"

                          ✅和记平台wx17|首页✅㊣全球最大,最信誉的线上综合平台✅和记平台wx17|首页✅千款游戏,砖石级服务,和记平台wx17|首页,欢迎各界玩家加入体验!

                                                  "

                                                  ?服务电话:021-60712276

                                                  疑问解答

                                                  自恒方案网络安全等保实施方案说明

                                                  深度澄清网络安全等保技防措施
                                                  ——您的网络防护方案与网络病毒原理相关吗?加了防护措施为何威胁仍会存在?

                                                  方健
                                                   

                                                  一、从网络攻防原理上阻止网络攻击(引用百度百科)

                                                  木马病毒
                                                  图 1后门攻击和木马病毒
                                                   
                                                  蠕虫病毒
                                                  图 2漏洞攻击和蠕虫病毒

                                                  根据基本网络攻防原理,选择网络病毒无法规避的防护和检测方式和记平台wx17|首页,确保网络安全
                                                  1. 常规是IP或协议作为访问控制的过滤条件(可规避)和记平台wx17|首页和记平台wx17|首页,我们采用VLAN标签作为访问控制的过滤条件,木马程序无法规避
                                                  2. 常规是代码特征作为漏洞攻击的判断条件(可规避)和记平台wx17|首页,我们采用主机扫描攻击(IP扫描)判断条件和记平台wx17|首页和记平台wx17|首页,蠕虫无法规避
                                                  3. 采用的技术针对已激活的网络病毒(自主上网功能)和记平台wx17|首页,未激活的网络病毒和和其它病毒通过共享文件机制传播合攻击(代码检测是杀毒软件的强项,主要由计算机软件防护)

                                                  二、网络交换产品技术优势和来源(权威检测)

                                                  网络病毒规避访问控制和漏洞攻击检测的方法繁多和记平台wx17|首页和记平台wx17|首页。如:重构和重编译代码(仅勒索病毒就有上百种)去代码特征处理和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,尝试或侦听被劫持网关并选择许可上网的IP和通讯协议和记平台wx17|首页,零日漏洞等等和记平台wx17|首页。根据攻防原理和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,选择网络攻击无法规避的检测和防御措施才能真正阻止网络攻击和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。
                                                  公安验证
                                                  图 3公安三所检测报告

                                                  技术来源(自研)
                                                  a.采用VLAN标签的用户组技术(访问控制技术):同组用户互通和记平台wx17|首页、不同组成员隔离。成员可加入不同的用户组和记平台wx17|首页。专利号:201910564112.2
                                                  b.采用防主机扫描技术,可对扫描源(IP或端口)进行告警和隔离和记平台wx17|首页。专利号:201910564113.7
                                                  防护技术特点:
                                                  1. 没有二次计算检测的延时和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,不影响通讯实时性和记平台wx17|首页,是主动防御技术
                                                  2. 防得住和记平台wx17|首页,从网络攻击的基本原理上解决问题,阻止APT攻击和记平台wx17|首页。
                                                  3. 工作原理不同于其它网络安全设备和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,不影响其它网络安全检 测设备的使用和记平台wx17|首页和记平台wx17|首页,功能上完全互补和记平台wx17|首页。
                                                  4. 安全区和访问控制可以按系统、分系统和记平台wx17|首页和记平台wx17|首页、物理位置混合设置和记平台wx17|首页,防护灵活,单台交换机也能构成完整防护
                                                   
                                                  三和记平台wx17|首页、网络安全等保对网络要求的响应(1-4级)

