纵深防御体系
网络安全纵深防御体系
网络安全纵深防御体系网络安全纵深防御体系是指在网络安全防护中采取一系列的多层次、多方位的防御措施,以应对不同类型的网络攻击和威胁。
其目的是通过多层次的防御策略,确保网络系统的安全性和可靠性,防止恶意攻击和数据泄露。
网络安全纵深防御体系主要包括以下几个层次的防御机制:1. 边界防御层:边界防火墙、入侵检测与防御系统(IDS/IPS)、反垃圾邮件系统等用于过滤外部网络流量,限制非授权访问和攻击的入侵。
2. 主机防御层:主机防火墙、主机入侵检测系统(HIDS)、反病毒软件、强化操作系统等用于保护服务器和终端设备,防止恶意程序和攻击利用漏洞入侵。
3. 应用防御层:网站防火墙、Web应用防火墙(WAF)、应用程序安全检测系统等用于检测和阻止Web应用程序的攻击,如SQL注入、跨站脚本攻击等。
4. 数据防御层:数据加密、数据备份与恢复、访问控制等用于保护敏感数据的机密性和完整性,防止数据泄露和篡改。
5. 内部防御层:内部网络安全监测系统、权限管理及审计系统等用于监测和防止内部人员的非法操作和恶意行为。
6. 应急响应层:安全事件管理系统、应急响应预案、安全培训与演练等用于及时发现、分析和响应安全事件,控制损失并追踪攻击源。
网络安全纵深防御体系的关键是各个层次的防御机制之间的协同工作与无缝衔接。
例如,主机防御层和边界防御层可以共享攻击信息、实施联动防御;应用防御层可以通过与主机防御层和数据防御层的结合,实现对Web应用安全的全面防护。
此外,网络安全纵深防御体系还需要持续进行监测和评估,及时发现和修复存在的安全漏洞和风险。
同时,人员培训和安全意识教育也是非常重要的组成部分,只有提高用户对网络安全的认知和警惕性,才能更好地应对各类网络攻击和威胁。
综上所述,网络安全纵深防御体系是一种综合性的网络安全防护体系,通过多层次、多方位的防御机制实现对网络系统的全面保护。
只有做好网络安全的纵深防御,才能确保网络的安全性和可靠性,保护重要数据和资产的安全。
什么是纵深防御安全的概念
什么是纵深防御安全的概念?
“纵深防御”是指一个多层次体系,如果其中一个安全措施的层次出了故障,另一个层次可以提供防护来阻止重大事故的发生,或者至少能够明显减轻其造成的后果。
在一座商业核反应堆中,至少有4至5层安全防护层。
第一层是燃料本身。
核燃料被设计得坚固而不会破裂。
例如,大多数商业燃料是用氧化铀制成的。
这种材料可以防止高放射性裂变产物的释放。
第二层通常是铀或钚燃料周围的包壳材料。
包壳材料常常由锆或某些合金制成,这些材料有助于阻止裂变产物的释放。
第三层是反应堆压力容器,通常由抗开裂或脆化的厚层钢板组成。
“脆化”的意思是容器在高能中子的长期轰击下变脆。
这一现象往往会限制核电厂的寿命,因为只有一个反应堆压力容器,必须保持它完好无损以避免冷却剂流失而造成重大事故。
科学家和工程师正在研究如何延长反应堆压力容器的寿命。
有一种机制叫“退火”,那是用热量或热能来去除脆性区域。
在美国,由于目前反应堆群体已使用了相对较长的时间,因此人们对延长这些反应堆容器的使用寿命表现出了相当浓厚的兴趣,以便查明是否会有许多反应堆能够连续运行长达80年。
目前,大部分反应堆的使用寿命只能延长到60年。
第四层是安全壳结构,那通常是用厚厚的钢筋混凝土建造的。
这个结构被设计成密闭的,以防止放射性气体释放到环境中去。
在某些新建的核电厂中可能还会有另一个保护层:第二安全壳。
还值得一提的是应急堆芯冷却系统,这是一个有助于防止堆芯熔化的保护层。
华为 纵深防御 标准
华为纵深防御标准
1. 分层防护:网络边界防护:通过防火墙、入侵检测与防御系统(IDPS)、统一威胁管理(UTM)等设备构建第一道防线。
