腾博游戏官方入口-tengbo9885手机版-www.tengbo9885.com

 服务电话:021-60712276

疑问解答

自恒方案网络安全等保实施方案说明

深度澄清网络安全等保技防措施
——您的网络防护方案与网络病毒原理相关吗?加了防护措施为何威胁仍会存在?

方健
 

一、从网络攻防原理上阻止网络攻击(引用百度百科)

木马病毒
图 1后门攻击和木马病毒
 
蠕虫病毒
图 2漏洞攻击和蠕虫病毒

根据基本网络攻防原理,选择网络病毒无法规避的防护和检测方式,确保网络安全
1. 常规是IP或协议作为访问控制的过滤条件(可规避),我们采用VLAN标签作为访问控制的过滤条件,木马程序无法规避
2. 常规是代码特征作为漏洞攻击的判断条件(可规避),我们采用主机扫描攻击(IP扫描)判断条件,蠕虫无法规避
3. 采用的技术针对已激活的网络病毒(自主上网功能),未激活的网络病毒和和其它病毒通过共享文件机制传播合攻击(代码检测是杀毒软件的强项,主要由计算机软件防护)

二、网络交换产品技术优势和来源(权威检测)

网络病毒规避访问控制和漏洞攻击检测的方法繁多。如:重构和重编译代码(仅勒索病毒就有上百种)去代码特征处理,尝试或侦听被劫持网关并选择许可上网的IP和通讯协议,零日漏洞等等。根据攻防原理,选择网络攻击无法规避的检测和防御措施才能真正阻止网络攻击。
公安验证
图 3公安三所检测报告

技术来源(自研)
a.采用VLAN标签的用户组技术(访问控制技术):同组用户互通、不同组成员隔离。成员可加入不同的用户组。专利号:201910564112.2
b.采用防主机扫描技术,可对扫描源(IP或端口)进行告警和隔离。专利号:201910564113.7
防护技术特点:
1. 没有二次计算检测的延时,不影响通讯实时性,是主动防御技术
2. 防得住,从网络攻击的基本原理上解决问题,阻止APT攻击。
3. 工作原理不同于其它网络安全设备,不影响其它网络安全检 测设备的使用,功能上完全互补。
4. 安全区和访问控制可以按系统、分系统、物理位置混合设置,防护灵活,单台交换机也能构成完整防护
 
三、网络安全等保对网络要求的响应(1-4级)

常规网络安全检测:
a.常规的访问控制检测-主要用于检测通讯协议(软件端口号、网络传输协议号)和IP。(直连检测)
b.常规的入侵防护检测-主要采用代码检测,对网络实时通讯的数据检测(漏洞攻击)。(旁路检测,因为仅一条数据包可能需比对数以万计个病毒的特征代码,仅分类检索比对的耗时就可以使得这类检测防御形同虚设)
c.防毒墙-采用代码检测对代码文本进行检测(无通讯延时要求的文件检测)
自恒优化方案:
a.访问控制检测-采用VLAN标签,网络病毒无法规避检测,防护全面,即使单台交换机组网也能有效防护。
b.防主机扫描检测-对任何非法主机扫描攻击行为进行检测。从原理上解决漏洞攻击防御难问题,全面及时防御,主动防御,对通讯无影响。
c.防毒墙可以在文件服务器或邮件服务器前使用,若计算机上已有防御措施时,无防毒墙也是低风险。
主要等保的技防评审项(下面三项都有权威检测):
◦ 安全区和访问控制(激活木马后的通讯数据是黑客操控数据和盗窃的用户数据,无病毒代码数据,无法进行代码特征检测)
◦ 内外防入侵(网络蠕虫的漏洞攻击会伴随着蠕虫病毒代码的传播)
◦ 通讯过程中的完整性和保密性(防劫持、VLAN通道保护)
    安全完整性设计基本要求:
    1)通讯网络和计算机系统的通讯完整性设计(主要设计要求):奇偶校验、CRC冗余校验。
    2)工业和软件系统通讯的应用软件完整性设计(主要三个设计要求):用户程序版本一致   性检测和确认,控制参数(工艺配方)的一致性检测和确认,操作命令的确认。(通讯突  然中断或数据人为和恶意篡改时,仍能够被发现和阻止,避免完整性缺失,系统仍能 保持稳定)
◦ 内联、外联控制和无线接入(接入和断线报警,对无线接入可以进行组成员检测和访问目标的成员组检测)
◦ 审计和集中监控(软件)
◦ 身份确认和双因素(软件)
 