                                                  常规网络安全检测:
                                                  a.常规的访问控制检测-主要用于检测通讯协议(软件端口号、网络传输协议号)和IP。(直连检测)
                                                  b.常规的入侵防护检测-主要采用代码检测和记平台wx17|首页和记平台wx17|首页,对网络实时通讯的数据检测(漏洞攻击)。(旁路检测和记平台wx17|首页,因为仅一条数据包可能需比对数以万计个病毒的特征代码和记平台wx17|首页,仅分类检索比对的耗时就可以使得这类检测防御形同虚设)
                                                  c.防毒墙-采用代码检测对代码文本进行检测(无通讯延时要求的文件检测)
                                                  自恒优化方案:
                                                  a.访问控制检测-采用VLAN标签,网络病毒无法规避检测和记平台wx17|首页,防护全面和记平台wx17|首页,即使单台交换机组网也能有效防护和记平台wx17|首页。
                                                  b.防主机扫描检测-对任何非法主机扫描攻击行为进行检测和记平台wx17|首页和记平台wx17|首页。从原理上解决漏洞攻击防御难问题和记平台wx17|首页,全面及时防御和记平台wx17|首页,主动防御和记平台wx17|首页和记平台wx17|首页,对通讯无影响和记平台wx17|首页。
                                                  c.防毒墙可以在文件服务器或邮件服务器前使用和记平台wx17|首页,若计算机上已有防御措施时和记平台wx17|首页,无防毒墙也是低风险和记平台wx17|首页和记平台wx17|首页。
                                                  主要等保的技防评审项(下面三项都有权威检测):
                                                  ? 安全区和访问控制(激活木马后的通讯数据是黑客操控数据和盗窃的用户数据和记平台wx17|首页,无病毒代码数据和记平台wx17|首页和记平台wx17|首页,无法进行代码特征检测)
                                                  ? 内外防入侵(网络蠕虫的漏洞攻击会伴随着蠕虫病毒代码的传播)
                                                  ? 通讯过程中的完整性和保密性(防劫持、VLAN通道?和记平台wx17|首页;?
                                                      安全完整性设计基本要求:
                                                      1)通讯网络和计算机系统的通讯完整性设计(主要设计要求):奇偶校验和记平台wx17|首页、CRC冗余校验和记平台wx17|首页。
                                                      2)工业和软件系统通讯的应用软件完整性设计(主要三个设计要求):用户程序版本一致   性检测和确认和记平台wx17|首页,控制参数(工艺配方)的一致性检测和确认和记平台wx17|首页和记平台wx17|首页,操作命令的确认和记平台wx17|首页。(通讯突  然中断或数据人为和恶意篡改时和记平台wx17|首页和记平台wx17|首页,仍能够被发现和阻止,避免完整性缺失和记平台wx17|首页,系统仍能 保持稳定)
                                                  ? 内联、外联控制和无线接入(接入和断线报警和记平台wx17|首页,对无线接入可以进行组成员检测和访问目标的成员组检测)
                                                  ? 审计和集中监控(软件)
                                                  ? 身份确认和双因素(软件)
                                                   
                                                  四和记平台wx17|首页和记平台wx17|首页、安全区和访问控制:(优于等保建议)
                                                          ——支持逻辑安全区隔离和物理安全区隔离

                                                  ? 限定用户设备(计算机)的访问对象范围:安全区内设备可以互访和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,安全区之间需要通过访问控制设定访问对象。即使用户设备仿冒IP等规避手段也不能上公网和记平台wx17|首页和记平台wx17|首页。

                                                  ? 如下图所示:按部门和记平台wx17|首页和记平台wx17|首页、系统、分系统设立安全区隔离组(VLAN)和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,采用用户组技术设定隔离组间的访问控制组通道(一对一和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、多对多等)(VLAN通道)和记平台wx17|首页,由于采用VLAN技术作为访问控制的过滤条件,恶意程序无法通过改变IP或选择特定的通讯协议等手段规避检测和记平台wx17|首页,突破访问控制的访问限制和记平台wx17|首页。
                                                  隔离组
                                                  图 4 按部门和记平台wx17|首页、系统和记平台wx17|首页、分系统设立安全区隔离组

                                                  访控组
                                                  图 5 隔离组之间的访问控制

                                                  五、内联和记平台wx17|首页、外联控制和无线接入(优于等保建议) 
                                                  ? 交换机支持用户组成员IP检测和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、radius接入验证、主机扫描检测和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、IP过滤技术和记平台wx17|首页,接入和离线报警和记平台wx17|首页和记平台wx17|首页。既能防止非法设备接入和记平台wx17|首页和记平台wx17|首页,也能防止接入设备的漏洞攻击行为。并能通过访问控制限 定其访问对象和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。如下图所示和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,端口绑定的IP按用户组为单位的方式显示并在运行时检测。无线系统接入与内网连通也需要进行用户组成员等检测,其发生主机扫描非法行为也能报警。
                                                  端口绑定
                                                  图 6 端口绑定IP

