等保2.0标准在2019年5月发布,并于2019年12月开始正式实施。等保2.0标准中对网络隔离做了详细要求,网络隔离涉及到网络架构、边界防护和访问控制三个方面,从等保2级开始,就对网络隔离做出了明确的隔离要求,尤其是针对工业控制系统的安全扩展要求,对网络隔离有更严格的要求。等保3级和4级做了更详细的要求说明,为了简化篇幅,不再分级别一一陈述,等保2.0中关于网络隔离的要求摘要如下:防护对象 | 防护分类 | 网络隔离相关要求摘要 |
安全通信网络 | 网络架构通用安全要求 | 1)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 2)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 |
工业控制系统安全扩展要求 | 1)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用符合国家或行业规定的专用产品实现单向安全隔离。 2)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。 3)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。 |
安全区域边界 | 边界防护通用安全要求 | 1)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 2)应能够对非授权设备私自联到内部网络的行为进行检查或限制。 3)应能够对内部用户非授权联到外部网络的行为进行检查或限制。 4)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 5)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断。 6)应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信。 |
访问控制通用安全要求 | 1)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 2)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量 4)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 5)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。 |
工业控制系统安全扩展要求 | 1)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。 2)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。 |
为了控制今年突发的新冠肺炎疫情,武汉于2020年1月23日开始实施出行禁令,全国各地也陆续启动了重大突发公共卫生事件一级响应,其中采用的最重要最有效的应对措施就是隔离。应对病毒传播,隔离是最简单的最有效的防御措施。在网络安全领域,网络隔离也是最简单、最有效的防御措施。计算机世界的病毒和人类世界的病毒的传播特征完全一致,通过隔离,可以有效限制计算机病毒的扩散,也就限制了病毒的繁殖能力,就基本控制了病毒的发展,把病毒的影响限制在有限的网络空间里,有效降低了病毒带来的危害。网络隔离就是将一组相关的资源划到一个安全域中,这组资源业务相关、风险等级相同,对这个安全域的资源可以制定更有针对性的安全策略,也方便对这些资产进行管理。随着计算机网络的发展,业务越来越多样化,无法使用同一套防护措施保护整个网络的安全,就需要根据网络资产的重要级别和业务相关性,制定差异化的防护方案。所以网络隔离是网络安全的基础。网络隔离具有大小不同的粒度,即隔离后的安全域可大可小。比如,一个公司可以作为一个大的安全域,公司的部门或厂区就是一个中等规模的安全域,具体一套业务系统,甚至具体的几台服务器就构成了更小规模的安全域。安全域越小,防护越有针对性,但是管理也越复杂。对于有目的的入侵攻击,比如APT攻击,网络隔离可以加大入侵攻击的难度,有效阻止或限制入侵者的行动空间,所以网络隔离是建立纵深防御体系的基础。大部分网络隔离的场景并不是要完全隔断,还是需要进行必要的数据交换。