企業(yè)如何實(shí)施安保策略

一、概述

        根據(jù)工業(yè)自動(dòng)化和控制系統(tǒng)自然屬性和與他們相關(guān)獨(dú)有安保的考慮，確保遠(yuǎn)程訪問(wèn)具有高度安全是非常重要的。通過(guò)使用多層安保的方法，可以防止遠(yuǎn)程訪問(wèn)各種潛在安保的威脅。思科和羅克韋爾自動(dòng)化推薦的方法，能夠保證遠(yuǎn)程訪問(wèn)與現(xiàn)有工廠架構(gòu)兼容，與使用“深度防御”、結(jié)合多種安保方案的理念相一致。雖然現(xiàn)在還沒(méi)有單一技術(shù)和方法，能夠?qū)崿F(xiàn)工業(yè)網(wǎng)絡(luò)的安保，但結(jié)合不同技術(shù)，對(duì)最常見(jiàn)類型的威脅和安保漏洞，可以構(gòu)成了一個(gè)牢固的、具有威懾力的方案，限制了危及安全的影響。圖1描述了對(duì)遠(yuǎn)程工程師和伙伴訪問(wèn)工廠應(yīng)用的安保技術(shù)。

圖1 使用按深度防御的方法，實(shí)現(xiàn)安全遠(yuǎn)程訪問(wèn)

二、實(shí)施步驟

        實(shí)施工業(yè)應(yīng)用遠(yuǎn)程訪問(wèn)的步驟如下。（詳情可參考圖2。）
 
        1. 使用標(biāo)準(zhǔn)企業(yè)遠(yuǎn)程訪問(wèn)方案，基于客戶機(jī)的形式，使用IP安保（IPsec）加密的虛擬個(gè)人網(wǎng)絡(luò)（VPN）技術(shù)，通過(guò)因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對(duì)遠(yuǎn)程個(gè)人進(jìn)行遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（RADIUS），這通常是由IT部門(mén)組織實(shí)施和管理。

        2. 使用隔離區(qū)（DMZ）/防火墻中的訪問(wèn)控制列表（ACL），限制遠(yuǎn)程伙伴通過(guò)IPsec到工廠現(xiàn)場(chǎng)的訪問(wèn)。通過(guò)隔離區(qū)連接到工廠現(xiàn)場(chǎng)，只能使用一種安全瀏覽器（HTTPS）。

        3. 訪問(wèn)一個(gè)安全瀏覽器（HTTPS）門(mén)戶應(yīng)用，它運(yùn)行于隔離區(qū)/防火墻上。這要求再次登錄/驗(yàn)證。

        4. 在遠(yuǎn)程客戶機(jī)和工廠的隔離區(qū)防火墻之間，使用一種安全套接字層（SSL）的虛擬個(gè)人網(wǎng)絡(luò)（VPN）會(huì)話，并且限制通過(guò)HTTPS使用遠(yuǎn)程終端會(huì)話（比如，遠(yuǎn)程桌面協(xié)議）。

        5. 利用在防火墻上的侵入保護(hù)和檢測(cè)系統(tǒng)（IPS/IDS），檢查進(jìn)出遠(yuǎn)程訪問(wèn)服務(wù)器的數(shù)據(jù)流，防止攻擊和威脅，并適當(dāng)?shù)亟o予阻截。這對(duì)防止來(lái)自遠(yuǎn)程設(shè)備穿越防火墻和影響遠(yuǎn)程訪問(wèn)服務(wù)器的病毒和其他威脅是非常重要的。

        6. 允許遠(yuǎn)程用戶執(zhí)行終端會(huì)話，訪問(wèn)駐留在遠(yuǎn)程訪問(wèn)服務(wù)器中的自動(dòng)化和控制應(yīng)用。需要應(yīng)用級(jí)的登錄/驗(yàn)證。

        7. 執(zhí)行應(yīng)用安保功能，對(duì)訪問(wèn)遠(yuǎn)程訪問(wèn)服務(wù)器的用戶，限制其應(yīng)用功能（諸如只讀，非在線功能）。