内网区域隔离:采用VLAN划分、访问控制列表(ACL)、微隔离技术等实现不同网络区域间的访问控制和隔离。
主机层面安全:安装防病毒软件、主机入侵防御系统(HIPS),实施操作系统补丁管理、权限最小化原则。
2. 身份认证与授权:强制使用双因素或多因素身份验证,确保用户和设备的身份合法性。
实施基于角色的访问控制(RBAC),根据员工职责分配合适的资源访问权限。
3. 数据安全:加密传输与存储:对敏感信息在传输过程和静态存储时进行加密处理。
数据备份与恢复机制:建立定期备份制度,并确保灾难发生时能快速恢复业务运行。
4. 应用安全:应用程序加固:对关键应用程序进行安全审计,修复漏洞并加强代码安全性。
安全开发生命周期(SDLC):将安全纳入软件开发全过程,从需求分析到设计、编码、测试及上线运维各阶段均考虑安全因素。
5. 事件监控与响应:建立安全运营中心(SOC),实现全天候的安全事件监控、告警与响应能力。
制定应急预案,演练应对各种安全事件,提高应急处置能力。
6. 合规与审计:严格遵守国际和国内相关法律法规,如GDPR、ISO/IEC 27001等信息安全管理体系标准,持续优化内部安全管理政
策。
进行定期的安全审计,发现潜在风险并及时采取措施改进。
网络安全纵深防御
网络安全纵深防御网络安全纵深防御是一种综合利用各种技术手段,通过多层次、多维度的保护策略,从不同的角度对网络进行防御的方法。
下面将从网络安全纵深防御的概念、原则、策略和有效性等方面进行阐述。
网络安全纵深防御的概念:网络安全纵深防御是指在建立网络安全防护体系时,通过建立多个层次的安全防护策略,采取多种安全技术手段,实现对网络的全面保护和防御。
网络安全纵深防御的原则:网络安全纵深防御的原则主要有多层次原则、多层次备份原则、多层次监控原则和多层次应急响应原则。
多层次原则是指建立多个层次的安全防护策略,如网络边界防火墙、入侵检测系统、网络访问控制等;多层次备份原则是指建立多个层次的数据备份策略,确保数据的安全可靠;多层次监控原则是指建立多个层次的监控系统,实时监控网络的运行状态,及时发现异常行为;多层次应急响应原则是指建立多个层次的应急响应机制,快速响应网络安全事件,减少损失。
网络安全纵深防御的策略:网络安全纵深防御的策略主要包括网络边界防护、网络入侵检测与防范、网络访问控制、数据加密与备份、安全监控与日志分析、安全策略与培训等。
网络边界防护主要通过建立防火墙、入侵防御系统等技术手段,防止外部恶意攻击进入内部网络;网络入侵检测与防范主要通过利用入侵检测系统和入侵防御系统等技术手段,实时监测和防御网络入侵行为;网络访问控制主要通过建立访问控制策略,限制用户对网络资源的访问权限;数据加密与备份主要采用对重要数据进行加密,防止数据泄露和丢失,并进行定期备份以防止数据灾难;安全监控与日志分析主要利用安全监控系统和日志分析工具,实时监测网络运行状态和分析安全事件;安全策略与培训主要通过制定网络安全策略和开展网络安全培训,增强员工的网络安全意识和技能。
网络安全纵深防御的有效性:网络安全纵深防御能够从不同层次、不同方面对网络进行全面的保护和防御,使得攻击者很难一次性攻破所有的安全防护层面。
通过建立多层次的安全策略和采取多种安全技术手段,能够及早发现和防御网络攻击,并减少攻击对网络的影响。
网络安全纵深防御体系
网络安全纵深防御体系网络安全纵深防御体系是一种多层次、多策略的网络安全防护体系,其目的是通过逐层设置安全防护措施,提高网络安全的可靠性。
以下是一种网络安全纵深防御体系的基本框架,分为四个层次:物理层、网络层、主机层和应用层。
在物理层,主要是通过物理设备、设施等手段保护网络资源的物理安全。
