侵权投诉

搜索
更多>> 热门搜索:
订阅
纠错
加入自媒体

石化工业控制网络安全的分析与防护

2012-05-10 09:59
老猫
关注

网络隔离技术及防护产品

  1、网络隔离技术

  在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,网络隔离技术应运而生。

  网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后,市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题,对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。

  网络隔离技术经过了长时间的发展,目前已经发展到了第五代技术。第一代隔离技术采用完全的隔离技术,实际上是将网络物理上的分开,形成信息孤岛;第二代隔离技术采用硬件卡隔离技术;第三代隔离技术采用数据转发隔离技术;第四代隔离技术采用空气开关隔离技术;第五代隔离技术采用安全通道隔离技术。

  基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。

  网络隔离的指导思想与防火墙也有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安全的前提下,尽可能支持数据交换,如果不安全则断开。

  网络隔离技术主要目标是解决目前信息安全中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离是目前唯一能解决上述问题的安全技术。

  2、网络隔离防护产品

  基于网络隔离技术的网络隔离产品是互联网时代的产物。最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在我国,最初的应用也主要集中在政府、军队等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。国内的网络隔离产品也由此应运而生。

  由于是应用在可能涉及国家安全的关键场合,为了统一规范网络隔离类的技术标准,国家质量监督检验总局及国家标准化管理委员及早制定了相应的国家标准,目前最新国标为GB/T 20279-2006和GB/T 20277-2006。

  随着以电力为首的工业行业对网络安全提出了更高要求后,网络隔离产品也开始在工业领域逐渐得到应用。目前,已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来了,其主要的技术原理是从OSI模型的七层上全面断开网络连接,同时采用“2+1”的三模块架构,即内置有两个主机系统,和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的,从物理上进行了网络隔离,消除了数据链路的通信协议,剥离了TCP/IP协议,剥离了应用协议,在安全交换后进行了协议的恢复和重建。通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。在应用层对应用协议进行剥离和重建,消除了应用协议漏洞,并可针对应用协议实现一些细粒度的访问控制。从TCP/IP的OSI数据模型的所有七层断开后,就可以消除目前TCP/IP存在的所有攻击。

  (1)、网闸

  网闸类产品诞生较早。产品最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网闸由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。

  由于网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网闸都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

  在工业领域,网闸也开始得到应用和推广。但除了用于办公系统外,当用于隔离控制网络时,由于网闸一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。

  (2)、工业网络安全防护网关

  工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品,它同样采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是,工业网络安全防护网关提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离,但不适合办公系统。

  工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。

结束语

  近几年,因网络病毒引起的工业事件层出不穷,工业网络安全问题已经日益严峻,针对目前我国工业控制系统信息安全面临的严峻形势,2011年10月27日,工信部下发《关于加强工业控制系统信息安全管理的通知》,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了重点领域如:石油石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。石化工业是国家的基础性能源支柱产业,信息安全在任何时期、任何国家地区都备受关注。能源系统的信息安全问题直接威胁到其它行业系统的安全、稳定、经济、优质的运行,影响着系统信息化的实现进程。维护网络安全,确保生产系统的稳定可靠、防止来自内部或外部攻击,采取高安全性的防护措施都是石化信息系统安全不可忽视的组成部分。

<上一页  1  2  3  4  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号