"

                                ✅爱游戏体育|官网登录 ✅㊣全球最大,最信誉的线上综合平台✅爱游戏体育|官网登录 ✅千款游戏,砖石级服务,爱游戏体育|官网登录 ,欢迎各界玩家加入体验!

                                                              "

                                                              ?服务电话:021-60712276

                                                              疑问解答

                                                              自恒方案网络安全等保实施方案说明

                                                              深度澄清网络安全等保技防措施
                                                              ——您的网络防护方案与网络病毒原理相关吗?加了防护措施为何威胁仍会存在?

                                                              方健
                                                               

                                                              一、从网络攻防原理上阻止网络攻击(引用百度百科)

                                                              木马病毒
                                                              图 1后门攻击和木马病毒
                                                               
                                                              蠕虫病毒
                                                              图 2漏洞攻击和蠕虫病毒

                                                              根据基本网络攻防原理,选择网络病毒无法规避的防护和检测方式爱游戏体育|官网登录 ,确保网络安全
                                                              1. 常规是IP或协议作为访问控制的过滤条件(可规避)爱游戏体育|官网登录 爱游戏体育|官网登录 ,我们采用VLAN标签作为访问控制的过滤条件,木马程序无法规避
                                                              2. 常规是代码特征作为漏洞攻击的判断条件(可规避)爱游戏体育|官网登录 ,我们采用主机扫描攻击(IP扫描)判断条件爱游戏体育|官网登录 爱游戏体育|官网登录 ,蠕虫无法规避
                                                              3. 采用的技术针对已激活的网络病毒(自主上网功能)爱游戏体育|官网登录 ,未激活的网络病毒和和其它病毒通过共享文件机制传播合攻击(代码检测是杀毒软件的强项,主要由计算机软件防护)

                                                              二、网络交换产品技术优势和来源(权威检测)

                                                              网络病毒规避访问控制和漏洞攻击检测的方法繁多爱游戏体育|官网登录 爱游戏体育|官网登录 。如:重构和重编译代码(仅勒索病毒就有上百种)去代码特征处理爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,尝试或侦听被劫持网关并选择许可上网的IP和通讯协议爱游戏体育|官网登录 ,零日漏洞等等爱游戏体育|官网登录 。根据攻防原理爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,选择网络攻击无法规避的检测和防御措施才能真正阻止网络攻击爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              公安验证
                                                              图 3公安三所检测报告

                                                              技术来源(自研)
                                                              a.采用VLAN标签的用户组技术(访问控制技术):同组用户互通爱游戏体育|官网登录 、不同组成员隔离。成员可加入不同的用户组爱游戏体育|官网登录 。专利号:201910564112.2
                                                              b.采用防主机扫描技术,可对扫描源(IP或端口)进行告警和隔离爱游戏体育|官网登录 。专利号:201910564113.7
                                                              防护技术特点:
                                                              1. 没有二次计算检测的延时爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,不影响通讯实时性爱游戏体育|官网登录 ,是主动防御技术
                                                              2. 防得住爱游戏体育|官网登录 ,从网络攻击的基本原理上解决问题,阻止APT攻击爱游戏体育|官网登录 。
                                                              3. 工作原理不同于其它网络安全设备爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,不影响其它网络安全检 测设备的使用爱游戏体育|官网登录 爱游戏体育|官网登录 ,功能上完全互补爱游戏体育|官网登录 。
                                                              4. 安全区和访问控制可以按系统、分系统爱游戏体育|官网登录 爱游戏体育|官网登录 、物理位置混合设置爱游戏体育|官网登录 ,防护灵活,单台交换机也能构成完整防护
                                                               
                                                              三爱游戏体育|官网登录 、网络安全等保对网络要求的响应(1-4级)