四、安全区和访问控制:(优于等保建议)
        ——支持逻辑安全区隔离和物理安全区隔离

◦ 限定用户设备(计算机)的访问对象范围:安全区内设备可以互访,安全区之间需要通过访问控制设定访问对象。即使用户设备仿冒IP等规避手段也不能上公网。

◦ 如下图所示:按部门、系统、分系统设立安全区隔离组(VLAN),采用用户组技术设定隔离组间的访问控制组通道(一对一、多对多等)(VLAN通道),由于采用VLAN技术作为访问控制的过滤条件,恶意程序无法通过改变IP或选择特定的通讯协议等手段规避检测,突破访问控制的访问限制。
隔离组
图 4 按部门、系统、分系统设立安全区隔离组

访控组
图 5 隔离组之间的访问控制

五、内联、外联控制和无线接入(优于等保建议) 
◦ 交换机支持用户组成员IP检测、radius接入验证、主机扫描检测、IP过滤技术,接入和离线报警。既能防止非法设备接入,也能防止接入设备的漏洞攻击行为。并能通过访问控制限 定其访问对象。如下图所示,端口绑定的IP按用户组为单位的方式显示并在运行时检测。无线系统接入与内网连通也需要进行用户组成员等检测,其发生主机扫描非法行为也能报警。
端口绑定
图 6 端口绑定IP

 
图 7组内端口IP绑定汇总

六、内外防入侵(无误报、几乎无漏报,优于等保建议)
  • 可以对内外网主机扫描行为进行检测,对任何接入的网内设备进行检测其主机扫描行为。不仅仅是特定设备。全面防护、主动防护。主要原理:根据用户对安全区和访问控制的设置,确定了可访问的对象所有的IP设备。当设备试图访问其所在的安全区和访问控制组限定对象外的设备或空地址时,即违法了用户的设定限制,触发主机扫描报警,并可实时隔离扫描源IP设备或关闭源端口。采用主机扫描作为漏洞攻击的判断条件,漏洞攻击程序无法通过重编译等手段规避检测。(目标地址的成员合法性检测)
  • 解决了主要目前常规方案中内网无防护或防护不够全面、漏报、误报、不能主动及时防御、不能防APT攻击的问题。
国家标准
图 8 国家标准GB/T 20275-2013中对误报率和漏报率的要求
a. 没有代码检测,正常应用程序无主机扫描。所以没有误报率
b. 假设一个计算机所在的安全区和访问控制组共有有60台设备,其它是空号。C网中:192.168.*.*,子网掩码255.255.0.0,共有约64770个地址。单组一个IP地址扫描。成功率仅不到千分之一。单组多个IP地址扫描的成功率:必须连续成功,才不触发报警。3个IP一组,已经是10亿分之一以下了。
(单组中IP地址不会重复)设:N:该攻击点的连通设备IP数、M:网段IP地址总数、a:单组选择攻击的IP数(扫描攻击策略)。
扫描成功率公式:
当a 当a=N时,N!(M-N)!/M!!。当a>N时,一组扫描的IP地址数大于攻击点的连通设备IP数(无成功率)
仅仅理论上有漏报可能性(即蠕虫扫描成功率)。
 
 
七、通讯过程中的完整性和保密性(优于等保建议)
  ——数据传输过程中数据防盗、防篡改(通讯校验(奇偶校 验+CRC校验)+防人为篡改) 
  ——工业控制的功能完整性(任何操作命令的下达必 须 经实时控制设备的准备执行的验证等过程) 