                                                   
                                                  图 7组内端口IP绑定汇总

                                                  六和记平台wx17|首页和记平台wx17|首页、内外防入侵(无误报、几乎无漏报和记平台wx17|首页,优于等保建议)
                                                  • 可以对内外网主机扫描行为进行检测和记平台wx17|首页和记平台wx17|首页,对任何接入的网内设备进行检测其主机扫描行为。不仅仅是特定设备。全面防护和记平台wx17|首页、主动防护和记平台wx17|首页。主要原理:根据用户对安全区和访问控制的设置和记平台wx17|首页,确定了可访问的对象所有的IP设备。当设备试图访问其所在的安全区和访问控制组限定对象外的设备或空地址时和记平台wx17|首页,即违法了用户的设定限制,触发主机扫描报警和记平台wx17|首页和记平台wx17|首页,并可实时隔离扫描源IP设备或关闭源端口和记平台wx17|首页。采用主机扫描作为漏洞攻击的判断条件和记平台wx17|首页和记平台wx17|首页,漏洞攻击程序无法通过重编译等手段规避检测和记平台wx17|首页。(目标地址的成员合法性检测)
                                                  • 解决了主要目前常规方案中内网无防护或防护不够全面和记平台wx17|首页和记平台wx17|首页、漏报、误报、不能主动及时防御和记平台wx17|首页、不能防APT攻击的问题和记平台wx17|首页。
                                                  国家标准
                                                  图 8 国家标准GB/T 20275-2013中对误报率和漏报率的要求
                                                  a. 没有代码检测和记平台wx17|首页,正常应用程序无主机扫描和记平台wx17|首页。所以没有误报率
                                                  b. 假设一个计算机所在的安全区和访问控制组共有有60台设备和记平台wx17|首页,其它是空号。C网中:192.168.*.*,子网掩码255.255.0.0和记平台wx17|首页,共有约64770个地址。单组一个IP地址扫描和记平台wx17|首页。成功率仅不到千分之一和记平台wx17|首页和记平台wx17|首页。单组多个IP地址扫描的成功率:必须连续成功和记平台wx17|首页,才不触发报警和记平台wx17|首页。3个IP一组,已经是10亿分之一以下了和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。
                                                  (单组中IP地址不会重复)设:N:该攻击点的连通设备IP数、M:网段IP地址总数和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、a:单组选择攻击的IP数(扫描攻击策略)和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。
                                                  扫描成功率公式:
                                                  当a<n和记平台wx17|首页,N!*(M-a)!/[M!*(N-a)!]。
                                                  当a=N时和记平台wx17|首页和记平台wx17|首页,N!(M-N)!/M!!和记平台wx17|首页和记平台wx17|首页。当a>N时和记平台wx17|首页,一组扫描的IP地址数大于攻击点的连通设备IP数(无成功率)
                                                  仅仅理论上有漏报可能性(即蠕虫扫描成功率)和记平台wx17|首页。
                                                   
                                                   
                                                  七和记平台wx17|首页、通讯过程中的完整性和保密性(优于等保建议)
                                                    ——数据传输过程中数据防盗和记平台wx17|首页、防篡改(通讯校验(奇偶校 验+CRC校验)+防人为篡改) 
                                                    ——工业控制的功能完整性(任何操作命令的下达必 须 经实时控制设备的准备执行的验证等过程) 

