新一代防火墙技术及应用(第一代防火墙技术)
新一代防火墙技术及应用(第一代防火墙技术),本文通过数据整理汇集了新一代防火墙技术及应用(第一代防火墙技术)相关信息,下面一起看看。
第3章什么不属于下一代工业防火墙?
以下产品不属于下一代工业防火墙
1.增加工控安全防护功能模块的网络安全网关。
下一代工业防火墙需要集成OT/IT防护引擎、OT/IT知识库和OT/IT防护功能。在NGFW等传统网络防火墙上增加工控安全防护模块,无法适应OT/IT融合场景,无法满足融合系统XIoT对防护措施的四项要求,不应属于下一代工业防火墙。
2、上一代工业防火墙
上一代工业防火墙具有以下特点工控指令白名单是主要的网络安全保护手段;(2)包过滤防火墙不是状态检测防火墙。由于工控协议多为四层通信协议,缺少会话层和传输层,简单的包过滤就可以实现访问控制。,上一代工业防火墙无法满足OT/IT融合场景下的网络安全防护要求。
第4章相关主题
1.工业互联网的三种整合机制
在工业数字化转型过程中,互联网有三个企业实体,七个互联实体,九个互联类型,如图4-1所示。它们是
3经营主体工业制造企业、工业服务企业、互联网企业;
第七类互联学科WIP、智能机器、工业控制系统、工业信息系统、智能产品、合作企业和用户;
9类互联机器与控制系统、在制品与机器、在制品与工业信息系统/云平台的纵向互联、机器与机器、控制系统与信息系统/云平台、信息系统/云平台与用户、信息系统/云平台与外部协同企业、控制系统与外部协同企业、智能产品与工厂的横向互联。
图4-1三个企业实体、七个互联实体、九种互联类型的工业互联网示意图
,工业互联网在推动工业数字化转型的过程中,呈现出三种整合机制
1.工业化和信息化深度融合;
2.工业生产与互联网模式的有机融合;
工业与互联网商业模式的融合体现在四大类IT系统与互联网的融合、OT系统与互联网的融合、企业专网与互联网的融合、产品和服务与互联网的融合。
从网络层面看,IT系统与互联网的融合是工厂内部IT网络向外部网络的延伸。企业托管其IT系统(如企业资源规划(ERP)、客户关系管理系统(CRM)等。)或使用SaaS服务供应商提供的企业资讯科技软件服务。目前,美国的欧特克、法国的达索、中国的数字大方已经开始向中小企业提供这样的云服务。
从网络层面看,OT系统与互联网的融合是OT系统网络向外部网络的延伸。在一些人力难以实现、需要对生产过程进行调整和维护的场合,需要通过可靠的互联网连接实现远程OT系统控制。目前,沈阳机床厂的“i5”平台已经可以初步实现不同地理位置的机床远程监控,这是这种服务的雏形,但不同的OT业务流程对网络的要求是不同的。目前互联网的质量对时延、抖动、可靠性等都有极高的要求。实时控制和同步实时控制还是很难承受的。
企业专网与互联网的融合,意味着公网中的企业将生成一个独立的网络平面,带宽和服务质量可以定制。这类业务场景不仅需要为企业提供独立的链路资源,还需要提供独立的网络资源控制能力、开放的网络可编程性、定制的网络资源(如带宽、服务质量等。).目前,互联网不支持
产品与互联网的融合,将通过智能工业产品的信息采集和联网能力,为工业企业提供新的产品服务模式。目前,IBM、微软、GE等公司都推出了自己的工业互联网数据分析平台。基于这些平台,工业企业可以为用户提供产品监控和预测性维护等延伸服务,从而延伸工业生产的价值链。这类业务基于海量产品的数据采集和监控,需要通过无线技术实现工业产品的无处不在的接入。
3.OT系统与IT系统的主动整合
信息化和工业化的深度融合是工业数字化转型成功的前提,工业互联网是工业数字化转型成功的重要基础设施。互联网是工业制造和信息通信技术(ICT)产业的交叉领域,融合了工业制造、互联网和物联网的技术创新。
02年的融合趋势和融合安全。OT/IT
1.OT/IT的三种融合