◦ 隔离组和访问控制组是VLAN架构。可以设定成专用的数据通道(VLAN通道不可劫持,VPN和加密仍可劫持)
1. VLAN内的数据无法被VLAN外的设备盗取和篡改。不同用户组成员网络隔离。
2. 除集线器(HUB)外,交换机的作用就是按用户通讯端口的寻址信息建立通讯地址表,并严格根据通讯地址表的地址来转发用户数据信息,而IP、MAC和ARP表地址表都是由用户数据包寻址时确定的,正常情况下交换机只能根据用户的源地址和目标地址发送信息,不可能把用户数据发送给第三方、盗窃者或篡改者的计算机设备通讯端口。但是,VLAN(同组成员)网内的数据盗取和篡改可以采用的是IP欺骗技术(主机劫持),即仿冒其它设备的源IP来改变正常的通讯地址表。如果用户组成员在通讯设备端口上绑定IP,连接该端口的用户设备就无法仿冒其它IP发送数据,对相关用户组全员进行IP绑定,IP欺骗难以进行,阻止了IP欺骗(仿冒IP)。这样,从原理上确保了传输过程中的完整性和保密性。(MAC欺骗:由于软件通讯的套接字中不包含MAC,无法建立真正的应用层通讯间有效的收发确认应答,难以窃取有效数据。)
同时恶意后门软件采用IP欺骗技术往往会造成网关劫持、主机劫持等问题。即使没有盗取数据成功,但网络在劫持过程中会出现通讯时断时续的现象。仅仅采用用户数据加密的方式不能防止这类通讯中断的故障。IP欺骗(主机劫持)是网络层的攻击。应用层无法解决。我们推荐的方案是用户组成员全员绑定IP。该方案通过公安三所测试(防主机劫持测试)。
3. IP欺骗技术(主机劫持-特别是网关劫持)常被部分木马和后门攻击程序采用。网络中断时,用户需要重建通讯,便可能会自动或手动会发送密钥、用户名、口令等重要的信息。造成加密失败。大部分密码不是被暴力破解的,而是被盗取的。切断后门通讯可以阻止泄密,但激活的木马程序仍可进行主机劫持(一般仅攻击单台设备,但使用路由器情况下,即使在独立封闭的网络内,会导致大面积断网,因为劫持对象是网关,故造成严重的大量设备通讯中断现象)。即使加密的数据也能被IP欺骗技术来篡改而丢失,密钥本身也能通过IP欺骗技术被盗取的。
 
 
八、审计和集中监控 
 设备接入、连接中断、入侵检测、防护措施修改操作等全面记录和报警监控:
监控图
图 9软件主页面

九、身份确认和双因素
网管软件支持用户确认身份和双因素密码和口令,支持用户(身份-岗位(角色)-部门、功能(权限分配))多重授权考虑,按岗位、按部门、按功能分配管理权限
用户授权
图 10 用户登陆授权
二次验证
图 11 双验证登陆界面
 
角色分配
图 12 用户权限及角色分配界面

十、《工业控制系统信息安全防护建设实施规范》测评工作方案
威胁等级
图 13 The malware “classification tree”, Kaspersky 卡巴斯基病毒分类树
◦ 网络隔离(3.1.2.1):开发、测试和生产。
◦ 安全区(3.1.2.2):物理和逻辑安全区,隔离组按物理位置划分即为物理安全区,一般逻辑安全性更高(跨接不可以联通)。
◦ 边界防护(3.1.2.3):
◦ 差异化防护(远程)(3.1.5.2):加密、VPN等。我们采用VLAN保护和防IP欺骗(内网中优于加密和VPN)
◦ 风险检测(3.1.6.2):入侵检测,协议和内容检测(若在保护通道内、协议可自检测+重传校验检测)
◦ 单项寻址和操作(办公网和工控网):子网掩码不同造成寻址方式不同,或IP网关填写通讯对象的IP,可以单向寻址,利用计算机本身的路由特性,实现单向寻址访问
◦ 工业数据深度包检测:可由PLC来进行对所有上位机命令的极值验证确认、工况安全保护及其它安全确认。并拒绝不符合的指定通讯协议的通讯,对不合理的命令要求提醒和确认。(用户PLC程序对命令合理性检测优于工业防火墙的DPI检测,工业防火墙缺乏对数据合理性的判断依据,如:0停车,1启动是合理吗?,同时也缺乏处理的措施。)
网络攻防的威胁:逻辑炸弹的延时和后门激活(可调节时钟检测和访问控制阻断)、无自主上网功能的病毒代码激活(借用文件共享机制传播)、有自主上网功能的木马后门窃听和IP劫持(后门攻击、有上网功能的蠕虫病毒的IP盲攻(漏洞攻击)。其它攻击如:DDOS攻击,暴力破解,smurf攻击等都需要目标IP。漏洞攻击的第一步是IP扫描。
 