                                                              常规网络安全检测:
                                                              a.常规的访问控制检测-主要用于检测通讯协议(软件端口号、网络传输协议号)和IP。(直连检测)
                                                              b.常规的入侵防护检测-主要采用代码检测爱游戏体育|官网登录 爱游戏体育|官网登录 ,对网络实时通讯的数据检测(漏洞攻击)。(旁路检测爱游戏体育|官网登录 ,因为仅一条数据包可能需比对数以万计个病毒的特征代码爱游戏体育|官网登录 ,仅分类检索比对的耗时就可以使得这类检测防御形同虚设)
                                                              c.防毒墙-采用代码检测对代码文本进行检测(无通讯延时要求的文件检测)
                                                              自恒优化方案:
                                                              a.访问控制检测-采用VLAN标签,网络病毒无法规避检测爱游戏体育|官网登录 ,防护全面爱游戏体育|官网登录 ,即使单台交换机组网也能有效防护爱游戏体育|官网登录 。
                                                              b.防主机扫描检测-对任何非法主机扫描攻击行为进行检测爱游戏体育|官网登录 爱游戏体育|官网登录 。从原理上解决漏洞攻击防御难问题爱游戏体育|官网登录 ,全面及时防御爱游戏体育|官网登录 ,主动防御爱游戏体育|官网登录 爱游戏体育|官网登录 ,对通讯无影响爱游戏体育|官网登录 。
                                                              c.防毒墙可以在文件服务器或邮件服务器前使用爱游戏体育|官网登录 ,若计算机上已有防御措施时爱游戏体育|官网登录 ,无防毒墙也是低风险爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              主要等保的技防评审项(下面三项都有权威检测):
                                                              ? 安全区和访问控制(激活木马后的通讯数据是黑客操控数据和盗窃的用户数据爱游戏体育|官网登录 ,无病毒代码数据爱游戏体育|官网登录 爱游戏体育|官网登录 ,无法进行代码特征检测)
                                                              ? 内外防入侵(网络蠕虫的漏洞攻击会伴随着蠕虫病毒代码的传播)
                                                              ? 通讯过程中的完整性和保密性(防劫持、VLAN通道?爱游戏体育|官网登录 ;?
                                                                  安全完整性设计基本要求:
                                                                  1)通讯网络和计算机系统的通讯完整性设计(主要设计要求):奇偶校验爱游戏体育|官网登录 、CRC冗余校验爱游戏体育|官网登录 。
                                                                  2)工业和软件系统通讯的应用软件完整性设计(主要三个设计要求):用户程序版本一致   性检测和确认爱游戏体育|官网登录 ,控制参数(工艺配方)的一致性检测和确认爱游戏体育|官网登录 爱游戏体育|官网登录 ,操作命令的确认爱游戏体育|官网登录 。(通讯突  然中断或数据人为和恶意篡改时爱游戏体育|官网登录 爱游戏体育|官网登录 ,仍能够被发现和阻止,避免完整性缺失爱游戏体育|官网登录 ,系统仍能 保持稳定)
                                                              ? 内联、外联控制和无线接入(接入和断线报警爱游戏体育|官网登录 ,对无线接入可以进行组成员检测和访问目标的成员组检测)
                                                              ? 审计和集中监控(软件)
                                                              ? 身份确认和双因素(软件)
                                                               
                                                              四爱游戏体育|官网登录 爱游戏体育|官网登录 、安全区和访问控制:(优于等保建议)
                                                                      ——支持逻辑安全区隔离和物理安全区隔离

                                                              ? 限定用户设备(计算机)的访问对象范围:安全区内设备可以互访爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,安全区之间需要通过访问控制设定访问对象。即使用户设备仿冒IP等规避手段也不能上公网爱游戏体育|官网登录 爱游戏体育|官网登录 。

                                                              ? 如下图所示:按部门爱游戏体育|官网登录 爱游戏体育|官网登录 、系统、分系统设立安全区隔离组(VLAN)爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,采用用户组技术设定隔离组间的访问控制组通道(一对一爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、多对多等)(VLAN通道)爱游戏体育|官网登录 ,由于采用VLAN技术作为访问控制的过滤条件,恶意程序无法通过改变IP或选择特定的通讯协议等手段规避检测爱游戏体育|官网登录 ,突破访问控制的访问限制爱游戏体育|官网登录 。
                                                              隔离组
                                                              图 4 按部门爱游戏体育|官网登录 、系统爱游戏体育|官网登录 、分系统设立安全区隔离组

                                                              访控组
                                                              图 5 隔离组之间的访问控制

                                                              五、内联爱游戏体育|官网登录 、外联控制和无线接入(优于等保建议) 
                                                              ? 交换机支持用户组成员IP检测爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、radius接入验证、主机扫描检测爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、IP过滤技术爱游戏体育|官网登录 ,接入和离线报警爱游戏体育|官网登录 爱游戏体育|官网登录 。既能防止非法设备接入爱游戏体育|官网登录 爱游戏体育|官网登录 ,也能防止接入设备的漏洞攻击行为。并能通过访问控制限 定其访问对象爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。如下图所示爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,端口绑定的IP按用户组为单位的方式显示并在运行时检测。无线系统接入与内网连通也需要进行用户组成员等检测,其发生主机扫描非法行为也能报警。
                                                              端口绑定
                                                              图 6 端口绑定IP