        8. 把遠(yuǎn)程訪問(wèn)服務(wù)器分配到不同的虛擬局域網(wǎng)（VLAN），并且讓所有在遠(yuǎn)程訪問(wèn)服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過(guò)防火墻。對(duì)這個(gè)數(shù)據(jù)流使用侵入檢測(cè)和保護(hù)服務(wù)，保護(hù)制造區(qū)域免受攻擊、蠕蟲(chóng)和病毒的破壞。

圖2 遠(yuǎn)程訪問(wèn)工業(yè)自動(dòng)化和控制系統(tǒng)示意圖

[DividePage:NextPage]

三、相關(guān)問(wèn)題探討

        1. 使用標(biāo)準(zhǔn)IT推薦的遠(yuǎn)程企業(yè)訪問(wèn)方案– IPsec VPN

        因特網(wǎng)協(xié)議安全性 (IPSec)是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在因特網(wǎng)協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。微軟的Windows2000、Windows XP 和 Windows Server 2003 家族實(shí)施 IPSec 是基于“因特網(wǎng)工程任務(wù)組 (IETF)”IPSec工作組開(kāi)發(fā)的標(biāo)準(zhǔn)。

        多數(shù)企業(yè)安保指南和規(guī)則都保持著對(duì)公司網(wǎng)絡(luò)訪問(wèn)的嚴(yán)格管理。因此，任何訪問(wèn)公司網(wǎng)絡(luò)的遠(yuǎn)程伙伴或者員工都要經(jīng)過(guò)批準(zhǔn)，使用基于IT的遠(yuǎn)程企業(yè)訪問(wèn)方案。

        這些方案通常包括建立一個(gè)帳號(hào)和授權(quán)，為最終用戶提供一個(gè)VPN，可以從任何地方連接到公司網(wǎng)絡(luò)。VPN技術(shù)包括IPsec和SSL?；贗Psec的VPN是最廣泛使用的遠(yuǎn)程訪問(wèn)技術(shù)，也是今天企業(yè)使用最多的方案。IPsec VPN 技術(shù)需要在遠(yuǎn)程用戶計(jì)算機(jī)上安裝特殊軟件?；赟SL的VPN現(xiàn)在也非常流行的，因?yàn)樗鼈儾捎靡环N無(wú)客戶機(jī)（clientless）方式（客戶機(jī)系統(tǒng)僅需要一個(gè)Web瀏覽器）。

        這里推薦的架構(gòu)使用基于IPsec的VPN，供遠(yuǎn)程工作人員訪問(wèn)企業(yè)網(wǎng)絡(luò)。安裝在遠(yuǎn)程用戶計(jì)算機(jī)上的軟件客戶端要支持IPsec VPN。這有時(shí)對(duì)外部的用戶，諸如伙伴或者供應(yīng)商，是一個(gè)挑戰(zhàn)，這要按照公司的政策和相關(guān)的技術(shù)給予處理。在企業(yè)級(jí)范圍部署遠(yuǎn)程訪問(wèn)方案時(shí)，還要考慮關(guān)于SSL和IPsec VPN技術(shù)的容量和交互問(wèn)題，這里推薦使用IPsec VPN的解決方案，它可以完成對(duì)企業(yè)級(jí)的遠(yuǎn)程訪問(wèn)。另一個(gè)實(shí)施遠(yuǎn)程訪問(wèn)的選項(xiàng)是不需要終端用戶安裝軟件客戶端，因?yàn)榧夹g(shù)和市場(chǎng)的發(fā)展已經(jīng)具備這樣的能力了。

