通訊協(xié)議007——OPC安全防護

2023-07-04 21:40 作者:zhouwl72 0人讀過 | 我要投稿

本文闡述了控制網(wǎng)絡(luò)以O(shè)PC接口接入信息網(wǎng)絡(luò)應(yīng)當(dāng)采用的安全防護。更多通訊資源可登錄網(wǎng)信智匯(wangxinzhihui.com)。

防火墻是大家熟知的網(wǎng)絡(luò)安全產(chǎn)品,并被用作控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的安全隔離。實際上，這樣的方案是不合適的。

?????? 這是由于防火墻由于其自身機理的原因，存在很多先天不足，主要包括：

1)?? 由于防火墻本身是基于TCP/IP協(xié)議體系實現(xiàn)的，所以它無法解決TCP/IP協(xié)議體系中存在的漏洞。

2)?? 防火墻只是一個策略執(zhí)行機構(gòu)，它并不區(qū)分所執(zhí)行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。從這點上看，防火墻一旦被攻擊者控制，由它保護的整個網(wǎng)絡(luò)就無安全可言了。

3)?? 防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

4)?? 防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數(shù)據(jù)包檢查的項目（即防火墻的功能）就越多越細，對CPU和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降，處理速度減慢。

5)?? 防火墻準許某項服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應(yīng)用安全來解決。

從實際應(yīng)用來看，防火墻較為明顯的局限性包括以下幾方面：

1)?? OPC基于DCOM機制，無法穿透防火墻。

2)?? 防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò)四層以下的控制，對于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。

3)?? 防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。

4)?? 防火墻不能防止由自身安全漏洞引起的威脅。

5)?? 防火墻對用戶不完全透明，非專業(yè)用戶難于管理和配置，易造成安全漏洞。

6)?? 防火墻很難為用戶在防火墻內(nèi)外提供一致的安全策略，不能防止利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊，也不能防止利用服務(wù)器系統(tǒng)漏洞所進行的攻擊。

7)?? 由于防火墻設(shè)置在內(nèi)網(wǎng)與外網(wǎng)通信的信道上，并執(zhí)行規(guī)定的安全策略，所以防火墻在提供安全防護的同時，也變成了網(wǎng)絡(luò)通信的瓶頸，增加了網(wǎng)絡(luò)傳輸延時，如果防火墻出現(xiàn)問題，那么內(nèi)部網(wǎng)絡(luò)就會受到嚴重威脅。

8)?? 防火墻僅提供粗粒度的訪問控制能力。它不能防止數(shù)據(jù)驅(qū)動式的攻擊。

防火墻正是由于這些缺陷與不足，，以防火墻為核心的安全防御體系未能有效地防止工業(yè)控制網(wǎng)絡(luò)攻擊。

在防火墻的發(fā)展過程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構(gòu)在高安全性方面的缺陷，驅(qū)使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，網(wǎng)閘應(yīng)運而生。

網(wǎng)閘的指導(dǎo)思想與防火墻也有很大的不同，體現(xiàn)在防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；而網(wǎng)絡(luò)隔離的思路是在必須保證安全的前提下，盡可能支持數(shù)據(jù)交換，如果不安全則斷開。

網(wǎng)閘主要目標是解決目前信息安全中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離是目前唯一能解決上述問題的安全技術(shù)。

網(wǎng)閘主要的技術(shù)原理是從OSI模型的七層上全面斷開網(wǎng)絡(luò)連接，同時采用“2+1”的三模塊架構(gòu)，即內(nèi)置有兩個主機系統(tǒng)，和一個用于建立安全通道可交換數(shù)據(jù)的隔離單元。這種架構(gòu)可以實現(xiàn)連接到外網(wǎng)和內(nèi)網(wǎng)的兩主機之間是完全網(wǎng)絡(luò)斷開的，從物理上進行了網(wǎng)絡(luò)隔離，消除了數(shù)據(jù)鏈路的通信協(xié)議，剝離了TCP/IP協(xié)議，剝離了應(yīng)用協(xié)議，在安全交換后進行了協(xié)議的恢復(fù)和重建。通過TCP/IP協(xié)議剝離和重建技術(shù)消除了TCP/IP協(xié)議的漏洞。在應(yīng)用層對應(yīng)用協(xié)議進行剝離和重建，消除了應(yīng)用協(xié)議漏洞，并可針對應(yīng)用協(xié)議實現(xiàn)一些細粒度的訪問控制。從TCP/IP的OSI數(shù)據(jù)模型的所有七層斷開后，就可以消除目前TCP/IP存在的所有攻擊。