                                                               
                                                              图 7组内端口IP绑定汇总

                                                              六爱游戏体育|官网登录 爱游戏体育|官网登录 、内外防入侵(无误报、几乎无漏报爱游戏体育|官网登录 ,优于等保建议)
                                                              • 可以对内外网主机扫描行为进行检测爱游戏体育|官网登录 爱游戏体育|官网登录 ,对任何接入的网内设备进行检测其主机扫描行为。不仅仅是特定设备。全面防护爱游戏体育|官网登录 、主动防护爱游戏体育|官网登录 。主要原理:根据用户对安全区和访问控制的设置爱游戏体育|官网登录 ,确定了可访问的对象所有的IP设备。当设备试图访问其所在的安全区和访问控制组限定对象外的设备或空地址时爱游戏体育|官网登录 ,即违法了用户的设定限制,触发主机扫描报警爱游戏体育|官网登录 爱游戏体育|官网登录 ,并可实时隔离扫描源IP设备或关闭源端口爱游戏体育|官网登录 。采用主机扫描作为漏洞攻击的判断条件爱游戏体育|官网登录 爱游戏体育|官网登录 ,漏洞攻击程序无法通过重编译等手段规避检测爱游戏体育|官网登录 。(目标地址的成员合法性检测)
                                                              • 解决了主要目前常规方案中内网无防护或防护不够全面爱游戏体育|官网登录 爱游戏体育|官网登录 、漏报、误报、不能主动及时防御爱游戏体育|官网登录 、不能防APT攻击的问题爱游戏体育|官网登录 。
                                                              国家标准
                                                              图 8 国家标准GB/T 20275-2013中对误报率和漏报率的要求
                                                              a. 没有代码检测爱游戏体育|官网登录 ,正常应用程序无主机扫描爱游戏体育|官网登录 。所以没有误报率
                                                              b. 假设一个计算机所在的安全区和访问控制组共有有60台设备爱游戏体育|官网登录 ,其它是空号。C网中:192.168.*.*,子网掩码255.255.0.0爱游戏体育|官网登录 ,共有约64770个地址。单组一个IP地址扫描爱游戏体育|官网登录 。成功率仅不到千分之一爱游戏体育|官网登录 爱游戏体育|官网登录 。单组多个IP地址扫描的成功率:必须连续成功爱游戏体育|官网登录 ,才不触发报警爱游戏体育|官网登录 。3个IP一组,已经是10亿分之一以下了爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              (单组中IP地址不会重复)设:N:该攻击点的连通设备IP数、M:网段IP地址总数爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、a:单组选择攻击的IP数(扫描攻击策略)爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              扫描成功率公式:
                                                              当a<n爱游戏体育|官网登录 ,N!*(M-a)!/[M!*(N-a)!]。
                                                              当a=N时爱游戏体育|官网登录 爱游戏体育|官网登录 ,N!(M-N)!/M!!爱游戏体育|官网登录 爱游戏体育|官网登录 。当a>N时爱游戏体育|官网登录 ,一组扫描的IP地址数大于攻击点的连通设备IP数(无成功率)
                                                              仅仅理论上有漏报可能性(即蠕虫扫描成功率)爱游戏体育|官网登录 。
                                                               
                                                               
                                                              七爱游戏体育|官网登录 、通讯过程中的完整性和保密性(优于等保建议)
                                                                ——数据传输过程中数据防盗爱游戏体育|官网登录 、防篡改(通讯校验(奇偶校 验+CRC校验)+防人为篡改) 
                                                                ——工业控制的功能完整性(任何操作命令的下达必 须 经实时控制设备的准备执行的验证等过程) 