                                                  ? 隔离组和访问控制组是VLAN架构??梢陨瓒ǔ勺ㄓ玫氖萃ǖ?VLAN通道不可劫持和记平台wx17|首页和记平台wx17|首页,VPN和加密仍可劫持)
                                                  1. VLAN内的数据无法被VLAN外的设备盗取和篡改和记平台wx17|首页。不同用户组成员网络隔离。
                                                  2. 除集线器(HUB)外和记平台wx17|首页和记平台wx17|首页,交换机的作用就是按用户通讯端口的寻址信息建立通讯地址表和记平台wx17|首页,并严格根据通讯地址表的地址来转发用户数据信息,而IP和记平台wx17|首页和记平台wx17|首页、MAC和ARP表地址表都是由用户数据包寻址时确定的,正常情况下交换机只能根据用户的源地址和目标地址发送信息和记平台wx17|首页,不可能把用户数据发送给第三方和记平台wx17|首页、盗窃者或篡改者的计算机设备通讯端口和记平台wx17|首页。但是和记平台wx17|首页,VLAN(同组成员)网内的数据盗取和篡改可以采用的是IP欺骗技术(主机劫持)和记平台wx17|首页,即仿冒其它设备的源IP来改变正常的通讯地址表和记平台wx17|首页和记平台wx17|首页。如果用户组成员在通讯设备端口上绑定IP和记平台wx17|首页,连接该端口的用户设备就无法仿冒其它IP发送数据和记平台wx17|首页,对相关用户组全员进行IP绑定和记平台wx17|首页,IP欺骗难以进行和记平台wx17|首页,阻止了IP欺骗(仿冒IP)和记平台wx17|首页和记平台wx17|首页。这样和记平台wx17|首页,从原理上确保了传输过程中的完整性和保密性和记平台wx17|首页。(MAC欺骗:由于软件通讯的套接字中不包含MAC和记平台wx17|首页,无法建立真正的应用层通讯间有效的收发确认应答和记平台wx17|首页,难以窃取有效数据和记平台wx17|首页。)
                                                  同时恶意后门软件采用IP欺骗技术往往会造成网关劫持和记平台wx17|首页和记平台wx17|首页、主机劫持等问题和记平台wx17|首页。即使没有盗取数据成功和记平台wx17|首页和记平台wx17|首页,但网络在劫持过程中会出现通讯时断时续的现象和记平台wx17|首页。仅仅采用用户数据加密的方式不能防止这类通讯中断的故障和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。IP欺骗(主机劫持)是网络层的攻击和记平台wx17|首页。应用层无法解决和记平台wx17|首页和记平台wx17|首页。我们推荐的方案是用户组成员全员绑定IP。该方案通过公安三所测试(防主机劫持测试)和记平台wx17|首页。
                                                  3. IP欺骗技术(主机劫持-特别是网关劫持)常被部分木马和后门攻击程序采用和记平台wx17|首页。网络中断时和记平台wx17|首页和记平台wx17|首页,用户需要重建通讯,便可能会自动或手动会发送密钥和记平台wx17|首页、用户名和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、口令等重要的信息和记平台wx17|首页和记平台wx17|首页。造成加密失败和记平台wx17|首页。大部分密码不是被暴力破解的,而是被盗取的。切断后门通讯可以阻止泄密和记平台wx17|首页,但激活的木马程序仍可进行主机劫持(一般仅攻击单台设备和记平台wx17|首页和记平台wx17|首页,但使用路由器情况下和记平台wx17|首页和记平台wx17|首页,即使在独立封闭的网络内和记平台wx17|首页,会导致大面积断网和记平台wx17|首页,因为劫持对象是网关,故造成严重的大量设备通讯中断现象)。即使加密的数据也能被IP欺骗技术来篡改而丢失和记平台wx17|首页,密钥本身也能通过IP欺骗技术被盗取的和记平台wx17|首页和记平台wx17|首页。
                                                   
                                                   
                                                  八和记平台wx17|首页、审计和集中监控 
                                                   设备接入和记平台wx17|首页、连接中断和记平台wx17|首页、入侵检测、防护措施修改操作等全面记录和报警监控:
                                                  监控图
                                                  图 9软件主页面