技术融合的想法并不新鲜。通过将不同的技术有效地集成和互操作为一个统一的系统,企业通常可以提高效率、减少错误、降低成本、增强工作流程并获得竞争优势。IT领域的融合一直在进行。比如IT融合基础设施3354的出现,后来演变为超融合基础设施。将传统上独立的服务器、存储、网络和管理工具整合到一个统一、紧密的集中管理产品中。
OT/IT融合的概念旨在将物理(OT)设备和器材带入数字(IT)领域。这是可能的,因为机器对机器的通信技术在不断发展。安装在物理设备上的物联网传感器和执行器可以通过标准化的网络协议进行无线通信,将各个物理系统的相关数据发回中央服务器进行监控和分析。然后,可以将这种分析的结果发送回物理系统,允许更自主的操作来提高准确性,这有利于维护和提高正常运行时间。
流程集成也称为工作流集成。IT和OT部门必须改革其流程以相互适应,并确保重要信息同步,提高沟通和协作效率。
系统集成涉及业务网络架构的技术集成,例如需要实施新的工具来收集OT数据,并将OT和IT数据结合起来进行分析。
物理融合包括与新硬件融合或修改的物理设备,以适应将其添加到传统OT中。
2.OT/IT融合的优势
OT/IT融合可以在以下几个方面获得收益(1)制造业OT/IT融合使企业能够利用销售和库存数据促进生产运营,从而提高成本和资源效率,优化设备和电力使用,最大限度地减少维护和未售出库存。
(2)公共事业和能源IT技术使OT团队能够远程访问运营数据,帮助石油、天然气和电力行业优化工业设备检查,进行损坏评估,并处理库存监控和分配。
(3)交通资产管理是交通行业的重中之重。将其与OT整合,可以帮助铁路、公交、交通等运输组织更好地了解资产的协调、状况和使用情况,从而指导资产置换和安全的短期维护、线路优化和长期规划。
(4)军事和执法OT/IT集成可以帮助协调和快速部署资源,提供关于关键设备的状况和维护的更多知识。
(5)通信和媒体区域和全球通信提供商可以使用OT/IT融合来监督设备的性能和运行以及服务质量,以便更快地排除故障,提高用户满意度。
(6)零售物联网设备和其他oT设备(如摄像头和POS设备)的使用可以为IT提供更多的数据进行分析,从而优化库存和销售场地,以节省成本,创造更好的收入和购物者体验。
(7)医疗和制药OT/IT集成允许更多的医疗设备交换和共享患者信息,以实现实时可见性,从而实现更好的患者分析和结果;,集成可以提高
从技术角度来说,OT/IT融合实现了更直接的控制和全面的监控,更容易分析来自世界各地这些复杂系统的数据。这使得员工能够更高效地完成工作,并提高决策能力。
与独立的IT和OT相比,OT/IT融合带来以下好处(1)IT部门和OT部门可以共享各自的专业知识和技能,从而提高决策质量;(2)实现了物联网设备的预测性维护,降低了开发、运维成本和计划外停机时间;(3)提高对监管标准的遵从性,因为将其添加到OT中可以实现更好的可见性、管理和审计;(4)提高分布式OT的自动化和可视性,因为OT可以传输实时的维护数据;(5)更有效地利用能源和资源,因为OT系统能更好地满足实际的产品需求;(6)更有效的资产管理,因为所有的IT和OT系统都通过一个通用的方法来查看和管理。
3.OT/IT融合方法
连接IT和OT的灰色地带是物联网设备。物联网设备包括各种传感器,用于收集真实世界的条件,如温度、压力和化学成分。物联网设备还包括一系列执行器,可以将数字命令和指令转换为物理动作,如控制阀门和移动机构。每个物联网设备都设计为通过标准网络进行通信,允许它们与IT资源(服务器和存储)交换oT数据,有时甚至跨越相当长的距离。
物联网,尤其是与边缘计算相结合,可以实现OT/IT融合的IT部分。物联网设备是能够收集、传输和分析数据的网络计算设备。传统的OT设备(如传感器)可以收集数据,但它们无法通过大型网络传输数据或对数据进行任何类型的深入分析。
较新的智能传感器将能够从来源(如工厂)收集数据,并将其传输到物联网中心或网关,然后将这些信息传输到分析应用程序或企业资源规划软件平台,以集成到组织的统一业务运营系统中。联网时,OT设备起到物联网设备的作用。