        訪問(wèn)企業(yè)網(wǎng)絡(luò)通常需要驗(yàn)證、授權(quán)和帳號(hào)（AAA），經(jīng)常要建立一種遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（RADIUS）服務(wù)器。另外，企業(yè)IT部門(mén)甚至可能建立網(wǎng)絡(luò)訪問(wèn)控制（NAC），用于遠(yuǎn)程用戶核實(shí)，外部系統(tǒng)運(yùn)行一個(gè)確定的等級(jí)碼，并且有確定的安保碼（常被稱為姿態(tài)：Posture）。雖然這里不詳細(xì)討論NAC，有些公司的政策可能需要每個(gè)遠(yuǎn)程用戶具有自己的安保碼以通過(guò)NAC核實(shí)。NAC帶來(lái)了一些優(yōu)勢(shì)，諸如保護(hù)其他的基礎(chǔ)設(shè)施（比如遠(yuǎn)程訪問(wèn)服務(wù)器），防止來(lái)自遠(yuǎn)程用戶因不知道遠(yuǎn)程系統(tǒng)存在的病毒、鍵記錄器、間諜件、或蠕蟲(chóng)可能帶來(lái)的感染和影響。

        為遠(yuǎn)程伙伴建立的遠(yuǎn)程帳號(hào)通常不是暫時(shí)或即時(shí)的服務(wù)。它可能需要一段時(shí)間來(lái)建立，所以這不適合特別或未知的用戶。一旦建立完成，通常就可使用，支持一個(gè)固定的時(shí)間量，因此對(duì)內(nèi)部員工和重要伙伴等熟悉的用戶，是一個(gè)很好的解決方案。

        2. 限制遠(yuǎn)程伙伴的訪問(wèn)

        一旦建立了訪問(wèn)企業(yè)的網(wǎng)絡(luò)，遠(yuǎn)程伙伴對(duì)公司資源的訪問(wèn)具有明確限制。遠(yuǎn)程員工/工程師訪問(wèn)的內(nèi)容由他們公司的帳號(hào)來(lái)決定。對(duì)遠(yuǎn)程伙伴訪問(wèn)資源和應(yīng)用具有限制，要建立嚴(yán)格的訪問(wèn)控制列表（ACL），通過(guò)限制IP地址和傳輸層端口號(hào)來(lái)執(zhí)行。在這種情況下，到工廠DMZ防火墻的訪問(wèn)和使用HTTPS協(xié)議（端口號(hào)433）會(huì)受到限制。遠(yuǎn)程伙伴不能訪問(wèn)所有其他無(wú)關(guān)IP地址和端口號(hào)，以維持公司的安保環(huán)境。

        這些約束可以在公司網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中使用ACL來(lái)實(shí)施，諸如圖2中因特網(wǎng)邊緣的防火墻。這些ACL通常需要公司的IT部門(mén)或負(fù)責(zé)安保的團(tuán)隊(duì)來(lái)進(jìn)行管理和維護(hù)。

        3. 使用支持HTTPS的安全Web瀏覽器

        HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類同http體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

        所有與工廠現(xiàn)場(chǎng)互動(dòng)的數(shù)據(jù)和應(yīng)用，遠(yuǎn)程工程師和伙伴應(yīng)該使用支持HTTPS的瀏覽器來(lái)執(zhí)行。HTTPS提供了外加的加密和驗(yàn)證功能，這是當(dāng)今因特網(wǎng)應(yīng)用最常使用的技術(shù)。

        建議遠(yuǎn)程客戶不要使用一般瀏覽器對(duì)工廠現(xiàn)場(chǎng)應(yīng)用進(jìn)行訪問(wèn)。

        4. 建立與工廠DMZ防火墻的SSL VPN 會(huì)話

        一旦安全瀏覽器連接了防火墻，防火墻要建立一個(gè)與遠(yuǎn)程用戶的SSL VPN會(huì)話，增加另一層保護(hù)。這個(gè)會(huì)話會(huì)進(jìn)一步保護(hù)終端客戶機(jī)和工廠防火墻之間的數(shù)據(jù)流。遠(yuǎn)程訪問(wèn)服務(wù)器需要對(duì)遠(yuǎn)程用戶再一次進(jìn)行驗(yàn)證，檢驗(yàn)服務(wù)/帳號(hào)。