如果某台设备完全不需要和外界通讯,那它肯定是最安全的,但实际的业务系统中基本不存在这样的孤立系统,所以网络隔离的核心是保证安全可控的数据交换。不同的网络隔离技术进行数据交换的机制也不一样,大体上可以分为2大类:物理隔离和逻辑隔离。物理隔离是指网络之间没有物理通道,进行数据交换时需要经过中介进行“摆渡”,使用私有协议或特制通道进行数据交换,代表产品是网闸。逻辑隔离则允许网络之间建立连接通道,通过软件技术手段对传输的数据的进行筛查控制,最典型的就是基于ACL五元组(源IP、源Port、目的IP、目的Port和传输协议)的访问控制。逻辑隔离的产品比较多,代表产品包括路由器、防火墙、交换机等,大都支持某种方式的逻辑隔离。网络隔离以后,就出现了明确的网络边界,针对网络边界就可以进行安全防护和访问控制,这是最基本的也是行之有效的网络安全防护策略。没有网络隔离,就没有边界,就没有安全域,网络防护也就无从做起。路由器的本质就是连接沟通多个网络,在网络间起网关的作用,控制网络之间数据的交换。大家的传统印象中都把路由器作为一个连接设备,其实路由器也是一个隔离设备,有些路由器增加了安全功能,已经可以满足基本的边界隔离需求。路由器一般是一个企业的网络入口,有些小型企业可以使用附带路由功能的防火墙作为企业入口的路由设备,大型企业的内部不同机构之间也会通过路由器连接。
路由器工作在OSI参考模型第三层,即网络层,通常连接两个或多个IP子网。路由器从某个端口收到数据包后,解析收到报文中的源IP地址和目的IP地址,根据内部维护的路由表,决定输出端口以及Next hop地址,然后按规则转发数据包。所以,路由表定义了数据交换的基本规则,控制了跨越网络边界的访问和数据流,是网络隔离的基础控制点。根据创建方式不同,路由表的内容分为静态路由和动态路由。静态路由是管理员人工配置的固定路由,静态路由优先级最高。静态路由的优点是简单、高效、可靠。由于静态路由需要手动配置,所以只有在网络规模不大、拓扑结构相对固定的网络中使用静态路由。动态路由是路由器根据实时的网络拓扑变化,利用路由选择协议,动态计算更新的路由表内容。动态路由的优点是大大减少了管理任务。由于动态路由可以自动化调整,在互联网和其他大型网络中得到广泛应用。另外,现在大部分路由器已经集成了很多的安全功能,比如ACL、VPN等功能。所以路由器不仅是安全域的边界,也是安全域的第一道防守。最后必须指出,路由器的核心功能是路由,虽然集成了安全功能,能起到网络隔离和防护的作用,但是对于大型网络来说,还是需要在网络边界配置防火墙进行安全防护。VLAN的英文全称是Virtual LAN,即虚拟局域网。通过划分多个VLAN,把一个局域网分隔为多个虚拟的局域网,分隔不同用户和计算机,可以有效提高网络安全性。比如财务部、研发部、市场部等最好划分单独的VLAN,独立管理,避免互相干扰,也可避免窃听泄密。我们现在使用的以太网本质是一个广播网,如果网络中节点过多,很容易引起广播风暴。VLAN不仅可以限制广播报文,也可以限制VLAN之间的数据流,不同VLAN之间的计算机不能直接通信,需要经过路由才能建立连接。VLAN隔离通常由交换机来实现。根据VLAN划分的规则,VLAN通常工作在OSI参考模型第二层链路层,为了配置方便,也可能利用第三层网络层的一些特性。VLAN协议通过在以太网的链路层头部加入特殊的标记,用以标识该报文所属的VLAN。交换机根据这个标记决定报文允许传播的范围。
1、基于接口划分:针对交换机的接口配置不同的VLAN,交换机控制只有同一个VLAN的接口之间允许数据互通。2、基于MAC地址划分:针对接入设备的MAC地址配置不同的VLAN,这个设备只要在本网络内接入,不管物理位置在哪,都归属于原来设置的VLAN。这种方法大大提高了终端用户的安全性和接入的灵活性。3、基于子网IP地址划分:针对不同的IP地址配置不同的VLAN,交换机收到的IP报文后检查是否携带VLAN标签,交换设备会根据报文中的源IP地址,自动添加其所属的VLAN信息。根据指定网段或IP地址划分VLAN的方法大大提升了管理的便捷性。4、基于匹配策略(MAC地址、IP地址、接口)划分:综合配置MAC地址、IP地址和交换机的端口,关联不同的VLAN。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,如果IP地址或MAC地址有任何变化,都不再属于该VLAN,原来的设备将再根据条件查找对应的VLAN,如果没有符合条件的VLAN,就无法接入网络。