                                                              ? 隔离组和访问控制组是VLAN架构??梢陨瓒ǔ勺ㄓ玫氖萃ǖ?VLAN通道不可劫持爱游戏体育|官网登录 爱游戏体育|官网登录 ,VPN和加密仍可劫持)
                                                              1. VLAN内的数据无法被VLAN外的设备盗取和篡改爱游戏体育|官网登录 。不同用户组成员网络隔离。
                                                              2. 除集线器(HUB)外爱游戏体育|官网登录 爱游戏体育|官网登录 ,交换机的作用就是按用户通讯端口的寻址信息建立通讯地址表爱游戏体育|官网登录 ,并严格根据通讯地址表的地址来转发用户数据信息,而IP爱游戏体育|官网登录 爱游戏体育|官网登录 、MAC和ARP表地址表都是由用户数据包寻址时确定的,正常情况下交换机只能根据用户的源地址和目标地址发送信息爱游戏体育|官网登录 ,不可能把用户数据发送给第三方爱游戏体育|官网登录 、盗窃者或篡改者的计算机设备通讯端口爱游戏体育|官网登录 。但是爱游戏体育|官网登录 ,VLAN(同组成员)网内的数据盗取和篡改可以采用的是IP欺骗技术(主机劫持)爱游戏体育|官网登录 ,即仿冒其它设备的源IP来改变正常的通讯地址表爱游戏体育|官网登录 爱游戏体育|官网登录 。如果用户组成员在通讯设备端口上绑定IP爱游戏体育|官网登录 ,连接该端口的用户设备就无法仿冒其它IP发送数据爱游戏体育|官网登录 ,对相关用户组全员进行IP绑定爱游戏体育|官网登录 ,IP欺骗难以进行爱游戏体育|官网登录 ,阻止了IP欺骗(仿冒IP)爱游戏体育|官网登录 爱游戏体育|官网登录 。这样爱游戏体育|官网登录 ,从原理上确保了传输过程中的完整性和保密性爱游戏体育|官网登录 。(MAC欺骗:由于软件通讯的套接字中不包含MAC爱游戏体育|官网登录 ,无法建立真正的应用层通讯间有效的收发确认应答爱游戏体育|官网登录 ,难以窃取有效数据爱游戏体育|官网登录 。)
                                                              同时恶意后门软件采用IP欺骗技术往往会造成网关劫持爱游戏体育|官网登录 爱游戏体育|官网登录 、主机劫持等问题爱游戏体育|官网登录 。即使没有盗取数据成功爱游戏体育|官网登录 爱游戏体育|官网登录 ,但网络在劫持过程中会出现通讯时断时续的现象爱游戏体育|官网登录 。仅仅采用用户数据加密的方式不能防止这类通讯中断的故障爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。IP欺骗(主机劫持)是网络层的攻击爱游戏体育|官网登录 。应用层无法解决爱游戏体育|官网登录 爱游戏体育|官网登录 。我们推荐的方案是用户组成员全员绑定IP。该方案通过公安三所测试(防主机劫持测试)爱游戏体育|官网登录 。
                                                              3. IP欺骗技术(主机劫持-特别是网关劫持)常被部分木马和后门攻击程序采用爱游戏体育|官网登录 。网络中断时爱游戏体育|官网登录 爱游戏体育|官网登录 ,用户需要重建通讯,便可能会自动或手动会发送密钥爱游戏体育|官网登录 、用户名爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、口令等重要的信息爱游戏体育|官网登录 爱游戏体育|官网登录 。造成加密失败爱游戏体育|官网登录 。大部分密码不是被暴力破解的,而是被盗取的。切断后门通讯可以阻止泄密爱游戏体育|官网登录 ,但激活的木马程序仍可进行主机劫持(一般仅攻击单台设备爱游戏体育|官网登录 爱游戏体育|官网登录 ,但使用路由器情况下爱游戏体育|官网登录 爱游戏体育|官网登录 ,即使在独立封闭的网络内爱游戏体育|官网登录 ,会导致大面积断网爱游戏体育|官网登录 ,因为劫持对象是网关,故造成严重的大量设备通讯中断现象)。即使加密的数据也能被IP欺骗技术来篡改而丢失爱游戏体育|官网登录 ,密钥本身也能通过IP欺骗技术被盗取的爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                               
                                                               
                                                              八爱游戏体育|官网登录 、审计和集中监控 
                                                               设备接入爱游戏体育|官网登录 、连接中断爱游戏体育|官网登录 、入侵检测、防护措施修改操作等全面记录和报警监控:
                                                              监控图
                                                              图 9软件主页面