                                                  九和记平台wx17|首页和记平台wx17|首页、身份确认和双因素
                                                  网管软件支持用户确认身份和双因素密码和口令和记平台wx17|首页,支持用户(身份-岗位(角色)-部门和记平台wx17|首页、功能(权限分配))多重授权考虑,按岗位和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、按部门和记平台wx17|首页、按功能分配管理权限
                                                  用户授权
                                                  图 10 用户登陆授权
                                                  二次验证
                                                  图 11 双验证登陆界面
                                                   
                                                  角色分配
                                                  图 12 用户权限及角色分配界面

                                                  十和记平台wx17|首页、《工业控制系统信息安全防护建设实施规范》测评工作方案
                                                  威胁等级
                                                  图 13 The malware “classification tree”, Kaspersky 卡巴斯基病毒分类树
                                                  ? 网络隔离(3.1.2.1):开发和记平台wx17|首页、测试和生产和记平台wx17|首页和记平台wx17|首页。
                                                  ? 安全区(3.1.2.2):物理和逻辑安全区和记平台wx17|首页,隔离组按物理位置划分即为物理安全区和记平台wx17|首页和记平台wx17|首页,一般逻辑安全性更高(跨接不可以联通)和记平台wx17|首页。
                                                  ? 边界防护(3.1.2.3):
                                                  ? 差异化防护(远程)(3.1.5.2):加密和记平台wx17|首页、VPN等和记平台wx17|首页。我们采用VLAN?;ず头繧P欺骗(内网中优于加密和VPN)
                                                  ? 风险检测(3.1.6.2):入侵检测,协议和内容检测(若在?和记平台wx17|首页和记平台wx17|首页;ねǖ滥?、协议可自检测+重传校验检测)
                                                  ? 单项寻址和操作(办公网和工控网):子网掩码不同造成寻址方式不同和记平台wx17|首页,或IP网关填写通讯对象的IP和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,可以单向寻址和记平台wx17|首页,利用计算机本身的路由特性,实现单向寻址访问
                                                  ? 工业数据深度包检测:可由PLC来进行对所有上位机命令的极值验证确认和记平台wx17|首页、工况安全?和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页;ぜ捌渌踩啡?。并拒绝不符合的指定通讯协议的通讯和记平台wx17|首页,对不合理的命令要求提醒和确认和记平台wx17|首页和记平台wx17|首页。(用户PLC程序对命令合理性检测优于工业防火墙的DPI检测和记平台wx17|首页和记平台wx17|首页,工业防火墙缺乏对数据合理性的判断依据,如:0停车和记平台wx17|首页和记平台wx17|首页,1启动是合理吗?,同时也缺乏处理的措施。)
                                                  网络攻防的威胁:逻辑炸弹的延时和后门激活(可调节时钟检测和访问控制阻断)和记平台wx17|首页和记平台wx17|首页、无自主上网功能的病毒代码激活(借用文件共享机制传播)、有自主上网功能的木马后门窃听和IP劫持(后门攻击和记平台wx17|首页和记平台wx17|首页、有上网功能的蠕虫病毒的IP盲攻(漏洞攻击)和记平台wx17|首页和记平台wx17|首页。其它攻击如:DDOS攻击和记平台wx17|首页,暴力破解和记平台wx17|首页,smurf攻击等都需要目标IP和记平台wx17|首页。漏洞攻击的第一步是IP扫描。
                                                   
                                                  十一和记平台wx17|首页和记平台wx17|首页、用户IP设置-如:用户组内不同网段通讯设置
                                                  IP子网和网段不隔离网络和记平台wx17|首页,若采用不同子网IP和记平台wx17|首页,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯和记平台wx17|首页。而且和记平台wx17|首页,子网掩码仅用于改变寻址方式,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变和记平台wx17|首页。
                                                  IP设置
                                                  图 14设备IP配置
                                                  IP子网和网段不隔离网络,若采用不同子网IP,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯。而且和记平台wx17|首页和记平台wx17|首页,子网掩码仅用于改变寻址方式和记平台wx17|首页和记平台wx17|首页,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变和记平台wx17|首页。