例如,设置监控摄像头、门禁系统等,保护机房和服务器等重要设备;利用防火墙、入侵检测和防御系统等技术手段,保护网络传输链路的安全性和可靠性。
在网络层,主要是通过网络设备和网络协议等手段维护网络的安全。
例如,设置网络防火墙,控制和过滤网络流量,防止未经授权的访问;运用虚拟专用网络(VPN)技术,保护远程访问和数据传输过程中的安全性;采用网络隔离技术,将内外部网络进行隔离,限制攻击者在网络内部的活动。
在主机层,主要是通过操作系统、软件和安全策略等手段保护主机的安全。
例如,及时更新操作系统和应用程序的安全补丁,修补已知漏洞;禁止或限制非法用户的远程访问;设置访问控制、密码策略、安全审计等安全策略,确保主机的安全运行。
在应用层,主要是通过加密技术、访问控制和安全验证等手段保护应用程序和数据的安全。
例如,采用加密通信协议,保护数据在传输过程中的安全性;设置访问控制机制,限制用户的访问权限,防止未授权的操作;运用强认证和身份验证技术,确保用户的身份和权限的合法性。
此外,网络安全纵深防御体系还需要包括日志记录和事件响应等关键环节。
通过对网络活动的日志记录和分析,可以及时发现异常行为和入侵事件,并采取相应的响应措施;建立应急响应机制和演练计划,确保在网络安全事件发生时能够及时、有效地应对。
总的来说,网络安全纵深防御体系是一种多方位、多层次的网络安全防护策略,通过逐层设置安全措施,提高网络安全的可靠性。
这种体系需要不断地进行漏洞扫描和安全评估,及时更新和升级安全设备和系统,以应对不断变化的网络威胁和安全风险。
同时,也需要不断加强员工的安全意识和培训,提高他们的网络安全素养,共同维护网络的安全稳定。
网络安全纵深防御
网络安全纵深防御网络安全是指对计算机网络系统进行保护,防止非法入侵、病毒攻击、数据泄露等安全威胁的措施。
在互联网普及的今天,网络安全问题变得尤为重要。
为了保护网络安全,一种重要的防御策略是网络安全的纵深防御。
纵深防御是一种层层加固的防御模式,将防御措施分布在网络的各个层次上,从而提高系统的整体安全性。
纵深防御可以分为以下几个层次:物理防御层:物理防御层是网络安全的第一道防线,主要包括入侵检测系统、视频监控系统、门禁系统等。
通过这些设备,可以监控和记录网络进出口的访问情况,及时发现异常行为并采取相应措施。
网络防火墙层:网络防火墙是网络安全的第二道防线,它位于物理防御层和网络应用层之间。
网络防火墙可以根据事先设定的规则,对进入或离开网络的数据进行检查和过滤,防止未经授权的访问和攻击。
网络应用层:网络应用层是网络安全的第三道防线,主要包括操作系统的应用程序、数据库服务器、Web应用程序等。
在这一层次上,需要对应用程序进行权限管理、加密传输和漏洞修复,以保证数据的安全性。
数据加密层:数据加密是网络安全的重要手段之一,通过对数据进行加密,可以保护数据在传输过程中不被篡改和窃取。
数据加密层可以采用对称加密算法、非对称加密算法或混合加密算法等安全手段,对敏感数据进行保护。
用户教育和培训层:用户教育和培训层是网络安全的重要组成部分。
网络安全不仅仅是技术问题,还包括用户的安全意识和行为习惯。
通过培训用户,提高他们的安全意识,教育他们正确的网络使用方法和注意事项,可以减少用户对网络安全的疏忽和错误操作。
以上几个层次相互配合,形成一个完整的网络安全体系,提高网络系统的整体安全性。
纵深防御的思想是将安全防护措施分散在不同的层次上,避免依赖单一的安全手段,从而提高攻击者突破防线的难度。
然而,纵深防御并不意味着可以忽视任何一个层次的安全防护。
纵深防御需要综合考虑每个层次的安全策略,并不断更新和提升。
同时,纵深防御也需要不断进行漏洞扫描和安全评估,及时发现和修复系统中的漏洞,保持网络的安全性和稳定性。