VPN的英文全称是Virtual Private Network,即虚拟专用网,指在公用网络上建立专用网络的技术,也被称为“广域网中的局域网”。前面我们讲的几种隔离技术主要都是隔离各个子网,而VPN的主要应用是在互联网上隔离出一条子网之间通信的专用通道,类似在市区主干道上划出来的公交专用道。VPN是采用特殊标记构建隧道,在公共数据网络上虚拟了一条点到点的专用通道。所谓虚拟,是指运营商并没有划分实际的物理链路,而是利用已有的Internet网络进行传输。所谓专用通道,是指这个通道内的IP地址、数据都是私有的,从外界看不到内部的数据内容。VPN功能一般由网络边界的防火墙或路由器提供,也可以由单独的VPN设备提供。VPN的主要应用场景:远程运维接入、远程办公、企业分支机构之间通信,示例如下:
目前比较常见的VPN技术主要是IPSec VPN和SSL VPN。IPSec VPN一般在两站点间创建隧道提供网络之间的直接接入,对网络的访问是透明的。它在IP层实现数据加密和验证,可以提供接入验证、访问控制、数据完整性校验、数据机密性保证、抗重放保护等安全服务。IPsec加密后的数据包看上去仍然是普通的IP数据包,对上层应用完全透明,所以IPSec VPN在Intemet上的应用场景非常广泛。一般公司的分部门之间适合采用IPSec VPN通道进程数据安全传输,由网络边界的防火墙或者专用的IPSec VPN设备提供服务。SSL全名叫Secure Session Layer,即安全会话层,最开始是给HTTP加密使用的安全套件,也就是HTTPS。由于HTTPS具备安全性,也具备传输数据的能力,逐渐被借用于组建SSL VPN。SSL VPN虽然也能包装支持IP和UDP,但是效率较差,所以不如IPSec VPN具有通用性。但是SSL VPN不需要安装客户端软件,直接通过浏览器就可以建立连接,而且可以支持细粒度的控制策略,比较适合远程办公或运维的场景。防火墙一般作为内部网络与外部网络之间,或者内网不同安全域之间的隔离设备,是被大家广泛接受的网络安全产品。防火墙最基本的功能是通过包过滤功能控制不同网络之间的通信,只允许符合策略要求的报文通过,后续逐渐发展出了应用代理,动态包过滤等技术。
工业防火墙是应用于工业控制网络环境中的防火墙,工业防火墙最显著的特征是对工业协议的识别和解析,从而实现对工业协议的规约检查和过滤功能,以及对工业环境的适应性。工业领域的生产管理层、过程监控层、现场控制层之间,以及监控层内不同业务之间,一般都需要使用工业防火墙进行隔离防护。防火墙的主流技术包括包过滤、应用代理和状态监测。其中包过滤技术主要依靠网络协议的五元组进行判断,可以满足等保2.0要求的“对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出”,状态监测技术则依靠会话连接状态辅助判断,可以满足等保2.0要求的“能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力”。
| 包过滤 | 应用代理 | 状态监测 |
实现原理 | 一般基于网络层的五元组进行判断,决定放行或阻止报文。 | 基于应用层实现应用代理,作为内外网通信的中介,全权检查通信的所有内容,决定放行或阻止报文。 | 将同一连接的所有报文看做一个数据流,构成连接状态表,通过检查规则表与状态表,对表中的各个连接状态要素进行识别判断,决定放行或阻止报文。 |
优点 | 容易实现,费用少,对性能的影响不大,对流量的管理较出色。 | 通信双方完全隔离。 通信全权代理,能提供更高级别的安全检测和安全控制。 | 对应用透明。 基于连接状态判断,性能较好,比包过滤技术的安全性更好。 |
缺点 | 过滤规则表难以维护,容易出现漏洞。 缺少身份验证机制。 不能进行应用层的深度检查,不能发现传输的恶意代码及攻击数据包。 包过滤技术容易遭受源地址欺骗。 | 工作在OSI模型最高层,性能较差。 很难支持所有的应用层协议。 作为应用层代理,经常需要用户修改应用配置,易用性较差。 | 过滤规则表难以维护,容易出现漏洞。 缺少身份验证机制。 不能进行应用层的深度检查,不能发现传输的恶意代码及攻击数据包。 |