十一、用户IP设置-如:用户组内不同网段通讯设置
IP子网和网段不隔离网络,若采用不同子网IP,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯。而且,子网掩码仅用于改变寻址方式,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变。
IP设置
图 14设备IP配置
IP子网和网段不隔离网络,若采用不同子网IP,可以在网卡高级设置中配置不同的IP地址实现不同网段间通讯。而且,子网掩码仅用于改变寻址方式,主动寻址方可以通过改变子网掩码来实现寻址范围和方式的改变。

十二、ARP广播的影响

  • 实际上计算机设备会丢弃除免费ARP(源IP地址等于目标IP地址)以外的目的地址非本机地址的ARP寻址包,即计算机拒绝接受非本机地址的寻址包。仅免费ARP(在开机、更改IP和MAC,发送ARP,主要用于地址冲突检测。也用于冗余网关切换时告知交换机刷新网关MAC)。寻址广播一般不影响设备。最大免费ARP包来源于网关刷新。
  • 用户组VLAN隔离了广播域,使得计算机的广播仅仅在其用户组内传播。
十三、与其它防御方案的互补性
可信计算技术:采用对可信证书、验证等的技术。理论上能够消灭网络病毒生存空间。(Win10)阻止未授权的程序(网络病毒)的安装和运行。与安全加固软件类似(阻止非白名单中的软件运行)
代码特征查杀:根据恶意程序和网络病毒的代码特征,检查网络和计算机中是否有文件(程序)感染病毒。
用户组防御方案:根据已经激活的网络病毒的攻击和规避检测技术原理,所设计的防护措施。阻止网络病毒攻击。(纯粹的无代码检测攻防技术)
为用户提供多样性的选择:原理上各防御技术无冲突之处,各有优点,可以互相补充。