                                                              九爱游戏体育|官网登录 爱游戏体育|官网登录 、身份确认和双因素
                                                              网管软件支持用户确认身份和双因素密码和口令爱游戏体育|官网登录 ,支持用户(身份-岗位(角色)-部门爱游戏体育|官网登录 、功能(权限分配))多重授权考虑,按岗位爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、按部门爱游戏体育|官网登录 、按功能分配管理权限
                                                              用户授权
                                                              图 10 用户登陆授权
                                                              二次验证
                                                              图 11 双验证登陆界面
                                                               
                                                              角色分配
                                                              图 12 用户权限及角色分配界面

                                                              十爱游戏体育|官网登录 、《工业控制系统信息安全防护建设实施规范》测评工作方案
                                                              威胁等级
                                                              图 13 The malware “classification tree”, Kaspersky 卡巴斯基病毒分类树
                                                              ? 网络隔离(3.1.2.1):开发爱游戏体育|官网登录 、测试和生产爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              ? 安全区(3.1.2.2):物理和逻辑安全区爱游戏体育|官网登录 ,隔离组按物理位置划分即为物理安全区爱游戏体育|官网登录 爱游戏体育|官网登录 ,一般逻辑安全性更高(跨接不可以联通)爱游戏体育|官网登录 。
                                                              ? 边界防护(3.1.2.3):
                                                              ? 差异化防护(远程)(3.1.5.2):加密爱游戏体育|官网登录 、VPN等爱游戏体育|官网登录 。我们采用VLAN?;ず头繧P欺骗(内网中优于加密和VPN)
                                                              ? 风险检测(3.1.6.2):入侵检测,协议和内容检测(若在?爱游戏体育|官网登录 爱游戏体育|官网登录 ;ねǖ滥?、协议可自检测+重传校验检测)
                                                              ? 单项寻址和操作(办公网和工控网):子网掩码不同造成寻址方式不同爱游戏体育|官网登录 ,或IP网关填写通讯对象的IP爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,可以单向寻址爱游戏体育|官网登录 ,利用计算机本身的路由特性,实现单向寻址访问
                                                              ? 工业数据深度包检测:可由PLC来进行对所有上位机命令的极值验证确认爱游戏体育|官网登录 、工况安全?爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ;ぜ捌渌踩啡?。并拒绝不符合的指定通讯协议的通讯爱游戏体育|官网登录 ,对不合理的命令要求提醒和确认爱游戏体育|官网登录 爱游戏体育|官网登录 。(用户PLC程序对命令合理性检测优于工业防火墙的DPI检测爱游戏体育|官网登录 爱游戏体育|官网登录 ,工业防火墙缺乏对数据合理性的判断依据,如:0停车爱游戏体育|官网登录 爱游戏体育|官网登录 ,1启动是合理吗?,同时也缺乏处理的措施。)
                                                              网络攻防的威胁:逻辑炸弹的延时和后门激活(可调节时钟检测和访问控制阻断)爱游戏体育|官网登录 爱游戏体育|官网登录 、无自主上网功能的病毒代码激活(借用文件共享机制传播)、有自主上网功能的木马后门窃听和IP劫持(后门攻击爱游戏体育|官网登录 爱游戏体育|官网登录 、有上网功能的蠕虫病毒的IP盲攻(漏洞攻击)爱游戏体育|官网登录 爱游戏体育|官网登录 。其它攻击如:DDOS攻击爱游戏体育|官网登录 ,暴力破解爱游戏体育|官网登录 ,smurf攻击等都需要目标IP爱游戏体育|官网登录 。漏洞攻击的第一步是IP扫描。
                                                               
                                                              十一爱游戏体育|官网登录 爱游戏体育|官网登录 、用户IP设置-如:用户组内不同网段通讯设置
                                                              IP子网和网段不隔离网络爱游戏体育|官网登录 ,若采用不同子网IP爱游戏体育|官网登录 ,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯爱游戏体育|官网登录 。而且爱游戏体育|官网登录 ,子网掩码仅用于改变寻址方式,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变爱游戏体育|官网登录 。
                                                              IP设置
                                                              图 14设备IP配置
                                                              IP子网和网段不隔离网络,若采用不同子网IP,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯。而且爱游戏体育|官网登录 爱游戏体育|官网登录 ,子网掩码仅用于改变寻址方式爱游戏体育|官网登录 爱游戏体育|官网登录 ,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变爱游戏体育|官网登录 。