网闸的英文名为GAP,源于英文的"Air Gap",充分体现了物理隔离的概念,最早出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的安全问题。网闸是单向隔离技术的典型代表产品,等保2.0的三级防护要求中提出:“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”。3. 工业系统的生产控制区域和管理信区域之间,尤其是电力二次系统明确要求采用单向隔离装置。网闸内部一般采用专用隔离硬件,在双向传输的基础上修改电路,实现数据单方向的写入和读出,从而实现数据的单向传输。早期的网闸一般利用单刀双掷开关,即存储数据的中介在同一时间只能和内网或者外网相连,以此保证分时存取数据,完成数据交换。就像现在的快递员,先把快递放入快递柜,然后我们再到快递柜拿快递,我们和快递员之间没有直接接触。随着技术的发展,专用交换通道PET(Private Exchange Tunnel)技术逐渐成熟,PET技术综合利用高速硬件通信卡、私有通信协议和加密签名机制来实现数据交换,保证数据的机密性、完整性,数据处理性能大大提升,让网闸在复杂网络环境中的应用越来越广泛。物理隔离网闸主要由三部分组成:外网处理单元、内网处理单元、隔离与交换控制单元。体系结构如下图所示:
内网处理单元:由内网接口单元与内网数据缓冲区组成,接口部分负责与内网的连接,并终止内网用户的网络连接。有些网闸在这里会对数据进行身份认证、病毒检测、入侵检测,剥离出安全的“纯数据”,为后续交换做好准备。数据缓冲区用来存放剥离后的数据,与隔离交换单元进行数据交换。外网处理单元:与内网处理单元功能相似,主要区别是处理外网连接。隔离与交换控制单元:负责数据的摆渡控制,相当于数据交换中的摆渡船。控制单元作为内外网之间的中介,保证数据交换区在任意时刻只能与内网或者外网其中一个建立连接,形成空间间隔GAP,实现物理隔离。随着光通信的发展,利用光传输的单向性,产生了光闸用于安全隔离和数据单向传输。光纤网卡的光发射、光接收是完全独立的两条光纤条件,将其中一条光纤截断,就可以实现物理上的单向传输,具有极高的安全性。光纤通信只需考虑光强度,而不存在差错,系统可靠性进一步提升。光闸主要由三部分组成:内网处理单元、外网处理单元和分光器,分光器负责完成数据的单向传输,体系结构如下图所示:
内网接口和外网接口都采用标准的以太网接口,内网接口收到数据后,经内网处理单元处理,将数据通过光纤发送到分光器;分光器反馈接收数据,内网处理单元收到后进行校验,确保数据发送无误;分光器把数据通过单向光纤发送给外网处理单元,外网处理单元把光信号转换为标准的以太网信息转发出去,从而实现数据的单向传输。在什么地方做隔离完全依赖于网络安全域的设计,从根本上决定了网络隔离的安全效果——网络隔离的本质就是安全域的划分。
网络安全域是指网络内具有相同的安全保护需求,风险等级一致,彼此相互信任的子网或网络,同一个安全域一般使用相同的边界防护策略。网络隔离的根本目标是为了保护企业的生产经营业务,所以是在保障业务正常运行和运行效率的基础上进行安全防护。在业务上紧密相关需要紧密联系的网络资产原则上应划分在一个安全域中。比如财务部门的网络和研发部门的网络一般应隔离出来不同的安全域,但研发团队和测试团队的网络则可以划分到一个安全域。网络结构越简单,越容易理解,越有利于设计安全防护方案。安全域粒度越细,防护措施就可能越细,但是也会导致安全域数量过多,增加管理的复杂度,导致安全策略不能很好的管理,反而会带来安全隐患。价值相近、具有相同或相近的安全等级的资产最好划分到一个安全域,比如涉密网络和不涉密网络应隔离出来不同的安全域。等保2.0倡导的等级保护政策也是类似的思路。安全域的主要对象包括网络及计算节点,随着技术的发展,现在的计算节点很容易突破网络边界,出现非法外联或非法内联的情况,针对安全域防护时,要充分扩展网络边界的概念。比如安全域的防护不仅要考虑传统的边界防火墙,也要考虑主机的非法外设(外接无线网卡等)、非法主机接入等。安全不是一劳永逸的事,要根据网络的变化随时更新安全域,修正隔离方案和策略,确保隔离有效、安全域足够安全。
1) 整个企业网依靠边界路由器和中心防火墙与外网隔离。2) 中心防火墙同时分隔了企业资源层的不同区域:安全域1为DMZ区域,对外网提供公共的Web服务、Email服务等;安全域2为企业办公区域。3) 生产管理层单独划分为安全域3,主要负责业务生产的安排调度等,依靠防火墙和企业资源层、过程监控层隔离。4) 因为变电站地域分布很广,超过了局域网的范围,需要使用VPN连接变电站和生产管理层。5) 每个变电站是一个整体安全域,根据工控特点,这个域由2个安全域组成,分别是实时控制区和非实时控制区。这些安全域依靠防火墙和路由器做隔离。
