[工业网络][4] 网络防御

防御

防御方案

层层防御的原则是依赖于多层次的重叠防护措施，以防止最严重的情况发生。如果一层措施失效，下一层措施将接管，依此类推。为了理解这个概念如何应用于工业网络安全，我们首先看看如何应用于一个常见的化工处理应用，其中包括安全仪表系统（SIS）。

一个简单的聚合反应过程使用两种危险化学品，一种是单体（化学品A），另一种是第二种反应物（化学品B），可能是反应的引发剂或催化剂。这种反应是放热的，也就是说，当这两种化学品混合并升温至反应温度时会释放热量。

以下图中展示了简单聚合反应的设置示例。在图中，我们的单体（化学品A）从右侧的储罐通过控制阀流入反应器，与化学品B混合，后者从左侧的储罐通过控制阀流入反应器。这个过程可能是顺序进行的（例如，首先向反应器加入单体，然后在实际反应步骤中缓慢加入化学品B）。

聚合反应的一个众所周知的过程安全风险是可能发生的“热失控”，即反应中的热量在反应器容器内积聚，升高反应混合物的温度和压力，直至爆破反应器容器，导致爆炸、火灾，并释放危险液体到周围环境中。过程安全策略是通过移除产生的热量来控制反应，永远不要让反应积聚到产生比可以移除的热量更多的程度。

为了防止热失控的可能性，控制系统安全设计采用了“层层防御”的设计理念。按照如 ANSI/ISA-84.00.01-2004《功能安全：过程工业部门的安全仪表系统》和 IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》等规范，保护层的设计形成了安全仪表系统设计的基础。

安全示例

现在假设我们的聚合反应发生在一个小型化工厂，其控制室旁边设有办公楼，如图所示的现场布局。（实际上，控制室和办公楼应该远离反应区和化学品储存区，以确保安全。）请注意，在安全示例中，我们防范的危险是发生在反应容器内部，我们的安全层级是向外延伸的。而在这个安全示例中，我们是从外部向内保护。

让我们在以上图中包括业务网络和控制网络。业务网络将为办公楼提供服务，而控制室/化学反应器区域将设有基本过程控制系统（BPCS）网络和安全仪表系统（SIS）。

假设我们的任务是保护办公网络、BPCS和SIS，防止黑客通过互联网通过防火墙入侵化工厂，试图引发失控反应。最重要的是保护SIS，因为它是关键的安全系统。其次是BPCS，最后是业务系统。

在以下图中绘制一系列同心圆环，首先是围绕SIS，然后是围绕BPCS，最后是围绕业务网络，将帮助我们讨论安全防御的分层策略。

攻击者首先必须穿透企业防火墙才能进入业务网络（第一层）。接下来的目标将是BPCS网络（第二层），最后是SIS（第三层）。如果仅业务网络和BPCS受到损害，SIS和随后的安全层将发挥作用，防止失控反应的发生。如果BPCS和SIS都受到损害，失控反应的可能性更大。现在只能通过操作人员的额外行动或机械安全装置（如破裂盘和二次封闭）等附加保护层来防止失控。如果所有这些都失败了，应急响应将处理后续的后果。

为了使分层的网络安全防御策略有效，每一层都应该有自己的防御措施，而不仅仅是被动地“坐视不管”。例如，业务网络可能装有入侵检测/防护系统，以便检测和阻止企图从防火墙以外发起的网络攻击。

然而，假设我们在图中将一个外部调制解调器连接到BPCS网络，这样过程工程师可以在周末和假日远程办公到工厂。现在我们的分层防御模型会发生什么变化？如果外部黑客通过拨号和猜测密码，能够直接进入BPCS，而无需通过企业防火墙进行入侵，他实际上绕过了第一层，直接到达第二层。（拨号器是一种用于识别可以连接调制解调器的电话号码的计算机程序。）更糟糕的是，如果在第三层有一个调制解调器连接，也许是为了让SIS供应商与SIS进行通信，黑客可能会绕过第一层和第二层，获取访问权限。黑客可能会对第三层进行隐蔽破坏，例如停用SIS。这种情况可能直到BPCS失去对反应的控制，并需要SIS来恢复反应控制时才会显现出来。