                                                              十二爱游戏体育|官网登录 、ARP广播的影响

                                                              • 实际上计算机设备会丢弃除免费ARP(源IP地址等于目标IP地址)以外的目的地址非本机地址的ARP寻址包,即计算机拒绝接受非本机地址的寻址包爱游戏体育|官网登录 。仅免费ARP(在开机、更改IP和MAC爱游戏体育|官网登录 ,发送ARP爱游戏体育|官网登录 爱游戏体育|官网登录 ,主要用于地址冲突检测。也用于冗余网关切换时告知交换机刷新网关MAC)爱游戏体育|官网登录 。寻址广播一般不影响设备。最大免费ARP包来源于网关刷新爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              • 用户组VLAN隔离了广播域爱游戏体育|官网登录 ,使得计算机的广播仅仅在其用户组内传播爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              十三爱游戏体育|官网登录 爱游戏体育|官网登录 、与其它防御方案的互补性
                                                              可信计算技术:采用对可信证书爱游戏体育|官网登录 爱游戏体育|官网登录 、验证等的技术。理论上能够消灭网络病毒生存空间。(Win10)阻止未授权的程序(网络病毒)的安装和运行。与安全加固软件类似(阻止非白名单中的软件运行)
                                                              代码特征查杀:根据恶意程序和网络病毒的代码特征爱游戏体育|官网登录 ,检查网络和计算机中是否有文件(程序)感染病毒爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              用户组防御方案:根据已经激活的网络病毒的攻击和规避检测技术原理爱游戏体育|官网登录 ,所设计的防护措施爱游戏体育|官网登录 爱游戏体育|官网登录 。阻止网络病毒攻击爱游戏体育|官网登录 。(纯粹的无代码检测攻防技术)
                                                              为用户提供多样性的选择:原理上各防御技术无冲突之处,各有优点爱游戏体育|官网登录 爱游戏体育|官网登录 ,可以互相补充。