构建企业信息安全纵深防御体系
构建企业信息安全纵深防御体系作者:张帆来源:《现代企业文化》2020年第19期中图分类号:F279 文献标识:A 文章编号:1674-1145(2020)07-134-01摘要为解决企业面临的信息安全风险,本文通过构建互联网层、内网层和组织层三层体系,达到对企业互联网应用、内网服务器及核心系统的防护,从而实现为企业的经营生产管理保驾护航的目的。
关键词信息安全纵深防御随着现代企业信息化建设的不断深入,以及国内外信息安全形势的日益严峻,各类失泄密事件、个人信息窃取事件、信息诈骗事件层出不穷……信息安全领域已逐渐成为一个没有硝烟的现代化“战场”,受到了各类企业以及政府部门的重视。
企业信息安全管理已成为企业安全管理的重要组成部分,而在信息安全方面,存在着信息安全纵深不足、缺乏专业的信息安全体系、硬件设备及防护软件漏洞等诸多问题,本文将站在管理层面,从互联网、内网、防护软件、硬件设备以及组织制度等方面,论证如何构建企业信息安全纵深防御体系。
一、构建纵深防御体系(一)互联网防御体系企业互联网入口是纵深防御的第一道防线,也是企业信息安全防护体系的重中之重。
做好互联网入口防御,对尝试对企业内网进行访问的请求进行识别、分析以及过滤和拦截,对于企业内网、桌面端信息安全都有着积极的效应,也为下一层极的网络防守打好了基础[1]。
在互联网入口处,可以集中部署安全防护设备及蜜罐系统,通过设置和部署蜜罐系统,引诱和收集来自互联网的攻击信息,与此同时,借以隐蔽企业的高价值目标[1]。
其次,可以对企业互联网的DMZ区部署做适当调整,通过新增企业互联网出口服务器、启用企业VPN平台、分离企业互联网应用向外部提供服务的网页数据流和APP数据流等手段,分散互联网侧的防御压力。
(二)内网防御体系内网防御主要针对突破第一层防线以及从内网发起的危险行为进行识别和诱捕。
保护部署在企业内部的系统服务器,逻辑隔离内网办公电脑,避免因系统漏洞、用户弱口令、未及时关机锁屏等情况照成防守风险。
网络安全纵深防御体系
网络安全纵深防御体系网络安全纵深防御体系是指通过多层次、多维度的安全措施和技术手段,全面防范和抵御网络安全攻击和威胁的一种安全防护体系。
它通过不同层次的安全措施和技术手段来建立多重防线,形成一个相互支持、结合紧密的网络安全保护体系,从而提高整体的安全性和防护能力。
下面将结合实际案例,详细介绍网络安全纵深防御体系的建立。
网络安全纵深防御体系主要包括以下几个层次的安全措施和技术手段:首先是物理层面的安全措施。
物理层面的安全措施主要包括对网络基础设施的保护,如防火墙、入侵检测与防御系统(IDS/IPS)、防病毒网关等。
这些设备可以对网络流量进行实时检测和过滤,防止恶意流量进入内部网络,提高网络的安全性。
其次是网络层面的安全措施。
网络层面的安全措施主要包括虚拟专用网络(VPN)、网络隔离、入侵检测与防御系统(IDS/IPS)等。
通过建立安全的网络通信通道,对内外部网络进行隔离,有效防止未经授权的用户访问内部网络,提高网络的安全性。
再次是应用层面的安全措施。
应用层面的安全措施主要包括访问控制、身份认证、数据加密等。
通过对访问者进行身份认证,并对访问权限进行细致的控制,保护网络中的敏感信息免受未经授权的访问。
最后是人员层面的安全措施。
人员层面的安全措施主要包括安全培训、安全意识教育、安全操作指南等。
通过对员工进行安全培训和教育,提高员工的安全意识,减少员工因操作不当导致的安全漏洞。
综合以上安全措施和技术手段,可以建立一个相对完善的网络安全纵深防御体系。
例如,在物理层面,可以通过部署防火墙和入侵检测与防御系统,及时检测和拦截恶意流量。
在网络层面,可以通过建立虚拟专用网络和网络隔离,实现内外部网络的隔离,降低网络攻击的风险。
