網(wǎng)絡隔離技術(shù)在工業(yè)控制系統(tǒng)隔離技術(shù)中應用

2021/9/3 1:35:16 人評論次瀏覽分類：電子技術(shù) 文章地址：http://prosperiteweb.com/tech/3954.html

ICS網(wǎng)絡安全防護技術(shù)是有效阻止威脅對ICS可用性造成破壞的技術(shù)，但對于防護技術(shù)的選擇要依據(jù)ICS的特點。由于ICS的高實時性和可用性要求，防護技術(shù)不能帶來高時延以及破壞ICS的通信。本文將介紹ICS信息安全常用的安全防護技術(shù)，這些技術(shù)通過多年的驗證證明是有效的，不會影響ICS的可用性。

1、網(wǎng)絡隔離技術(shù)
網(wǎng)絡隔離(Network Isolation)技術(shù)是網(wǎng)絡安全技術(shù)的一個大類，是把兩個或者兩個以上可路由的網(wǎng)絡(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、 NetBEUI等) 進行數(shù)據(jù)交換而達到隔離目的。其主要原理是使用不同的協(xié)議，故也叫協(xié)議隔離。

網(wǎng)絡隔離的主要目的：將有害的網(wǎng)絡安全威脅隔離開，以保障數(shù)據(jù)信息在可信網(wǎng)絡內(nèi)進行安全交互。

一般的網(wǎng)絡隔離技術(shù)都是以訪問控制思想為策略，物理隔離為基礎(chǔ)，并定義相關(guān)約束和規(guī)則來保障網(wǎng)絡的安全強度，用于實現(xiàn)不同安全級別網(wǎng)絡之間的安全隔離，并提供適度可控的數(shù)據(jù)交換的技術(shù)。有時也形象地稱為網(wǎng)閘，或數(shù)據(jù)擺渡。

隨著近幾年的飛速發(fā)展，目前的隔離技術(shù)已經(jīng)比較完善，涵蓋了幾乎所有級別用戶的網(wǎng)絡隔離需求。網(wǎng)絡中的“隔離”一詞與現(xiàn)實生活中的“隔離”存在某種認識上的區(qū)別，從傳統(tǒng)意義來理解，“隔離”使兩個網(wǎng)絡真正分開，但這樣來談網(wǎng)絡安全是沒有任何意義的。事實上，網(wǎng)絡安全中“隔離”后的兩個網(wǎng)絡并非完全沒有聯(lián)系，還是需要有正常的應用層數(shù)據(jù)交換的。

目前可以采用的隔離方法主要有以下三類：
①物理隔離。通過一定軟、硬件方法使得訪問內(nèi)、外網(wǎng)的設備、線路、存儲均相對獨立。
②網(wǎng)絡隔離。利用協(xié)議轉(zhuǎn)換進行網(wǎng)間的數(shù)據(jù)交換。
③安全隔離。利用專用設備實現(xiàn)僅在應用層進行數(shù)據(jù)交換。

2、網(wǎng)絡隔離技術(shù)的發(fā)展歷程
到目前為止，整個網(wǎng)絡隔離技術(shù)的發(fā)展經(jīng)歷了以下五代：
第一代隔離技術(shù)—完全的隔離；
第二代隔離技術(shù)—硬件卡隔離；
第三代隔離技術(shù)—網(wǎng)絡協(xié)議隔離；
第四代隔離技術(shù)—空氣開關(guān)網(wǎng)閘隔離；
第五代隔離技術(shù)—安全網(wǎng)閘隔離。

3、網(wǎng)絡隔離技術(shù)的原理應用
①網(wǎng)間不同層次的主要安全威脅
網(wǎng)間的安全威脅主要來自來以下三個層次：
◆物理層。電氣攻擊、線路偵聽、線路破壞等。
◆網(wǎng)絡層。拒絕服務攻擊、地址欺騙、碎片攻擊等。
◆應用層。惡意代碼、垃圾郵件等。

②網(wǎng)絡隔離技術(shù)要求
無論采取哪種網(wǎng)絡隔離方案，在具體應用中至少要在安全和控制中滿足如下需求：
◆具有高度的自身安全性。
◆確保網(wǎng)絡之間是隔離的。
◆保證網(wǎng)間交換的只是應用數(shù)據(jù)。
◆對網(wǎng)間的訪問進行嚴格的控制和檢查。
◆在堅持隔離的前提下保證網(wǎng)絡暢通和應用透明。

③網(wǎng)絡隔離的原理和分類
盡管正在廣泛地使用各種復雜的軟件技術(shù)，如防火墻、代理服務器、侵襲探測器、通道控制機制，但是由于這些技術(shù)都是基于軟件的保護，是一種邏輯機制，這對于邏輯實體(黑客或內(nèi)部用戶)而言是可能被操縱的，即由于其極端復雜性與有限性，這些在線分析技術(shù)無法滿足某些組織(如軍隊、軍工、政府、金融、研究院、電信等)提出的高度數(shù)據(jù)安全要求。物理隔離技術(shù)就能較好地解決這些問題。