                                                              十四爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、网络攻防常见误解的澄清
                                                              a. 采用独立网络的工业网络木马的后门攻击不能窃取数据爱游戏体育|官网登录 ,没有威胁?
                                                              答:事实上中控室往往采用路由网关的通讯方式爱游戏体育|官网登录 ,内网中爱游戏体育|官网登录 ,几乎由网络病毒造成的断网普遍是木马的网关劫持行为造成的,
                                                              同时网络木马也可以通过摆渡方式进入内网。网络病毒攻击和传播是两个不同概念爱游戏体育|官网登录 。攻击数据中不一定含有网络病毒代码。
                                                              b. 工业防火墙能够防止网络病毒攻击?
                                                              答:工业防火墙采用的白名单和用户数据深度包检测主要用于访问控制爱游戏体育|官网登录 。并不能防止网络病毒的攻击和破坏。工业系统设备往往采用单一的通讯协议,通讯协议不同不能通讯爱游戏体育|官网登录 爱游戏体育|官网登录 ,无法攻击设备爱游戏体育|官网登录 爱游戏体育|官网登录 ,所以攻击者常采用正常的通讯协议,白名单无意义爱游戏体育|官网登录 爱游戏体育|官网登录 。网络蠕虫以震网为例:离心机的伺服马达都有转速?;?爱游戏体育|官网登录 爱游戏体育|官网登录 ,不可能在高速时发生过热而损坏爱游戏体育|官网登录 。只有攻击者在给定的速度上加上高频的加减速分量爱游戏体育|官网登录 爱游戏体育|官网登录 。破坏了设计的工况(轻载和重载工况设计),此时由于惯性的作用爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,加减分量抵消。真实速度和显示仍是给定速度爱游戏体育|官网登录 。而大量的电能却转换为热能爱游戏体育|官网登录 。攻击者的攻击数据(给定速度)也在允许的范围内,深度检测(DPI)无法判断数据的合理性。而且,如:木马的主机劫持攻击也无法防护爱游戏体育|官网登录 爱游戏体育|官网登录 。工业防火墙的主要用途在于阻止非工控设备从中控室访问控制层设备。(协议型访问控制设备:仅允许OPC/实时服务器和设备工程师进入控制层)
                                                              c. 不同IP子网是隔离的?答:子网掩码是告诉计算机如何改变寻址方式爱游戏体育|官网登录 爱游戏体育|官网登录 ?爱游戏体育|官网登录 爱游戏体育|官网登录 ?匆幌峦↖P的高级设置就知道爱游戏体育|官网登录 爱游戏体育|官网登录 ,不同子网间能直接通讯爱游戏体育|官网登录 。如果把本机地址设成网关地址或通讯对象IP设成网关地址都能直接通讯的。真正的隔离技术主要有ACL和VLAN。
                                                              d. 工控设备PLC等与一般的计算机、网络打印机等信息设备网络防护有区别吗?
                                                              答:计算机是多应用系统爱游戏体育|官网登录 ,支持不同的用户应用爱游戏体育|官网登录 爱游戏体育|官网登录 。而工控设备PLC往往是单一应用(可以是多任务)系统爱游戏体育|官网登录 ,仅仅允许运行一个用户程序爱游戏体育|官网登录 。独立的网络计算机病毒(蠕虫)难以感染爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,但并不意味不能将蠕虫的某些功能插入到用户程序中,这样也能人为制造类似蠕虫的受感染的用户程序爱游戏体育|官网登录 。当然有重启等现象爱游戏体育|官网登录 爱游戏体育|官网登录 ,很难象计算机一样悄无声息地传播。网络打印机实际上是一台计算机可供多用户共享爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              e. 明明本机ARP列表中已经有本子网的很多设备的IP地址了。为什么网络蠕虫非要通过主机扫描来获得攻击对象的IP地址爱游戏体育|官网登录 爱游戏体育|官网登录 ?主机扫描和Ping扫描一样吗爱游戏体育|官网登录 爱游戏体育|官网登录 ?
                                                              答:由于操作系统的防护技术改善爱游戏体育|官网登录 ,强调应用隔离爱游戏体育|官网登录 。只有系统Dos命令窗口爱游戏体育|官网登录 ,才能读取ARP缓存表爱游戏体育|官网登录 。应用程序无权获取其它应用的通讯对象地址爱游戏体育|官网登录 爱游戏体育|官网登录 ,即不能读取ARP缓存表爱游戏体育|官网登录 。所以爱游戏体育|官网登录 ,网络蠕虫也无法获取其它程序应用通讯对象的IP地址爱游戏体育|官网登录 。蠕虫主机扫描是一种盲攻行为。即扫描包也是符合其攻击所特定端口号的通讯攻击包爱游戏体育|官网登录 爱游戏体育|官网登录 。Ping包是符合ICMP的网络查询包爱游戏体育|官网登录 爱游戏体育|官网登录 。
                                                              f. 为何必须通过安全区和访问控制来限定计算机的访问对象?答:木马的后门攻击通讯内容是盗取的用户数据和操控命令数据。传输的数据不包含网络病毒的代码。无法用代码特征来判别爱游戏体育|官网登录 。只能通过阻拦的方式。同时也限制了蠕虫病毒的攻击范围。
                                                              g. 计算机病毒传播病毒代码的机制?能假设网络病毒可以任意传播吗爱游戏体育|官网登录 ?
                                                              答:计算机病毒代码在传递过程中需要维持或最终型态是可执行文件的代码结构爱游戏体育|官网登录 。对于已经激活的网络蠕虫而言爱游戏体育|官网登录 ,有自主上网功能,其并不一定依赖于文件方式传播来保证病毒代码结构不被破坏爱游戏体育|官网登录 爱游戏体育|官网登录 ,其本身可能可以从某种数据结构变身成可运行程序文件代码。而未激活的网络病毒或其它计算机病毒爱游戏体育|官网登录 ,既无自主上网能力,也没有运行爱游戏体育|官网登录 爱游戏体育|官网登录 ,必须依赖于某种文件共享机制得以传播并保证病毒代码结构不被破坏。内网除了激活的蠕虫通过攻击传播网络蠕虫病毒爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。其它病毒是
                                                              通过某种文件共享机制传播的爱游戏体育|官网登录 。总之爱游戏体育|官网登录 ,没有主机扫描(漏洞攻击)和某种文件共享机制爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,网络病毒和计算机病毒不能传播。(没有私家车,只能坐公交爱游戏体育|官网登录 爱游戏体育|官网登录 ,没有上电爱游戏体育|官网登录 爱游戏体育|官网登录 ,金刚难变形)
                                                              h. 网络木马可侦听那些网络信息吗?其侦听的内容和条件爱游戏体育|官网登录 ?
                                                              答:网络木马一般不能工作在网卡混杂模式下(申请混杂模式会被发现)爱游戏体育|官网登录 爱游戏体育|官网登录 ,除了窃取本机用户信息外爱游戏体育|官网登录 ,交换机不会将其它IP设备的信息内容主动发送给它爱游戏体育|官网登录 ,而且其侦听的内容也受限于其申请的软件端口号爱游戏体育|官网登录 ,因此其侦听的内容受限于该木马病毒软件的套接字以及IP欺骗劫持的对象。当网络通讯中断时(网关劫持)爱游戏体育|官网登录 爱游戏体育|官网登录 ,若无通讯故障爱游戏体育|官网登录 爱游戏体育|官网登录 ,请检查一下80或8080服务端口号是否打开爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。一般计算机该端口号是关闭的爱游戏体育|官网登录 。一些木马用IP欺骗的方式来探测和寻找那些IP地址可以出网爱游戏体育|官网登录 。在独立封闭网络中爱游戏体育|官网登录 ,木马病毒的破坏性主要体现在会造成通讯中断爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 。