在应用层面,可以通过访问控制和数据加密,保护敏感信息的安全性。
同时,通过对员工进行安全培训和教育,提高员工的安全意识,减少安全漏洞的产生。
网络安全纵深防御体系在实践中已经得到广泛应用。
通过对不同层次进行综合防护,可以有效提高网络的安全性和防护能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
采用纵深防御体系架构,确保核电可靠安全(缪学勤)Adopting Defence in depth Architecture,Ensuring the Reliability and Securityof Nuclear Power摘要:核电安全关系国家安全,在建设核电厂时应优先考虑核电厂网络信息安全。
由于工业网络安全有更高要求,所以工业网络开始转向基于工业防火墙/VPN技术相结合的硬件解决方案。
深入分析了核电厂网络安全的主要威胁,比较全面地论述了工业网络信息安全中涉及的主要技术和解决方案,阐述了核电厂全数字化控制系统信息安全多层分布式纵深防御解决方案。
采用基于硬件的信息安全技术,创建核电厂纵深防御体系架构,确保核电厂可靠安全。
关键词:核电厂信息安全黑客攻击硬件解决方案纵深防御体系架构0 引言近年来,黑客攻击工厂企业网络的事件逐年增加。
据信息安全事件国际组织不完全统计,多年来世界各地共发生162起信息安全事件。
近几年,美国公开报道的、因黑客攻击造成巨大损失的事件多达30起。
据说,由于各种原因,还有很多起事件中的受害公司不准报道,保守秘密。
其中,2008年1月,黑客攻击了美国的电力设施,导致多个城市大面积停电,造成了严重的经济损失。
由此使得工业网络的信息安全成为工业自动化领域新的关注热点。
1 核电厂开始面临黑客攻击的威胁2010年6月,德国专家首次监测到专门攻击西门子公司工业控制系统的”Stuxnet(震网)”病毒。
该病毒利用Windows操作系统漏洞,透过USB传播,并试图从系统中窃取数据。
到目前为止,”Stuxnet”病毒已经感染了全球超过45000个网络,主要集中在伊朗、印度尼西亚、印度和美国,而伊朗遭到的攻击最为严重,其境内60%的个人电脑感染了这种病毒。
最近,经过大量数据的分析研究发现,该病毒能够通过伪装RealTek和JMicron两大公司的数字签名,从而绕过安全产品的检测;同时,该病毒只有在指定配置的工业控制系统中才会被激活,对那些不属于自己打击对象的系统,”Stuxnet”会在留下其”电子指纹”后绕过。
由此,赛门铁克公司和卡巴斯基公司网络安全专家认为,该病毒是有史以来最高端的”蠕虫”病毒,其目的可能是要攻击伊朗的布什尔核电厂,如图1所示。
因为这种”Stuxnet”病毒的目标是攻击核电站,所以被形容为全球首个”计算机超级武器”或”网络炸弹”。
”Stuxnet蠕虫”病毒专门寻找目标设施的控制系统,借以控制核电设施的冷却系统或涡轮机的运作,最严重的情况是病毒控制关键过程并开启一连串执行程序,使设施失控,最终导致整个系统自我毁灭。
受”Stuxnet”病毒的影响,伊朗布什尔核电厂于2010年8月启用后发生了一连串的故障。
但由于发现得早,并及时采取措施,才没有造成严重后果。
由此可见,出于各种目的一些黑客开始向工业领域渗透,把关键基础设施(如电力、核电、化工、炼油等)的工业控制系统作为攻击目标。
在这种情况下,美国发电厂和大型电力企业对网络安全特别重视。
2009年,美国联邦能源管理委员会FERC(Federal Energy Regulatory Commission)正式批准了CIP002~CIP 009关键基础设施保护8个强制性标准。