如图4-2所示,为工业物联网(IIoT)设备增加边缘计算能力,可以实现更接近源头的实时数据处理。物联网设备不需要通过网络将数据发送到一个集中的位置进行处理,而是可以分析时间敏感的制造过程数据,并快速返回结果,以便在它们过时之前直接监控工业状况。这很重要,因为物联网和OT设备通常是分布式网络架构的一部分,很难或不可能传输到中央处理位置。——物联网是分布式或边缘计算背后的重要技术。
图4-2工业物联网(IIoT)设备增加边缘计算能力的示意图
OT/IT融合可能会给物联网的安全带来挑战。融合不仅仅是技术的融合,更是团队和流程的融合。OT的加入给安全环境带来了新的利益相关者。IT团队和流程必须结合工业环境的实时需求。例如,不可能关闭智能电网几个小时来应用补丁或更改配置。在其他情况下,OT系统可能比IT系统多存在几十年,这带来了额外的安全风险,需要加以考虑和缓解。,OT系统不是为互联网连接而构建的,必须使用物联网设备和适当的安全控制进行修改。
4.OT/IT融合面临的挑战(1)技术层面的网络安全很多操作技术系统从来就不是为标准化通信或远程访问而设计的。所以不考虑连接的风险。此类系统可能不会定期更新。,OT系统通常分布在室外,通常用于维护关键基础设施。它们的分布式特性使得攻击面更大。OT系统的脆弱性将使组织和关键基础设施面临工业间谍和破坏的风险。
(2)管理层的网络安全人员在IT/OT安全中起着至关重要的作用。IT OT团队的平行且有时冲突的角色和优先级为安全监管和漏洞留下了大量机会,这可能会使适当的治理变得复杂。人们需要改变企业文化以支持OT/IT融合,建立实现融合所需的沟通和协作,并调整业务策略和工作流以建立必要的安全配置和准则。通常,物联网计划不属于任何一个部门,新项目的沟通也不一定能到达所有部门,尤其是在一个更加孤立的组织中。通常,OT部门对安全和当前项目的了解有限。这可能会与物联网的部署产生危险的安全差距。
(3)流程融合组织可能很难重组以前孤立的IT和OT部门来管理和操作新的融合技术。
(4)缺乏OT/IT复合型人才OT人对IT技术和网络技术了解不多,跨OT和IT的学习课程和标准很少。
(5)与现有系统的整合IT技术可能不会被用来对现有的ot进行现代化改造,你将无法享受到整合带来的成本效率。
5.OT/IT融合系统的四个特点OT系统和IT系统是融合的,具体体现在四个方面IP化、扁平化、无线化、软件定义化。
(1)IP化指基于IP的OT网络,从而实现从机器设备到IT系统的端到端IP互联,进一步实现整个制造系统更广泛、更深入的数据交互和协同。IP是目前广泛应用于互联网和企业信息系统的网络技术。通过“IP到底”实现工业生产全过程的信息采集,是一种合理的技术选择。目前,PROFINET、Ethernet/IP等工业以太网协议已经支持为现场设备分配IP地址,可以实现IP流量和控制信息的共线传输。
(2)扁平化即减少工厂内数据传输的层级,实现工业数据在生产现场和IT系统之间的快速流转,支持实时或准实时的数据分析和决策反馈,从而实现智能化生产。扁平化有两层含义一是OT层的扁平化,将现场层、车间层、控制层等传统的复杂分层OT网络统一为一个扁平的两层网络;二是IT和OT的融合,通过业务网关设备实现IT层和OT层的数据集成和互通。
(3)无线就是利用各种无线技术支持工厂内更广泛的信息采集和传输,消除工厂内的“信息死角”。目前,2G/3G/LTE、WiFi、zigbee等传统无线技术已逐步在工业互联中应用到一定规模;与此,针对工业场景的工业无线技术也开始出现,如WIA-PA、WirelessHART和ISA100.11a等。
而工业无线的应用还处于起步阶段,实际应用部署较少,主要在流程工业领域。随着工业互联网的发展,工业无线技术将逐渐成为有线网络的重要补充,但需要解决电磁通道干扰、低功耗、可靠性等一些关键问题。
5G技术在场景设计上已经考虑到低功耗、大连接、高可靠性的物联网应用场景,未来可能在工业无线领域发挥更大作用。