        另外，工廠服務(wù)器確保所有遠(yuǎn)程用戶被驗(yàn)證和授權(quán)使用遠(yuǎn)程訪問(wèn)服務(wù)。

        5. 入侵檢測(cè)/保護(hù)系統(tǒng)IDS/IPS

        一旦用戶建立了一個(gè)會(huì)話，防火墻的侵入檢測(cè)和保護(hù)服務(wù)開(kāi)始運(yùn)行，檢查進(jìn)出防火墻的數(shù)據(jù)流，防止不同類型的網(wǎng)絡(luò)威脅。IDS/IPS 指定為工廠架構(gòu)的一部分，要檢查所有通過(guò)防火墻的數(shù)據(jù)流。IDS/IPS增加了一個(gè)安保等級(jí)，阻止來(lái)自遠(yuǎn)程系統(tǒng)可能的威脅和攻擊，在源頭阻截惡意數(shù)據(jù)流，防止這些威脅在隔離區(qū)或者制造區(qū)影響系統(tǒng)。

        雖然NAC也可以減少來(lái)自遠(yuǎn)程系統(tǒng)的威脅，但兩種技術(shù)可以取長(zhǎng)補(bǔ)短，NAC針對(duì)遠(yuǎn)程系統(tǒng)的姿態(tài)（版本和保護(hù)類型），IPS/IDS檢查沒(méi)有被NAC阻截的威脅和攻擊的數(shù)據(jù)流。再者，按深度防御的方法需要實(shí)施不同的安保服務(wù)。

        6. 到遠(yuǎn)程訪問(wèn)服務(wù)器的遠(yuǎn)程終端會(huì)話

        一旦安全瀏覽器建立了與工廠隔離區(qū)的連接，防火墻可以允許這個(gè)用戶通過(guò)終端會(huì)話訪問(wèn)遠(yuǎn)程訪問(wèn)服務(wù)器?？梢允褂眠h(yuǎn)程桌面協(xié)議（RDP），Citrix，虛擬網(wǎng)絡(luò)計(jì)算（VNC），或者其他終端會(huì)話技術(shù)。在使用RADIUS服務(wù)器前，防火墻會(huì)提示用戶通過(guò)驗(yàn)證，經(jīng)過(guò)授權(quán)的用戶才可以訪問(wèn)遠(yuǎn)程訪問(wèn)服務(wù)器。

        僅允許使用遠(yuǎn)程終端協(xié)議，可使通過(guò)遠(yuǎn)程會(huì)話造成的病毒或攻擊的潛在風(fēng)險(xiǎn)大大降低了，工廠還可以審計(jì)和記錄遠(yuǎn)程工程師或者伙伴的所作所為。

        7. 在遠(yuǎn)程訪問(wèn)服務(wù)器上的自動(dòng)化和控制應(yīng)用

        遠(yuǎn)程訪問(wèn)服務(wù)器負(fù)責(zé)核準(zhǔn)自動(dòng)化和控制應(yīng)用，諸如羅克韋爾自動(dòng)化的FactoryTalk? View或者RSLogix? 5000。在一個(gè)安全、專用的服務(wù)器上執(zhí)行這些應(yīng)用，工廠現(xiàn)場(chǎng)人員可以嚴(yán)格控制應(yīng)用的版本，限制可以執(zhí)行的操作－比如允許只讀操作－甚至限制能夠訪問(wèn)的設(shè)備類型，比如僅允許供應(yīng)商看到他們有關(guān)的設(shè)備。

        遠(yuǎn)程訪問(wèn)服務(wù)器的建立和配置要慎重考慮。對(duì)遠(yuǎn)程訪問(wèn)服務(wù)器的用戶驗(yàn)證不應(yīng)該對(duì)他們的應(yīng)用等級(jí)和系統(tǒng)等級(jí)進(jìn)行改變。比如：你不想讓用戶對(duì)應(yīng)用服務(wù)器編輯注冊(cè)或者成為本地視窗的管理員。