                                                  十二和记平台wx17|首页、ARP广播的影响

                                                  • 实际上计算机设备会丢弃除免费ARP(源IP地址等于目标IP地址)以外的目的地址非本机地址的ARP寻址包,即计算机拒绝接受非本机地址的寻址包和记平台wx17|首页。仅免费ARP(在开机、更改IP和MAC和记平台wx17|首页,发送ARP和记平台wx17|首页和记平台wx17|首页,主要用于地址冲突检测。也用于冗余网关切换时告知交换机刷新网关MAC)和记平台wx17|首页。寻址广播一般不影响设备。最大免费ARP包来源于网关刷新和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。
                                                  • 用户组VLAN隔离了广播域和记平台wx17|首页,使得计算机的广播仅仅在其用户组内传播和记平台wx17|首页和记平台wx17|首页。
                                                  十三和记平台wx17|首页和记平台wx17|首页、与其它防御方案的互补性
                                                  可信计算技术:采用对可信证书和记平台wx17|首页和记平台wx17|首页、验证等的技术。理论上能够消灭网络病毒生存空间。(Win10)阻止未授权的程序(网络病毒)的安装和运行。与安全加固软件类似(阻止非白名单中的软件运行)
                                                  代码特征查杀:根据恶意程序和网络病毒的代码特征和记平台wx17|首页,检查网络和计算机中是否有文件(程序)感染病毒和记平台wx17|首页和记平台wx17|首页。
                                                  用户组防御方案:根据已经激活的网络病毒的攻击和规避检测技术原理和记平台wx17|首页,所设计的防护措施和记平台wx17|首页和记平台wx17|首页。阻止网络病毒攻击和记平台wx17|首页。(纯粹的无代码检测攻防技术)
                                                  为用户提供多样性的选择:原理上各防御技术无冲突之处,各有优点和记平台wx17|首页和记平台wx17|首页,可以互相补充。