1) 整个企业网靠路由器和防火墙与外网隔离,防火墙也可以同时分隔办公网的不同业务。2) 办公网与数采网靠防火墙隔离,数采网主要完成对石油石化生产流程数据的实时采集和处理。3) 数采网分为2个安全域,安全域2存放实时数据库等系统,可以供办公网分析访问;安全域3包括数采机及操作配置平台,为了保护生产系统,安全域2和安全域3之间靠网闸进行单向隔离,只允许采集的数据上传,不允许对生产系统下发任何数据,保护生产系统的安全。4) 控制网的安全域4、安全域5、安全域6负责实际的工业生产,因为业务独立,所以独立划分为安全域。这些安全域都靠防火墙进行安全隔离。
1) 整个企业网靠边界路由器和中心防火墙与外网隔离。2) 中心防火墙同时分隔了企业资源层的不同区域:安全域1为DMZ区域,对外网提供公共的Web服务、Email服务等;安全域2为企业运营资源区域,主要包括财务、供应链等业务。3) 生产管理层单独划分为安全域3,主要负责业务生产的安排调度等,依靠防火墙和企业资源层、过程监控层隔离。4) 将过程监控层的集中过程监控部分划分为安全域4,依靠安全交换机和现场控制层及现场设备层的安全域分隔。安全交换机具有VLAN、ACL、IP和MAC绑定等安全功能,可以用作安全域之间的安全隔离。5) 现场控制层和现场设备层,业务关系密切,需要经常进行数据通信,为保证生产,划分为一个安全域。不同的厂区或车间可以独立划分安全域,类似图中的安全域5、安全域6、安全域n等。威努特的工业防火墙既可以在网络边界进行隔离防护,也可以在网络内部隔离不同的生产区域。通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输。为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。威努特的工业防火墙具有如下特点:1)满足工控行业的合规性要求,对工业网络实施安全域划分、逻辑隔离和访问控制,满足行业政策法规及技术要求。2)防范外部恶意攻击,避免生产监控网被攻击,造成操作指令被篡改或下发失败,导致重大安全生产事故、人员伤亡和社会影响。3)杜绝内部安全隐患,有效检测工控网络中的异常操作行为并加以阻止,避免异常停车事故。
威努特的安全隔离与信息交换系统是实现工业网络环境中不同安全级别网络之间数据安全交换的隔离系统,该产品通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。威努特的隔离网闸具有如下特点:1)满足政策法规有关安全隔离的相关技术要求,在保证安全隔离的前提下,实现数据的安全交换,满足国家及行业对于安全隔离的相关政策法规要求。2)提高了不同安全级别间的数据传输效率,在保证安全的情况下,将原本通过人工方式(光盘、公文交换等)进行数据交换的方式转变为自动“摆渡”,提高数据交换效率。3)提高了不同安全级别间的数据安全性,弥补防火墙等逻辑隔离产品的安全性差的缺陷,采用物理隔离的方式,实现正常业务数据的安全交互。
威努特工业互联防火墙基于自主可控的操作系统和高性能硬件平台,采用访问控制、入侵防御、病毒过滤等融合的安全技术,重点保护工业网络中互联网边界、MES层边界,发现并阻断防非法流量和网络攻击行为,保护工业网络内部核心设施,从而构建可管、可信和可视的工业网络系统,为工业用户提供安全智能的边界安全防护方案。
威努特工控主机卫士产品针对工业现场主机进行可执行程序管理和外设接口管理。工控主机卫士可以控制主机的USB口、串口等对外的接口,阻止外接非法设备联接互联网,防止网络边界从内部突破。工控主机卫士可以防止病毒木马等恶意程序感染,采用不同于传统防病毒软件的轻量级“白名单”机制,系统资源占用小,不影响工控系统监控软件和组态软件的正常使用,可有效阻止包括STUXNET、Flame、Havex、WannaCry、BlackEnergy等工控恶意程序或代码在工控主机上的执行、扩散。所以,工控主机卫士满足国家信息安全等级保护和分级保护标准中关于安全计算环境的相关技术要求,还可以辅助增强对网络边界的保护。
威努特简介北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有51项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
渠道合作咨询 张先生 18201311186
稿件合作 微信:Luo_xiaoran