十四、网络攻防常见误解的澄清
a. 采用独立网络的工业网络木马的后门攻击不能窃取数据,没有威胁?
答:事实上中控室往往采用路由网关的通讯方式,内网中,几乎由网络病毒造成的断网普遍是木马的网关劫持行为造成的,
同时网络木马也可以通过摆渡方式进入内网。网络病毒攻击和传播是两个不同概念。攻击数据中不一定含有网络病毒代码。
b. 工业防火墙能够防止网络病毒攻击?
答:工业防火墙采用的白名单和用户数据深度包检测主要用于访问控制。并不能防止网络病毒的攻击和破坏。工业系统设备往往采用单一的通讯协议,通讯协议不同不能通讯,无法攻击设备,所以攻击者常采用正常的通讯协议,白名单无意义。网络蠕虫以震网为例:离心机的伺服马达都有转速保护,不可能在高速时发生过热而损坏。只有攻击者在给定的速度上加上高频的加减速分量。破坏了设计的工况(轻载和重载工况设计),此时由于惯性的作用,加减分量抵消。真实速度和显示仍是给定速度。而大量的电能却转换为热能。攻击者的攻击数据(给定速度)也在允许的范围内,深度检测(DPI)无法判断数据的合理性。而且,如:木马的主机劫持攻击也无法防护。工业防火墙的主要用途在于阻止非工控设备从中控室访问控制层设备。(协议型访问控制设备:仅允许OPC/实时服务器和设备工程师进入控制层)
c. 不同IP子网是隔离的?答:子网掩码是告诉计算机如何改变寻址方式。看一下网卡IP的高级设置就知道,不同子网间能直接通讯。如果把本机地址设成网关地址或通讯对象IP设成网关地址都能直接通讯的。真正的隔离技术主要有ACL和VLAN。
d. 工控设备PLC等与一般的计算机、网络打印机等信息设备网络防护有区别吗?
答:计算机是多应用系统,支持不同的用户应用。而工控设备PLC往往是单一应用(可以是多任务)系统,仅仅允许运行一个用户程序。独立的网络计算机病毒(蠕虫)难以感染,但并不意味不能将蠕虫的某些功能插入到用户程序中,这样也能人为制造类似蠕虫的受感染的用户程序。当然有重启等现象,很难象计算机一样悄无声息地传播。网络打印机实际上是一台计算机可供多用户共享。
e. 明明本机ARP列表中已经有本子网的很多设备的IP地址了。为什么网络蠕虫非要通过主机扫描来获得攻击对象的IP地址?主机扫描和Ping扫描一样吗?
答:由于操作系统的防护技术改善,强调应用隔离。只有系统Dos命令窗口,才能读取ARP缓存表。应用程序无权获取其它应用的通讯对象地址,即不能读取ARP缓存表。所以,网络蠕虫也无法获取其它程序应用通讯对象的IP地址。蠕虫主机扫描是一种盲攻行为。即扫描包也是符合其攻击所特定端口号的通讯攻击包。Ping包是符合ICMP的网络查询包。
f. 为何必须通过安全区和访问控制来限定计算机的访问对象?答:木马的后门攻击通讯内容是盗取的用户数据和操控命令数据。传输的数据不包含网络病毒的代码。无法用代码特征来判别。只能通过阻拦的方式。同时也限制了蠕虫病毒的攻击范围。
g. 计算机病毒传播病毒代码的机制?能假设网络病毒可以任意传播吗?
答:计算机病毒代码在传递过程中需要维持或最终型态是可执行文件的代码结构。对于已经激活的网络蠕虫而言,有自主上网功能,其并不一定依赖于文件方式传播来保证病毒代码结构不被破坏,其本身可能可以从某种数据结构变身成可运行程序文件代码。而未激活的网络病毒或其它计算机病毒,既无自主上网能力,也没有运行,必须依赖于某种文件共享机制得以传播并保证病毒代码结构不被破坏。内网除了激活的蠕虫通过攻击传播网络蠕虫病毒。其它病毒是
通过某种文件共享机制传播的。总之,没有主机扫描(漏洞攻击)和某种文件共享机制,网络病毒和计算机病毒不能传播。(没有私家车,只能坐公交,没有上电,金刚难变形)
h. 网络木马可侦听那些网络信息吗?其侦听的内容和条件?
答:网络木马一般不能工作在网卡混杂模式下(申请混杂模式会被发现),除了窃取本机用户信息外,交换机不会将其它IP设备的信息内容主动发送给它,而且其侦听的内容也受限于其申请的软件端口号,因此其侦听的内容受限于该木马病毒软件的套接字以及IP欺骗劫持的对象。当网络通讯中断时(网关劫持),若无通讯故障,请检查一下80或8080服务端口号是否打开。一般计算机该端口号是关闭的。一些木马用IP欺骗的方式来探测和寻找那些IP地址可以出网。在独立封闭网络中,木马病毒的破坏性主要体现在会造成通讯中断。


十五、典型多个控制系统访问控制策略

  • 1.各类调试工程师需要直接连接控制层的PLC、智能仪表和回路控制器、变频器。与其它中控室设备隔离,防止网络病毒驻留。(工业防火墙的使用场合,仅允许设备工程师进入控制网)
  • 2.OPC服务器(实时数据库)是最重要的设备,其不仅和PLC通讯,而且是实时数据的核心服务器,不应和中控室无关联的信息设备通讯。(仅HMI、历史数据库、报警服务器、PLC)
  • 3.控制层不应允许不必要的计算机进入,仅设备工程师可以进入。同时OPC服务器可访问指定的PLC。
  • 4.各控制系统间隔离,PLC间有联动控制。
  • 5.信息处理层包括历史服务器、报表服务器、报警服务器、打印机、HMI等。

案例
图 15安全隔离区、访问控制的关系示意图
注:椭圆为安全隔离区,双箭头型通道为访问控制通道。设备工程师划入控制层隔离组不影响访问控制设计,因为任何访问控制不能影响正常通讯,该通的必须通。


十六、典型多个控制系统安全区/访问控制的实现
组案例
图 16安全区分层分系统设置
安全区分层分系统设置
  • 设备调试工程师、2个分控制系统,PLC控制器、变频和智能仪表——控制层
  • OPC实时采集——数据采集层
  • 中控室信息中心——人机交换等信息处理层
 
访控案例
图 17访问控制设置
 
访问控制设置

  • PLC间的控制联动
  • 2个实时数据采集(和PLC通讯)中控室信息系统数据处理

方案
图18 方案设计实例

 
文档附件:

自恒方案网络安全等保实施方案说明