工控网络安全解决方案

第一章安全概况
SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

去年，一款名为Worm.Win32.Stux的蠕虫病毒席卷全球工业界，在短时间内威胁到了众多企业的正常运行。

Stux病毒被多国安全专家形容为全球首个“超级工厂病毒”，截至目前，该病毒已经感染了全球超过45000个网络，伊朗、印尼、美国等多地均不能幸免。

其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什尔核电站推迟发电，60%的个人电脑感染了这种病毒。

年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获，人们依然认为系统是安全的。

年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感
染病毒，虽然已安装了IT防火墙，病毒就在几秒钟之内从一个车间感染到另一个车间，从而最终导致停工。

•年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾
夕法尼亚州的哈里斯堡水处理厂的计算机系统。

•年8月因反应堆在‘高功率、低流量条件’的危险情况下, 美国Browns Ferry
核电厂所有人员不得不全部撤离，原因是控制网络上“通讯负荷”的缘故。

第二章安全解决方案
根据网络实际情况，工业控制网可以分为三个安全区域，生产网，安全交换区，管理网接入区。

在生产网和办公网之间的部署隔离网关，用于不同安全区域的隔离。

隔离网关其特点是既要支持防火墙的策略控制、入侵防护、防病毒等安全功能，又需要能够理解工控协议的指令，并且能够针对工控协议的攻击予以防护。

隔离网关连接四个区域，管理网、安全管控服务器、安全通讯及数采服务器、生产网（安全数采网关）。

首先通过隔离网关设置防火墙策略，限定访问的方向为数采网关可以访问数据库服务器，而禁止数采网关访问其他区域，禁止办公网访问数采网关，OPC server，工控设备等。

开启隔离网关的IPS和防病毒功能，针对工控网络到管理网，和管理网到工控网，进行全方位的文件传输的病毒文件和数据包中的攻击进行过滤。

开启隔离网关的工控指令部分功能，可以对工控指令进行安全审计。

开启隔离网关的工控攻击防御功能，尤其是针对OPC协议的攻击，严格禁止攻击通过，防止办公网的入侵的蠕虫，通过工控协议攻击生产设备。

第三章隔离网关产品说明
一、产品设计理念
本隔离网关部署于工控网络与管理网之间或者旁路式监控工控网络，所以该隔离网关应具有双重身份，即支持传统防火墙所具备的功能，比如防火墙、防病毒、入侵检测与防护(IPS)、流量控制(QoS)、路由/NAT/透明模式等，同时也支持对工控协议的分析与攻击防护。

●防火墙系统
状态检测防火墙设计成一个可信任企业网络和不可信任的公共网络之间的
安全隔离设备，用以保证企业的互联网安全。

状态检测防火墙是通过跟踪会话的发起和状态来工作的。

通过检查数据包头，状态检测防火墙分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。

●防病毒网关
计算机病毒一直是信息安全的主要威胁。

而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。

因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。

网关防病毒已经成为当前防病毒体系中的重中之重。

●入侵检测与防御（IPS）
传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口
等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。

但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用程序可以通过防火墙开放的端口穿越防火墙，如MSN、等IM(即时通信)工具均可通过80端口通信；还有一些攻击和应用可以通过任意IP、端口进行(例如BT、电驴等)；SoftEther等软件更可以将所有TCP/IP通讯封装成S数据包发送，这些高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用
IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御。

IPS工作在2-7层，通
常使用特征匹配和异常分析的方法来识别网络攻击行为。

工控网络不仅仅是工控协议的漏洞问题，其操作系统很多都采用通用操作系统，比如Windows和Linux。

由于工控网络的特殊性使得这些系统不能频繁地升
级补丁程序，甚至有的系统比较陈旧，仍旧采用的是WindowsXP这样失去厂家
支持的操作系统。

这些系统一旦暴露在外，立刻陷入严重的危机中。

所以，需要通过隔离网关的IPS功能对这些漏洞予以防护，防止遭受非法的攻击。

●流量控制(QoS)
通过设置流量控制来保证重要数据获得必需的带宽。

流量控制分为最大带宽、保证带宽和优先级，通过设置保证带宽和优先级保证关键业务的稳定和可靠，通过设置最大带宽约束级别低的流量。

●路由/NAT/透明
路由模式是可以支持静态路由、策略路由、动态路由协议，NAT可以实现IP 地址的转换以避免内部网络IP暴露，透明模式支持以交换机模式部署，而不需要更改拓扑，以上三种模式目的是为了隔离网关适用于各种网络环境，易于部署易于实现。