        8. 檢查到達(dá)與離開(kāi)遠(yuǎn)程訪問(wèn)服務(wù)器的數(shù)據(jù)流和VLAN分段

        為了嚴(yán)格控制到達(dá)和離開(kāi)遠(yuǎn)程訪問(wèn)服務(wù)器的數(shù)據(jù)流，服務(wù)器應(yīng)該劃分到特定的VLAN上，數(shù)據(jù)流要通過(guò)防火墻的檢查。防火墻能夠路由遠(yuǎn)程訪問(wèn)VLAN的數(shù)據(jù)流。如果遠(yuǎn)程訪問(wèn)服務(wù)器的數(shù)量多于一個(gè)，每個(gè)服務(wù)器可以在不同的VLAN上，每個(gè)VLAN可以訪問(wèn)一個(gè)特定的制造VLAN，因此進(jìn)一步限制了遠(yuǎn)程用戶對(duì)制造區(qū)域的訪問(wèn)。

[DividePage:NextPage]

四、相關(guān)責(zé)任的劃分

        就像每個(gè)工廠的網(wǎng)絡(luò)解決方案，成功實(shí)施遠(yuǎn)程訪問(wèn)功能都需要IT部門(mén)和現(xiàn)場(chǎng)部門(mén)的緊密合作。兩個(gè)組織根據(jù)每個(gè)團(tuán)隊(duì)的技術(shù)、能力和資源，按架構(gòu)和責(zé)任進(jìn)行劃分達(dá)成一致，在系統(tǒng)的整個(gè)生命周期（設(shè)計(jì)、實(shí)施、管理等）是非常重要的。

        責(zé)任的分類應(yīng)根據(jù)IT和現(xiàn)場(chǎng)的交互與合作級(jí)別制定。表1中，我們假設(shè)在工廠防火墻對(duì)生產(chǎn)和IT劃分責(zé)任；IT負(fù)責(zé)防火墻的配置，特別是防火墻之上的部分。很多情況下，生產(chǎn)部門(mén)和IT部門(mén)應(yīng)一起合作，對(duì)隔離區(qū)進(jìn)行設(shè)計(jì)、實(shí)施和操作。生產(chǎn)部門(mén)通常對(duì)制造區(qū)域的建立和配置負(fù)責(zé)。這個(gè)責(zé)任分割高度依賴于每個(gè)組織的技術(shù)和能力。當(dāng)IT和生產(chǎn)部門(mén)一起工作的很好時(shí)，IT部門(mén)可以承擔(dān)某些制造區(qū)域中的網(wǎng)絡(luò)設(shè)計(jì)、實(shí)施和操作的責(zé)任。

表1 舉例：IT部門(mén)和生產(chǎn)部門(mén)的責(zé)任劃分

        很多企業(yè)依靠合作伙伴和供應(yīng)商提供貫串系統(tǒng)生命周期的服務(wù)，涵蓋了設(shè)計(jì)、實(shí)施和運(yùn)行。這些服務(wù)可以彌補(bǔ)企業(yè)所缺乏的相關(guān)能力，完成時(shí)間短，確保了系統(tǒng)架構(gòu)設(shè)計(jì)滿足應(yīng)用的需求。找到具有IT和生產(chǎn)相關(guān)知識(shí)、可以滿足企業(yè)整體需求的合作伙伴并不容易，這也是企業(yè)要慎重考慮的。

        圖3概述了如何對(duì)遠(yuǎn)程訪問(wèn)架構(gòu)進(jìn)行責(zé)任劃分。注意，這個(gè)圖對(duì)實(shí)際的現(xiàn)場(chǎng)網(wǎng)絡(luò)架構(gòu)進(jìn)行了簡(jiǎn)化，針對(duì)需要遠(yuǎn)程訪問(wèn)的關(guān)鍵部分進(jìn)行了描述。

圖3 舉例：IT 和生產(chǎn)責(zé)任區(qū)的劃分

（轉(zhuǎn)載）