                                                  十四和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、网络攻防常见误解的澄清
                                                  a. 采用独立网络的工业网络木马的后门攻击不能窃取数据和记平台wx17|首页,没有威胁?
                                                  答:事实上中控室往往采用路由网关的通讯方式和记平台wx17|首页,内网中和记平台wx17|首页,几乎由网络病毒造成的断网普遍是木马的网关劫持行为造成的,
                                                  同时网络木马也可以通过摆渡方式进入内网。网络病毒攻击和传播是两个不同概念和记平台wx17|首页。攻击数据中不一定含有网络病毒代码。
                                                  b. 工业防火墙能够防止网络病毒攻击?
                                                  答:工业防火墙采用的白名单和用户数据深度包检测主要用于访问控制和记平台wx17|首页。并不能防止网络病毒的攻击和破坏。工业系统设备往往采用单一的通讯协议,通讯协议不同不能通讯和记平台wx17|首页和记平台wx17|首页,无法攻击设备和记平台wx17|首页和记平台wx17|首页,所以攻击者常采用正常的通讯协议,白名单无意义和记平台wx17|首页和记平台wx17|首页。网络蠕虫以震网为例:离心机的伺服马达都有转速?;?和记平台wx17|首页和记平台wx17|首页,不可能在高速时发生过热而损坏和记平台wx17|首页。只有攻击者在给定的速度上加上高频的加减速分量和记平台wx17|首页和记平台wx17|首页。破坏了设计的工况(轻载和重载工况设计),此时由于惯性的作用和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,加减分量抵消。真实速度和显示仍是给定速度和记平台wx17|首页。而大量的电能却转换为热能和记平台wx17|首页。攻击者的攻击数据(给定速度)也在允许的范围内,深度检测(DPI)无法判断数据的合理性。而且,如:木马的主机劫持攻击也无法防护和记平台wx17|首页和记平台wx17|首页。工业防火墙的主要用途在于阻止非工控设备从中控室访问控制层设备。(协议型访问控制设备:仅允许OPC/实时服务器和设备工程师进入控制层)
                                                  c. 不同IP子网是隔离的?答:子网掩码是告诉计算机如何改变寻址方式和记平台wx17|首页和记平台wx17|首页?和记平台wx17|首页和记平台wx17|首页?匆幌峦↖P的高级设置就知道和记平台wx17|首页和记平台wx17|首页,不同子网间能直接通讯和记平台wx17|首页。如果把本机地址设成网关地址或通讯对象IP设成网关地址都能直接通讯的。真正的隔离技术主要有ACL和VLAN。
                                                  d. 工控设备PLC等与一般的计算机、网络打印机等信息设备网络防护有区别吗?
                                                  答:计算机是多应用系统和记平台wx17|首页,支持不同的用户应用和记平台wx17|首页和记平台wx17|首页。而工控设备PLC往往是单一应用(可以是多任务)系统和记平台wx17|首页,仅仅允许运行一个用户程序和记平台wx17|首页。独立的网络计算机病毒(蠕虫)难以感染和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,但并不意味不能将蠕虫的某些功能插入到用户程序中,这样也能人为制造类似蠕虫的受感染的用户程序和记平台wx17|首页。当然有重启等现象和记平台wx17|首页和记平台wx17|首页,很难象计算机一样悄无声息地传播。网络打印机实际上是一台计算机可供多用户共享和记平台wx17|首页和记平台wx17|首页。
                                                  e. 明明本机ARP列表中已经有本子网的很多设备的IP地址了。为什么网络蠕虫非要通过主机扫描来获得攻击对象的IP地址和记平台wx17|首页和记平台wx17|首页?主机扫描和Ping扫描一样吗和记平台wx17|首页和记平台wx17|首页?
                                                  答:由于操作系统的防护技术改善和记平台wx17|首页,强调应用隔离和记平台wx17|首页。只有系统Dos命令窗口和记平台wx17|首页,才能读取ARP缓存表和记平台wx17|首页。应用程序无权获取其它应用的通讯对象地址和记平台wx17|首页和记平台wx17|首页,即不能读取ARP缓存表和记平台wx17|首页。所以和记平台wx17|首页,网络蠕虫也无法获取其它程序应用通讯对象的IP地址和记平台wx17|首页。蠕虫主机扫描是一种盲攻行为。即扫描包也是符合其攻击所特定端口号的通讯攻击包和记平台wx17|首页和记平台wx17|首页。Ping包是符合ICMP的网络查询包和记平台wx17|首页和记平台wx17|首页。
                                                  f. 为何必须通过安全区和访问控制来限定计算机的访问对象?答:木马的后门攻击通讯内容是盗取的用户数据和操控命令数据。传输的数据不包含网络病毒的代码。无法用代码特征来判别和记平台wx17|首页。只能通过阻拦的方式。同时也限制了蠕虫病毒的攻击范围。
                                                  g. 计算机病毒传播病毒代码的机制?能假设网络病毒可以任意传播吗和记平台wx17|首页?
                                                  答:计算机病毒代码在传递过程中需要维持或最终型态是可执行文件的代码结构和记平台wx17|首页。对于已经激活的网络蠕虫而言和记平台wx17|首页,有自主上网功能,其并不一定依赖于文件方式传播来保证病毒代码结构不被破坏和记平台wx17|首页和记平台wx17|首页,其本身可能可以从某种数据结构变身成可运行程序文件代码。而未激活的网络病毒或其它计算机病毒和记平台wx17|首页,既无自主上网能力,也没有运行和记平台wx17|首页和记平台wx17|首页,必须依赖于某种文件共享机制得以传播并保证病毒代码结构不被破坏。内网除了激活的蠕虫通过攻击传播网络蠕虫病毒和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。其它病毒是
                                                  通过某种文件共享机制传播的和记平台wx17|首页。总之和记平台wx17|首页,没有主机扫描(漏洞攻击)和某种文件共享机制和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,网络病毒和计算机病毒不能传播。(没有私家车,只能坐公交和记平台wx17|首页和记平台wx17|首页,没有上电和记平台wx17|首页和记平台wx17|首页,金刚难变形)
                                                  h. 网络木马可侦听那些网络信息吗?其侦听的内容和条件和记平台wx17|首页?
                                                  答:网络木马一般不能工作在网卡混杂模式下(申请混杂模式会被发现)和记平台wx17|首页和记平台wx17|首页,除了窃取本机用户信息外和记平台wx17|首页,交换机不会将其它IP设备的信息内容主动发送给它和记平台wx17|首页,而且其侦听的内容也受限于其申请的软件端口号和记平台wx17|首页,因此其侦听的内容受限于该木马病毒软件的套接字以及IP欺骗劫持的对象。当网络通讯中断时(网关劫持)和记平台wx17|首页和记平台wx17|首页,若无通讯故障和记平台wx17|首页和记平台wx17|首页,请检查一下80或8080服务端口号是否打开和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。一般计算机该端口号是关闭的和记平台wx17|首页。一些木马用IP欺骗的方式来探测和寻找那些IP地址可以出网和记平台wx17|首页。在独立封闭网络中和记平台wx17|首页,木马病毒的破坏性主要体现在会造成通讯中断和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页。