(4)软件定义是为了满足柔性生产的需要,通过网络资源的动态调整,实现生产过程的柔性组织和生产设备的“即插即用”。目前的工业生产(主要是离散产业)基本上是一种“刚性生产”模式,其互联网络也是一种“刚性网络”。在制造过程中,机器、设备和辅助工具需要按照预设的设置进行互联。
未来,工业生产大规模定制的特点要求更灵活、更智能的资源组织。基于SDN的新型网络技术可以实现网络资源的动态调整,打破工厂刚性网络组织的局限,满足自组织的要求
OT/IT融合面临四大安全威胁(1)缺乏协作IT和OT团队很少合作,这可能导致安全疏忽,从而增加复杂性,重复工作,增加运营成本,暴露攻击者可以利用的安全漏洞。为了确保安全,不同的团队必须以过去几年可能没有必要甚至不可能的方式进行协作和交流。
(2)遗留OT系统当IT系统的使用寿命很少超过五年时,OT系统的生命周期可能长达几十年。这种遗留系统通常包含很少(如果有的话)安全功能,并且由于专有设计或协议而不能升级。必须评估每个融合系统的安全性,不能支持安全性要求的系统可能需要新的或更新的ot设备。
(3)不够可视化它通常依赖于资产发现和配置来提供被管理环境的清晰和完整的画面。OT系统必须能够共享该环境,并提供可发现性、远程配置和管理。如果管理员看不到OT设备,就无法对其进行保护和管理。这种差距可能会导致安全漏洞。
(4)生产优先级OT生产系统通常需要全天候运行。如果没有重大的收入损失或物理风险,它不能暂停或关闭升级或更新。想象一下,关闭医疗生命支持设备进行更新。组织可能会忽略潜在的安全漏洞,因为他们无法承受修复风险所需的停机时间。
3.四种工业控制网络入侵攻击技术
在工业控制的ATTCK矩阵中,了针对工业控制网络入侵攻击的各种技术,如图4-3所示,可分为检测攻击、响应和测量注入、命令注入和拒绝服务四类。
图4-3工业控制网络入侵攻击的技术分类
1.调查攻击
侦察攻击收集控制系统的网络信息,映射网络架构,识别设备特征,如厂商、型号、支持的网络协议、系统地址、系统内存映射等。
2.响应和测量注入
以及响应注入很多工控系统网络协议缺乏验证数据包来源的认证功能。这使得攻击者能够捕获、修改和转发包含传感器读数的响应数据包。工业控制系统协议通常将第一个响应包带入查询,并将随后的响应作为错误拒绝。这使得可以仔细设计响应数据包,并在客户端期待响应时使用定时攻击将响应注入网络。
响应注入攻击有三种形式。,响应注入攻击可能源自可编程逻辑控制器或远程终端单元的控制,网络端点是响应网络客户端查询的服务器。,响应注入攻击可以捕获网络数据包,并在从服务器到客户端的传输过程中改变内容。,响应注入可以由网络中的第三方设备进行和发送。在这种情况下,响应可能对客户端的查询有多个响应,而无效响应可能由于使用了竞争条件或二次攻击(如阻止真正的服务器响应的拒绝服务攻击)而被采用。
3.命令注入攻击
命令注入攻击错误的控制和配置命令被注入控制系统。攻击者可能试图将错误的监控操作注入控制系统网络。远程终端和智能电子设备通常被编程为直接在远程地点自动监控物理过程。编程采用梯形逻辑、C代码和寄存器的形式,它们保存关键的控制参数,例如高和低阈值。
攻击者可以使用命令注入攻击来覆盖梯形逻辑、C代码和远程终端寄存器设置。恶意命令注入的潜在影响包括过程控制的中断、设备通信的中断、设备配置的未授权修改和过程设置的未授权修改。
因为很多工控系统网络协议缺乏验证数据包来源的认证功能。这使得攻击者能够捕获和更改命令包。,攻击者可以手工制作原始命令包,直接注入控制系统网络。
命令注入攻击分为三类;恶意状态命令注入(MSCI)
拒绝服务对工业控制系统的拒绝服务(DOS)攻击试图停止网络物理系统某些部分的正常功能,从而有效地使整个系统瘫痪。,DOS攻击可能针对网络系统或物理系统。针对网络系统的DOS攻击以通信链路为目标,或者试图禁用控制系统和系统端点上运行的程序。针对物理系统的DOS攻击是手动打开或关闭阀门,破坏和阻止操作的物理过程。
系列055-79000系列已结束。
更多新一代防火墙技术及应用(第一代防火墙技术)相关信息请关注本站,本文仅仅做为展示!