                                                              十五爱游戏体育|官网登录 爱游戏体育|官网登录 、典型多个控制系统访问控制策略

                                                              • 1.各类调试工程师需要直接连接控制层的PLC爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、智能仪表和回路控制器爱游戏体育|官网登录 、变频器。与其它中控室设备隔离爱游戏体育|官网登录 ,防止网络病毒驻留爱游戏体育|官网登录 爱游戏体育|官网登录 。(工业防火墙的使用场合爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,仅允许设备工程师进入控制网)
                                                              • 2.OPC服务器(实时数据库)是最重要的设备,其不仅和PLC通讯爱游戏体育|官网登录 ,而且是实时数据的核心服务器,不应和中控室无关联的信息设备通讯爱游戏体育|官网登录 爱游戏体育|官网登录 。(仅HMI爱游戏体育|官网登录 爱游戏体育|官网登录 、历史数据库爱游戏体育|官网登录 、报警服务器爱游戏体育|官网登录 爱游戏体育|官网登录 、PLC)
                                                              • 3.控制层不应允许不必要的计算机进入爱游戏体育|官网登录 ,仅设备工程师可以进入爱游戏体育|官网登录 。同时OPC服务器可访问指定的PLC爱游戏体育|官网登录 。
                                                              • 4.各控制系统间隔离爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 ,PLC间有联动控制。
                                                              • 5.信息处理层包括历史服务器爱游戏体育|官网登录 爱游戏体育|官网登录 爱游戏体育|官网登录 、报表服务器爱游戏体育|官网登录 、报警服务器爱游戏体育|官网登录 、打印机爱游戏体育|官网登录 、HMI等。

                                                              案例
                                                              图 15安全隔离区爱游戏体育|官网登录 、访问控制的关系示意图
                                                              注:椭圆为安全隔离区,双箭头型通道为访问控制通道爱游戏体育|官网登录 。设备工程师划入控制层隔离组不影响访问控制设计爱游戏体育|官网登录 ,因为任何访问控制不能影响正常通讯爱游戏体育|官网登录 爱游戏体育|官网登录 ,该通的必须通爱游戏体育|官网登录 。


                                                              十六爱游戏体育|官网登录 、典型多个控制系统安全区/访问控制的实现
                                                              组案例
                                                              图 16安全区分层分系统设置
                                                              安全区分层分系统设置
                                                              • 设备调试工程师、2个分控制系统,PLC控制器爱游戏体育|官网登录 爱游戏体育|官网登录 、变频和智能仪表——控制层
                                                              • OPC实时采集——数据采集层
                                                              • 中控室信息中心——人机交换等信息处理层
                                                               
                                                              访控案例
                                                              图 17访问控制设置
                                                               
                                                              访问控制设置

                                                              • PLC间的控制联动
                                                              • 2个实时数据采集(和PLC通讯)中控室信息系统数据处理

                                                              方案
                                                              图18 方案设计实例

                                                               
                                                              文档附件:

                                                              自恒方案网络安全等保实施方案说明


                                                              工业交换机Copyright ? 2016-2021 上海自恒信息科技有限公司 版权所有
                                                              推荐产品:工业交换机 | 光纤收发器 | 工业路由器 | 工业以太网交换机 | 二层工业以太网交换机 | 三层工业以太网交换机 | 工业级sfp光?爱游戏体育|官网登录 爱游戏体育|官网登录 ??/a>
                                                              网站地图|XML地图 备案序号:沪ICP备17046400号-1

                                                              友情链接: 揽阁信息 儿童内衣 AOI 工业CT

                                                              爱游戏体育|官网登录