(shù)都是基于軟件的保護(hù)，是一種邏輯機(jī)制，這對(duì)于邏輯實(shí)體(黑客或內(nèi)部用戶)而言是可能被操縱的，即由于其極端復(fù)雜性與有限性，這些在線分析技術(shù)無法滿足某些組織(如軍隊(duì)、軍工、政府、金融、研究院、電信等)提出的高度數(shù)據(jù)安全要求。物理隔離技術(shù)就能較好地解決這些問題。

物理隔離主要應(yīng)用在以下行業(yè)：各級(jí)政府機(jī)關(guān)和涉密單位；金融、證券、稅務(wù)、海關(guān)等行業(yè)部門。

物理隔離技術(shù)的指導(dǎo)思想與防火墻有很大的不同：防火墻的思路是在保障互連互通的前提下盡可能安全，而物理隔離的思路是在保證必須安全的前提下盡可能互連互通。雖然物理隔離技術(shù)存在多種方式，但是它們的原理卻基本相同。物理隔離產(chǎn)品常見的有物理隔離卡、物理隔離集線器和物理隔離網(wǎng)閘三大類。

a、物理隔離卡(也稱為“網(wǎng)絡(luò)安全隔離卡”)是物理隔離的低級(jí)實(shí)現(xiàn)形式，是以物理方式將一臺(tái)計(jì)算機(jī)虛擬為兩個(gè)，實(shí)現(xiàn)工作站的雙重狀態(tài)。物理隔離卡構(gòu)成如圖1所示。

物理隔離卡構(gòu)成

b、物理隔離集線器(也稱為“網(wǎng)絡(luò)線路選擇器”、“網(wǎng)絡(luò)安全集線器”等)是一種多路開關(guān)切換設(shè)備，它與物理隔離卡配合使用。

c、物理隔離網(wǎng)閘(也稱為“網(wǎng)絡(luò)安全隔離網(wǎng)閘”)是利用雙主機(jī)形式從物理上隔離潛在攻擊的連接方式。其中包括一系列的阻斷特征，如沒有通信連接、沒有命令、沒有協(xié)議、沒有 TCP/IP連接、沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā)、只有文件“擺渡”，以及對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。物理隔離網(wǎng)閘原理圖如下圖所示。

物理隔離網(wǎng)閘原理圖

④網(wǎng)絡(luò)隔離的應(yīng)用
根據(jù)具體的網(wǎng)絡(luò)環(huán)境和所使用的網(wǎng)絡(luò)隔離設(shè)備可以有如下幾種應(yīng)用方案。
a、主機(jī)隔離解決方案。該方案屬于終端隔離解決方案，所采用的隔離產(chǎn)品是物理隔離卡。
b、信道隔離方案。該方案所采用的安全隔離產(chǎn)品是物理隔離集線器，當(dāng)然物理隔離卡也是必不可少的。
c、主機(jī)-信道雙網(wǎng)隔離解決方案。該方案屬于混合隔離模式，所采用的隔離設(shè)備也有物理隔離卡和物理隔離集線器。
d、主機(jī)-信道多網(wǎng)隔離解決方案。該方案與上一方案其實(shí)相差不多，只不過此處隔離的不只是兩個(gè)網(wǎng)絡(luò)。所采用的設(shè)備有物理隔離卡、物理隔離集線器和網(wǎng)閘三類。

4、工業(yè)控制系統(tǒng)隔離技術(shù)應(yīng)用
在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間部署網(wǎng)絡(luò)隔離設(shè)備/系統(tǒng)，可以很好地實(shí)現(xiàn)兩者之間的安全隔離和兩者之間數(shù)據(jù)的安全交換，既能滿足企業(yè)的業(yè)務(wù)需求，又能杜絕因企業(yè)網(wǎng)絡(luò)的接入導(dǎo)致工業(yè)控制系統(tǒng)感染病毒和木馬的可能，還能避免工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息的泄露，消除了安全隱患。

具體實(shí)現(xiàn)中，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離設(shè)備可以采用總線級(jí)方式，構(gòu)建非網(wǎng)絡(luò)模式的數(shù)據(jù)交互控制，與目標(biāo)網(wǎng)絡(luò)不產(chǎn)生網(wǎng)絡(luò)連接，并釆用非標(biāo)準(zhǔn)協(xié)議構(gòu)成安全隧道，保障數(shù)據(jù)傳輸?shù)陌踩浴?/span>

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離設(shè)備包括內(nèi)網(wǎng)主機(jī)模塊、外網(wǎng)主機(jī)模塊和隔離交換模塊。內(nèi)網(wǎng)主機(jī)模塊負(fù)責(zé)與內(nèi)網(wǎng)相連，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接，對(duì)數(shù)據(jù)進(jìn)行安全處理。外網(wǎng)主機(jī)模塊同理，但處理的是外網(wǎng)連接。內(nèi)、外網(wǎng)主機(jī)模塊分別具有獨(dú)立的運(yùn)算單元和存儲(chǔ)單元，釆用專用、加固的操作系統(tǒng)。隔離交換模塊由兩個(gè)模塊組成，即內(nèi)、外網(wǎng)隔離交換模塊。兩個(gè)模塊間采用數(shù)據(jù)排線互聯(lián)。隔離交換模塊通過雙向數(shù)據(jù)擺渡控制，完成內(nèi)、外網(wǎng)隔離交換模塊數(shù)據(jù)的安全交換。
作者：安成飛、周玉剛

相關(guān)閱讀
工業(yè)互聯(lián)網(wǎng)TSN知識(shí)問答
工控人如何抵御針對(duì)PLC、上位機(jī)和交換機(jī)的網(wǎng)絡(luò)攻擊

上一篇：[多圖]倍壓整流電路的工作原理

下一篇：儀表變壓器的相關(guān)知識(shí)