                                                  十五和记平台wx17|首页和记平台wx17|首页、典型多个控制系统访问控制策略

                                                  • 1.各类调试工程师需要直接连接控制层的PLC和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、智能仪表和回路控制器和记平台wx17|首页、变频器。与其它中控室设备隔离和记平台wx17|首页,防止网络病毒驻留和记平台wx17|首页和记平台wx17|首页。(工业防火墙的使用场合和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,仅允许设备工程师进入控制网)
                                                  • 2.OPC服务器(实时数据库)是最重要的设备,其不仅和PLC通讯和记平台wx17|首页,而且是实时数据的核心服务器,不应和中控室无关联的信息设备通讯和记平台wx17|首页和记平台wx17|首页。(仅HMI和记平台wx17|首页和记平台wx17|首页、历史数据库和记平台wx17|首页、报警服务器和记平台wx17|首页和记平台wx17|首页、PLC)
                                                  • 3.控制层不应允许不必要的计算机进入和记平台wx17|首页,仅设备工程师可以进入和记平台wx17|首页。同时OPC服务器可访问指定的PLC和记平台wx17|首页。
                                                  • 4.各控制系统间隔离和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页,PLC间有联动控制。
                                                  • 5.信息处理层包括历史服务器和记平台wx17|首页和记平台wx17|首页和记平台wx17|首页、报表服务器和记平台wx17|首页、报警服务器和记平台wx17|首页、打印机和记平台wx17|首页、HMI等。

                                                  案例
                                                  图 15安全隔离区和记平台wx17|首页、访问控制的关系示意图
                                                  注:椭圆为安全隔离区,双箭头型通道为访问控制通道和记平台wx17|首页。设备工程师划入控制层隔离组不影响访问控制设计和记平台wx17|首页,因为任何访问控制不能影响正常通讯和记平台wx17|首页和记平台wx17|首页,该通的必须通和记平台wx17|首页。


                                                  十六和记平台wx17|首页、典型多个控制系统安全区/访问控制的实现
                                                  组案例
                                                  图 16安全区分层分系统设置
                                                  安全区分层分系统设置
                                                  • 设备调试工程师、2个分控制系统,PLC控制器和记平台wx17|首页和记平台wx17|首页、变频和智能仪表——控制层
                                                  • OPC实时采集——数据采集层
                                                  • 中控室信息中心——人机交换等信息处理层
                                                   
                                                  访控案例
                                                  图 17访问控制设置
                                                   
                                                  访问控制设置

                                                  • PLC间的控制联动
                                                  • 2个实时数据采集(和PLC通讯)中控室信息系统数据处理

                                                  方案
                                                  图18 方案设计实例

                                                   
                                                  文档附件:

                                                  自恒方案网络安全等保实施方案说明


                                                  工业交换机Copyright ? 2016-2021 上海自恒信息科技有限公司 版权所有
                                                  推荐产品:工业交换机 | 光纤收发器 | 工业路由器 | 工业以太网交换机 | 二层工业以太网交换机 | 三层工业以太网交换机 | 工业级sfp光?和记平台wx17|首页和记平台wx17|首页??/a>
                                                  网站地图|XML地图 备案序号:沪ICP备17046400号-1

                                                  友情链接: 揽阁信息 儿童内衣 AOI 工业CT

                                                  和记平台wx17|首页