物理隔離主要應用在以下行業(yè)：各級政府機關(guān)和涉密單位；金融、證券、稅務、海關(guān)等行業(yè)部門。

物理隔離技術(shù)的指導思想與防火墻有很大的不同：防火墻的思路是在保障互連互通的前提下盡可能安全，而物理隔離的思路是在保證必須安全的前提下盡可能互連互通。雖然物理隔離技術(shù)存在多種方式，但是它們的原理卻基本相同。物理隔離產(chǎn)品常見的有物理隔離卡、物理隔離集線器和物理隔離網(wǎng)閘三大類。

a、物理隔離卡(也稱為“網(wǎng)絡安全隔離卡”)是物理隔離的低級實現(xiàn)形式，是以物理方式將一臺計算機虛擬為兩個，實現(xiàn)工作站的雙重狀態(tài)。物理隔離卡構(gòu)成如圖1所示。

物理隔離卡構(gòu)成

b、物理隔離集線器(也稱為“網(wǎng)絡線路選擇器”、“網(wǎng)絡安全集線器”等)是一種多路開關(guān)切換設備，它與物理隔離卡配合使用。

c、物理隔離網(wǎng)閘(也稱為“網(wǎng)絡安全隔離網(wǎng)閘”)是利用雙主機形式從物理上隔離潛在攻擊的連接方式。其中包括一系列的阻斷特征，如沒有通信連接、沒有命令、沒有協(xié)議、沒有 TCP/IP連接、沒有應用連接、沒有包轉(zhuǎn)發(fā)、只有文件“擺渡”，以及對固態(tài)介質(zhì)只有讀和寫兩個命令。物理隔離網(wǎng)閘原理圖如下圖所示。

物理隔離網(wǎng)閘原理圖

④網(wǎng)絡隔離的應用
根據(jù)具體的網(wǎng)絡環(huán)境和所使用的網(wǎng)絡隔離設備可以有如下幾種應用方案。
a、主機隔離解決方案。該方案屬于終端隔離解決方案，所采用的隔離產(chǎn)品是物理隔離卡。
b、信道隔離方案。該方案所采用的安全隔離產(chǎn)品是物理隔離集線器，當然物理隔離卡也是必不可少的。
c、主機-信道雙網(wǎng)隔離解決方案。該方案屬于混合隔離模式，所采用的隔離設備也有物理隔離卡和物理隔離集線器。
d、主機-信道多網(wǎng)隔離解決方案。該方案與上一方案其實相差不多，只不過此處隔離的不只是兩個網(wǎng)絡。所采用的設備有物理隔離卡、物理隔離集線器和網(wǎng)閘三類。

4、工業(yè)控制系統(tǒng)隔離技術(shù)應用
在工業(yè)控制系統(tǒng)網(wǎng)絡和企業(yè)網(wǎng)絡之間部署網(wǎng)絡隔離設備/系統(tǒng)，可以很好地實現(xiàn)兩者之間的安全隔離和兩者之間數(shù)據(jù)的安全交換，既能滿足企業(yè)的業(yè)務需求，又能杜絕因企業(yè)網(wǎng)絡的接入導致工業(yè)控制系統(tǒng)感染病毒和木馬的可能，還能避免工業(yè)控制系統(tǒng)網(wǎng)絡信息的泄露，消除了安全隱患。

具體實現(xiàn)中，工業(yè)控制系統(tǒng)網(wǎng)絡隔離設備可以采用總線級方式，構(gòu)建非網(wǎng)絡模式的數(shù)據(jù)交互控制，與目標網(wǎng)絡不產(chǎn)生網(wǎng)絡連接，并釆用非標準協(xié)議構(gòu)成安全隧道，保障數(shù)據(jù)傳輸?shù)陌踩浴?/span>

工業(yè)控制系統(tǒng)網(wǎng)絡隔離設備包括內(nèi)網(wǎng)主機模塊、外網(wǎng)主機模塊和隔離交換模塊。內(nèi)網(wǎng)主機模塊負責與內(nèi)網(wǎng)相連，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡連接，對數(shù)據(jù)進行安全處理。外網(wǎng)主機模塊同理，但處理的是外網(wǎng)連接。內(nèi)、外網(wǎng)主機模塊分別具有獨立的運算單元和存儲單元，釆用專用、加固的操作系統(tǒng)。隔離交換模塊由兩個模塊組成，即內(nèi)、外網(wǎng)隔離交換模塊。兩個模塊間采用數(shù)據(jù)排線互聯(lián)。隔離交換模塊通過雙向數(shù)據(jù)擺渡控制，完成內(nèi)、外網(wǎng)隔離交換模塊數(shù)據(jù)的安全交換。
作者：安成飛、周玉剛

相關(guān)閱讀
工業(yè)互聯(lián)網(wǎng)TSN知識問答
工控人如何抵御針對PLC、上位機和交換機的網(wǎng)絡攻擊

上一篇：[多圖]倍壓整流電路的工作原理

下一篇：儀表變壓器的相關(guān)知識