●工控协议识别与控制
可以针对各种工控协议，比如OPC、Modbus、DNP3等工控协议正常解码，对其中指令进行分析和理解，并且给出指令的安全级别，限制危险度大的指令，同时限制非工控网络设备发送工控指令等。

●工控协议漏洞攻击防护
各种工控协议均有漏洞，但是由于工控网络的重要性，升级系统安装补丁不能保持非常频繁的程度。

也就是说，除了补丁程序以外，我们仍需要各种手段进行防护，防止漏洞攻击导致系统瘫痪。

隔离网关需要通过专业的防御模块来对工控协议漏洞予以阻挡。

二、产品架构设计
2.1 硬件架构设计要求
IEC-61850标准描述在电力子工作站的通讯系统设计的要求。

IEC-61850-3 给出了部署于所要求环境的硬件标准。

●EMI
标准中对在电磁环境中设备给出了明确的要求，需要硬件设备能够在高强度的电磁环境中可以正常工作，也就说设备在设计时需要考虑强电磁(EMC)的影响。

本隔离网关充分地考虑了强磁的环境设计。

●温度
由于通讯设备可能工作在室外或者密闭高温空间等恶劣环境，所以需要通讯设备能够具有强大的散热散热能力，工作温度支持-20 to +75C。

本隔离网关采
用免风扇的高散热能力，并且在选择零配件上充分考虑了低温环境，所以可以适应以上温度要求。

●抗震性
本隔离网关按照标准设计，可以在机架上掉落后仍能正常使用，支持50G的抗震性，和5-500 Mhz震荡环境。

●电源
本隔离网关采用工业电源输入，可以支持直流和交流两种输入方式。

2.2 软件架构设计要求
隔离网关采用高容错的模块化软件设计，其内有防病毒模块、IPS模块、防火墙模块、工控协议模块。

这些模块采用完全内容检测(I)技术能够扫描和检测整个OSI堆栈模型中最新的安全威胁，重组文件和会话信息，以提供强大的扫描和检测能力。

只有通过重组，一些最复杂的混合型威胁才能被发现。

为了补偿先进检测技术带来的性能延迟，隔离网关使用专用的芯片来为特征扫描、加密/解密和SSL 等功能提供硬件加速。

专用芯片可以有效地提高数据包扫描的深度和广度，提高对工控协议的支持，提供比基于PC工控机的安全设备高出数倍的性能。

隔离网关采用自有的病毒库、入侵防御库和工控协议识别库，并且将它们与防火墙、IPS/IDS结合起来，从而构成动态威胁防御系统。

为了针对未知的威胁和有害流量的检测与防护，隔离网关将多个前沿的检测技术组合在一起，提供了启发式扫描和异常检测。

启发式扫描技术用来增强防病毒、攻击和其它相关的扫描活动。

当异常检测被IDS和IPS检测引擎使用时，通过高级技术和基于特征的技术相结合，对于使用IP碎片和协议受控方法攻击的检测能力就大大增强了。

其采用了先进的入侵检测/防御技术：
●状态检测
●内容重组
●通信协议检测
●应用协议检测
●内容检测
可以有效防御涵盖了工控协议的各种攻击：
基于网络的蠕虫和木马野蛮攻击碎片
不良数据包Cross-site脚本Directory Traversal
拒绝服务信息查询会话劫持
欺骗缓冲区溢出无端注入
三、产品部署方式
隔离网关支持多种部署方式，路由(NAT)、透明和旁路模式，可以适应不同
的复杂的网络环境
3.1 路由(NAT)模式
路由(NAT)模式用于连接不同IP地址段的网络环境，拓扑如下：
如上图，内网使用的是192.168.1.0/24网段，而外网使用的是172.16.1.0网
段来连接办公网。