这引出了另一个观察结果：每一层防御只有在没有容易绕过该层的方法时才会有效。

访问控制

与网络访问控制一起，物理访问控制的平行区域将确定和执行谁可以进入控制室或工业网络所在的其他物理位置。为了真正有效，网络和物理访问控制必须共同行动。

最小权限原则

如果一名员工或承包商离职或因为某种原因被解雇，最重要的访问控制措施是立即撤销其所有的物理和网络访问权限。这包括收回或作废所有的物理门禁卡、钥匙等，立即删除或作废他们在任何系统中的密码和其他授权。特别重要的是，要取消他们的远程访问权限（如调制解调器、虚拟专用网络等）。如果他们有权访问任何组或共享账户，这些密码应立即更改。

网络隔离

分层防御的原则意味着直接的办公室局域网到工业网络连接不是一个好主意。任何能够访问办公室局域网的人，无论其访问是合法的还是非法的，现在都可以完全访问工业网络及其组件，包括hmi、控制服务器等。
那么结果如何呢?

防火墙及边界防护

防火墙充当“看门人”或“交通警察”，过滤和阻止从一个网络到另一个网络的流量。让我们看两个例子。

• 防火墙“A”保护公司的商业局域网免受外界的攻击
  互联网。
• 防火墙“B”是内部的，将商业局域网与工业网络分开。

每个防火墙都有一组防火墙“策略”，这些策略决定了一端的哪些主机或网络可以与另一端的主机或网络进行通信。
这一切都归结为是/否的决定，是否允许或拒绝每个尝试的连接。

如果企业LAN用户想要连接到外部web服务器(防火墙“监听”通过web协议HTTP连接的尝试)，这是“允许的”。
(除非管理层限制了太多的网上冲浪!)
然而，如果一个商业局域网用户想要连接到一个外部的流媒体“RealAudio”服务器，这个连接可能会被公司IT网络安全“拒绝”。

入侵检测

入侵探测器监视计算机网络或计算机主机，寻找可能的入侵。一般有两种类型的入侵探测器:

• Network-based (NIDS – Network Intrusion Detection System)
• Host-based (HIDS – Host Intrusion Detection System)

基于网络的入侵探测器可以通过接口连接到它所监视的网络“网络嗅探器”安排，或者它可以嵌入到路由器、防火墙或独立设备的操作代码中。

它可能会寻找以下警告信号中的一种或两种:

• 已知攻击签名，从已知攻击(如蠕虫)的最新数据库中识别。
• 网络流量异常，统计上可疑的流量模式变化。例如，一个很少使用的端口或IP地址上的大量传入流量可能表明存在攻击。

基于主机的入侵检测器安装在特定的主机计算机上，例如工作站或服务器。它可能会对主机上的所有关键文件执行定期扫描，以寻找未经授权的修改迹象，这可能表明入侵者对主机系统的危害。这个操作称为“文件完整性检查”。它还可以监视进出特定主机的网络流量，或查找可疑的使用模式，这可能表明入侵者正在工作。
企业网络中典型的NIDS和HIDS部署方式如图所示。

图中所示为部署在企业防火墙内部的用于侦听或“嗅探”网络流量的NIDS。它寻找外部入侵的特征或模式互联网通过公司防火墙。
另一方面，HIDS监测一台主机;在这种情况下，主机对业务局域网。
NIDS或HIDS在感知到潜在入侵时所采取的操作可能各不相同，从发送电子邮件到呼叫系统管理员。
入侵检测的一种新变体被称为入侵防御。该检测器自动采取预先安排的行动

病毒控制

病毒是已知存在的。其中大部分是“zoo”病毒，仅存在于受控的实验室收集品中。然而，我们非常清楚，大量“在野外”的病毒已经被释放到网络空间并造成了破坏。

以下图中说明病毒编写者创建一个全新的病毒，或在旧病毒上创建一个新变体，并将其“在野外”释放的情况。一些电脑被感染了，它们的主人将新病毒感染的样本发送给反病毒供应商的研究团队。

在几个小时内，反病毒团队“拆解”了病毒的内部工作原理，并捕获了该病毒的独特特征，或代码模式，作为一个简短的比特序列。
然后，防病毒供应商将该病毒签名作为病毒签名文件的更新分发给其客户。

问题是他们开发的病毒特征只对特定的病毒有效。病毒编写者可以对病毒进行“微调”，以改变其代码模式，并制作出不被发现的新版本。病毒编写者可能会购买几个品牌的病毒检测软件，以便下载最新的签名文件更新，并检查是否可以检测到他们的“调整”病毒!

病毒可能攻击运行程序和内存中的不同位置。图中仅展示了历史上主要的几种病毒，以及攻击类型。