CIP标准由北美电力可靠性保护协会NERC(North American Electric Reliability Council)负责制定。
该标准是对大型电力系统有着深远影响的网络安全标准,标准规定了大型电力系统确保进行安全可靠信息交换所需的最低要求。
美国联邦能源管理局向电力企业下达命令:每个发电、输电和配电部门,无论是否属于关键资产部门,都必须在2009年年底之前履行这些条例。
电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。
不符合该标准的情况一经发现,企业可能被处以高达每天100万美元的罚款。
随着核电厂数字化、智能化程度的提高和新的通信方式的出现,核电厂信息安全防护难度不断增加。
为了应对核电厂信息安全新的挑战,美国核能研究院NEI(Nuclear Energy Institute)于2007年5月发布了”核电厂网络信息安全导则”(Cyber Security Guidance for Nuclear Power Plants)白皮书;同年12月,美国核管理委员会NRC(Nuclear Regulatory Commission)颁布了DI&C ISG01”核电厂网络信息安全”(CyberSecurity)过渡性审查导则,高度重视核电厂信息安全。
2 核电厂全数字化控制系统核电站全数字化控制系统是以工业网络为中心实现的实时分布式系统。
系统采用分散控制、集中管理的分层分布式控制结构,包括运行和控制中心系统、电厂控制系统、保护和安全检测系统、多样化驱动系统、数据显示和处理系统以及堆芯仪表系统等子系统。
控制系统由工程师站、操作站、现场控制站、通信控制站、打印服务站、系统服务器、管理网络以及系统网络等组成。
核电厂全数字化控制系统构成如图2所示。
图2 核电厂全数字化控制系统构成简图整个系统是基于Client/Server体系结构的大型分布式控制系统,从逻辑结构上划分,系统共分为现场采集控制层、监控层和管理层三层网络。
管理层采用TCP/IP以太网;在监控层,操作站、工程师站、中央处理服务器以及不同系统之间采用工业以太网,有很强的网络互联能力;现场采集控制层采用高速现场总线。
反应堆保护安全级系统与非安全级系统之间数据通信通过安全级网关执行。
从而可以看出,整个系统的网络信息安全大多采用普通IT领域网络信息安全技术,面对日益严重的黑客攻击威胁,这些措施很难实现有效防御。
3 核电厂网络信息安全威胁分析核电厂网络信息安全的潜在威胁主要来自黑客攻击、数据操纵(datamanipulation)、间谍(espionage)、病毒、蠕虫和特洛伊木马等。
①黑客攻击是通过攻击核电厂自动化系统的要害或弱点,使得核电厂网络信息的保密性、完整性、可靠性、可控性和可用性等受到伤害,造成不可估量的损失。
黑客攻击又分为来自外部的攻击和来自内部的攻击。
来自外部的攻击包括非授权访问(指一个非授权用户的入侵)和拒绝服务DoS(denial of service)攻击(即黑客想办法让目标设备停止提供服务或资源访问)。
这样一来,设备便不能执行它的正常功能,或它的动作妨碍了别的设备执行其正常功能,从而导致系统瘫痪,停止运行。
来自内部的安全威胁主要是指由于自动化系统技术人员技术水平的局限性以及经验的不足而可能导致各种意想不到的操作失误,其势必会对系统或信息安全产生较大的影响。
严重黑客攻击的性质已经从单纯的娱乐扩展到了犯罪、恐怖主义,甚至国家赞助的间谍活动。
在这种情况下,核电厂自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
黑客攻击工业网络如图3所示。