此时由于内外网络不在同一IP地址段，因此需将隔离网关设置为路由(NAT)模式。

此时隔离网关工作在第三层，相当于一台路由器，连接不同的IP地址段。

使192.168.1.X和172.16.1.X之间可以互访。

隔离网关支持如下路
由协议：
✧静态路由
✧ECMP(等值路由)
✧策略路由
✧RIP/OSPF/BGP
✧组播路由
基于以上各种静态及动态路由方式，隔离网关可以完美地支持各种网络环境，也可以支持VLAN和链路聚合等。

3.2 透明模式
如果隔离网关内、外网使用相同网段的IP地址，便无需隔离网关担负路由的工作。

此时可以将隔离网关置于透明模式，工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。

如下图所示：
3.3 旁路模式
隔离网关的灵活部署结构可以以传统的旁路方式部署，监听网络旁路或者核心交换机镜像的接口。

工作在监听模式下的隔离网关可以对数据流进行分析和生成日志。

当其引擎发现攻击后，记录日志，也可以发送报警邮件给管理员。

也可以对工控协议使用状况进行监听，记录日志，出现危险操作时予以报警。

该种带外部署的好处在于不会产生任何影响，当隔离网关出现故障后，也不会造成网络故障。

如下图所示，工控防火墙可以监控任意节点，只需要设置镜像接口即可。

四、产品功能阐述
4.1 强大的防火墙功能
隔离网关的防火墙功能基于状态检测包过滤技术，可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层(网络层)和第四层(传输层)进行数据过滤。

防火墙功能可以对访问的源和目标的IP地址进行过滤，例如可以允许或拒绝内网的部分IP地址访问外网，也可以允许或拒绝外网的部分IP地址访问内网。

IP 地址对象可以是单个IP(如202.1.1.1)，也可以是IP地址段(如192.168.1.0/
255.255.255.0)，还可以是IP地址范围(如172.16.1.100-172.16.2.200)。

对拥有
同一访问权限的不同IP地址/段，还可以将它们加入到一个地址组中，在防火墙
策略中统一调用。

隔离网关预置了常用网络服务的端口信息，如使用的TCP80端口、FTP使用的TCP21/20端口等。

也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。

同样可以将不同的服务和端口加入组，在策略中统一调用。

防火墙策略设置如下图，基于接口、地址、时间、服务、动作组成五要素的防火墙策略。

防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。

所有的会话都会维持在隔离网关的会话表中，还可以供管理员分析和排错使用。

上图是隔离网关的状态表，用户可以查看当前通过隔离网关建立的所有会话，并可对当前会话进行筛选和排序，迅速发现网络中不正常的主机(病毒、DoS、
攻击源等)。

发现网络中的异常后，用户可以新增防火墙策略阻断非法流量，也
可以在会话表中直接切断会话。

4.2 网关式防病毒
隔离网关可以部署在办公网和工控网络之间，既可以阻挡来自办公网的病毒、蠕虫、木马、间谍软件、恶意软件等。

隔离网关的病毒过滤针对标准协议，与应用无关。

无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，隔离网关都可以对电子邮件中的病毒进行过滤，防止病毒
通过邮件传播。

隔离网关还支持协议和FTP协议，对于Web浏览、下载、Web
邮件及FTP文件传输过程中携带的病毒均可进行拦截。

在支持协议的全面性上走在了业界的前方。

对于使用非标准端口的协议应用(如在使用代理服务器的环境中，协议不使用TCP80端口，却使用了TCP8080端口)，隔离网关同样可以对其中的病毒进行过滤。

对于一段内容，如果既包含正常部分，又含有病毒代码，则隔离网关会将病毒代码过滤掉，正常部分仍然会继续传输，这样便可有效防止信息的丢失。

例如，一封附件染毒的Email被发往内网某用户处，经过隔离网关扫描后，带有病毒的附件会被拦截，而“干净”的正文仍然会正确的发送到收件人的邮箱里，不会因为病毒扫描导致信件的丢失。