图3 黑客攻击工业网络②数据操纵,即冒充自动化系统的授权用户或系统的组成部分,实施对自动化系统数据的截获、重放或篡改,并导致一种非授权的后果,造成重大损失。
③计算机病毒是指编制或者在计算机程序插入的破坏计算机功能或者毁坏数据的、影响计算机使用并能够自我复制的一组计算机指令或者程序代码。
按传染方式划分,计算机病毒可划分为引导型病毒、文件型病毒和混合型病毒。
计算机病毒的破坏性主要有两个方面:一是占用系统的时间和空间资源;二是干扰或破坏系统的运行、破坏或删除程序和数据文件,甚至破坏硬件。
④蠕虫病毒是网络病毒中出现最早、传播最广泛的一种病毒类型。
蠕虫病毒是利用网络缺陷进行繁殖的病毒程序,它们能利用网络,从一台设备传播到其他设备,并自动计算网络地址,不断自我复制,通过网络发送造成网络阻塞,使网络服务器不能访问,甚至造成系统瘫痪。
对于工业自动化系统来说,当蠕虫病毒大规模爆发时,交换机和路由器首先会受到影响,蠕虫病毒攻击能够导致整个网络的路由振荡,可能使信息管理层网络的部分流量流入工业以太网,增加其通信负荷、影响其实时性。
在控制层,工业以太网交换机连接的设备终端一旦感染病毒,病毒发作就会消耗带宽和交换机资源。
⑤特洛伊木马病毒,顾名思义,就是一种伪装潜伏的网络病毒,等待时机成熟就出来进行破坏。
木马能修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的发作要在用户的设备里运行客户端程序,一旦发作,就可设置后门,将该用户的隐私定时地发送到木马程序指定的地址,一般同时还内置可进入该用户设备的端口,并可任意控制此计算机设备进行文件删除、复制和修改密码等非法操作。
4 IT信息网络和工业自动化网络间主要差别众所周知,在办公应用环境,计算机病毒和蠕虫往往会导致公司网络故障,因而办公网络的信息安全越来越受到重视,通常采用杀毒软件和防火墙等软件方案解决安全问题。
在工业应用环境中,恶意软件的入侵将会造成生产线停顿,导致严重后果。
因此,工业网络安全有更高的要求,办公应用的信息安全解决方案已不能满足这些要求。
办公网络与工业网络主要的差别如表1所示。
表1 办公室和工业环境中信息安全解决方案的要求5 工业网络信息安全转向硬件解决方案5 1 网络安全软件解决方案早期,工业自动化系统曾采用办公环境使用的网络安全软件解决方案。
软件主要包括杀毒程序,它们通常被安装在基于Windows的控制器、机器人或工业PC上。
但是,由于在工厂中各种各样的设备大多是混合使用的,因此,它们之间可能会产生相反作用,从而影响被保护的系统。
例如,美国的一家过程自动化工厂在一台工业PC上安装了杀毒程序,该杀毒软件妨碍了一个重要锅炉系统的紧急停机,导致了严重后果;另一个例子是某制造工厂在多台工业PC上安装了杀毒程序,由于多个杀毒软件执行时进程之间可能会发生冲突,使得工厂的流水线不能启动,造成巨大损失。
5 2 工业网络安全硬件解决方案为了确保工业自动化系统的信息安全,工业网络目前都转向采用基于硬件的防火墙和VPN(virtual private network)技术。
硬件防火墙主要是在优化过的Intel架构的专业工业控制计算机硬件平台上,集成防火墙软件形成的产品。
硬件防火墙具有高速、高安全性和高稳定性等优点。
硬件平台一般均采用几百兆甚至上千兆的高速CPU芯片,以多芯片模式工作,个别甚至采用了ASIC芯片来提高系统的处理能力;硬件平台的操作系统一般针对安全需要作了最小化优化,并且结合防火墙这一唯一的功能环境要求,在采集数据包的底层驱动上也作了优化。
在存储方面,采用Flash存储,使系统的关键数据存储相对传统技术,在读写速度和稳定性上都有很大提高。
另外,加固的设备外壳、标准的设计尺寸以及优化的电源,使硬件防火墙更适用于大型工业生产环境。