4.3 入侵检测与防御(IPS)
隔离网关的IPS同时使用特征和异常两种检测方法，能够检测6000种以上攻击和入侵行为，包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击。

IPS工作在2-7层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。

隔离网关可以很方便的定义IPS特征过滤器，帮助用户迅速筛选对保护内部服务器有用的特征集合，并根据需要选择处理方式，与本用户网络及应用无关的特征被关闭，以免影响处理性能。

与传统的入侵检测/防御产品比较复杂的安装配置方式相比，界面简单直观，易用性好。

因为工控网络出于稳定性需要，很少进行补丁升级工作。

隔离网关可以通过IPS的防御功能来抵挡各种攻击行为从而保证内网的安全。

4.4 工控协议检测
隔离防火墙可以识别多种工控协议，如DNP3、Modbus、Eher/IP、IEC 60870-6 (TASE 2) / IP 、EtherCAT、IEC 60870-5-104、OPC、El等。

在识别协议的同时，也可以识别这些协议里传输的指令，并且可以实现监控和阻断两种操作。

OPC的配置界面如下图，可以设置对哪些指令进行监控，对哪些指令进行禁止。

不同的指令配置成不同的安全级别，根据用户需求，将安全级别高的指令禁止操作。

Modbus配置界面如下，也可以支持“Read”和“Write”的各项操作。

用户可根据自己需求对这些操作采用相应的措施。

4.5 工控协议攻击防御
隔离防火墙内置了DNP3、Modbus、Eher/IP、IEC 60870-6 (TASE 2) / IP 、EtherCAT、IEC 60870-5-104、OPC、El协议解码器，同时内置了多种漏洞防御特征库。

在识别协议的同时，可以针对这些协议带来的攻击进行防御。

如下图给出了Modbus协议的漏洞攻击库，可以对其监控或者禁止操作。

下图给出了DNP3协议漏洞库，同样可以监控和禁止两种操作。

无论隔离防火墙处于路由模式、透明模式还是旁路模式均支持对各种攻击的监控和阻断。

这些特征库是随之升级，我们有强大的服务团队跟踪世界最新的攻击，并且及时自动升级各个隔离网关设备。

4.6 流控和QoS
隔离网关可以在多个层面和多种方式来保障关键业务的带宽，限制低安全级别的带宽使用：
1、可以基于防火墙策略限制某段IP共享带宽，即可以限制这段IP地址的最大带宽、最小带宽和优先级。

所谓基于防火墙策略也就是说限制流量可以基于防火墙策略的四个要素：防火墙接口、IP地址、时间、服务等。

2、可以基于防火墙策略限制每个IP最大带宽。

所谓基于防火墙策略也就是说限制每个IP流量可以基于防火墙策略的四个要素：防火墙接口、IP地址、时间、服务等。

3、基于网络层的会话控制，可以通过防火墙策略来控制每个Ip的最大并发会话数。

4、通过设置Diffserv来实现与其他QoS设备配合使用
配置流量控制的界面如下图所示：
4.7 强大的报表功能
隔离网关可以展现传统防火墙、防病毒、IPS的内容，也可以展现工控协议和工控协议攻击的内容，并且将其组织在一起构成严谨、透明的报表体系。

如下图给出不同协议的攻击分布情况，有工控协议的OPC和Modbus，也有传统协议的Web和Mail。

下图给出了传统防火墙的病毒排行榜，从这个排行榜中可以看出当前流行的病毒。

下图给出攻击的排行榜，方便我们了解攻击的种类和分布情况：
五、产品参数说明
技术参数如下：
物理参数如下：
支持的协议和指令如下：。