工业互联网安全防护技术 课件 项目二 工业互联网网络安全

项目二工业互联网网络安全

学习目标了解掌握熟悉熟悉了解XXX12熟悉XXXX熟悉XXXXX34掌握XXXX目录页2.1网络边界安全2.2安全监测审计2.3网络接入安全2.1网络边界安全【任务目标】1.深入理解与研究工业防火墙功能，理解工业防火墙在工业网络安全体系中的作用和重要性。2.完成工业防火墙的初始化设置与用户管理。3.实施并优化工业防火墙安全策略配置，能够根据不同的应用场景和安全需求，配置工业防火墙的安全策略。2.1网络边界安全【知识图谱】2.1网络边界安全【基础知识】一、什么是网络边界安全在工业互联网中，边界网络安全是指在网络架构中，为了保护网络内部资源和数据免受来自外部网络的威胁而采取的安全措施。边界网络安全可以将网络划分为内部网络和外部网络，并在两者之间设置边界控制设备，通过这些设备，企业可以监视和控制对其资源和数据的访问，以及检测和阻止恶意网络行为。边界网络安全主要是通过建立边界防火墙和访问控制策略来限制外部网络与内部网络的通信，确保网络内的敏感信息不会被未经授权的访问和利用。这些措施共同构成了工业互联网的网络边界安全体系，有效防范来自网络外界的各类安全威胁。2.1网络边界安全【基础知识】二、什么是工业防火墙工业防火墙是一种专为工业控制系统(IndustrialControlSystems,ICS)设计的网络安全设备。其主要功能是在工业生产环境中，为关键基础设施提供坚不可摧的网络保护，从而有效抵御各种网络攻击。工业防火墙是一种结合了先进硬件和软件的解决方案。常用于部署在工业控制系统的网络边界或关键设备的前端。它的主要作用是划分和隔离不同的安全区域，有效阻止任何未经授权的访问和潜在的非法指令执行。除了基本的防火墙功能，它还提供针对工业控制系统特有的安全威胁的防护，确保这些系统在面对复杂的网络攻击时能够保持安全。工业防火墙的一大特色是对工业网络中所使用的特定通信协议，如Modbus、DNP3、PROFINET和OPC等进行深度检测和分析。这种深度检测能够让它更准确地识别出正常和异常的通信流量，从而有效阻止潜在的威胁。此外，考虑到工业环境往往面临各种极端条件，如高温、高湿等，工业防火墙还采用了特殊的工业级硬件设计，以确保在这些恶劣环境下也能稳定运行。为了进一步提高安全性，工业防火墙还采用了严格的白名单策略，即只有那些被预先定义和认可为合法的通信请求才能通过防火墙。同时，防火墙还具有实时监控和快速响应的功能，一旦检测到任何异常或威胁，它能够立即做出反应，例如发出警报或自动阻断威胁源。这种实时的监控和响应机制使得工业防火墙能够在面对威胁时迅速做出反应，从而最大程度地保护工业控制系统的安全。

2.1网络边界安全【基础知识】三、工业防火墙的主要功能介绍以长扬工业防火墙（IFW）为例讲解：1.已知工控漏洞检测工业防火墙支持实时检测工控网络中的攻击行为，通过内置的2200多个工控漏洞库及漏洞特征检测规则，实时对网络中的入侵进行处置和告警。支持用户编写漏洞规则，自定义漏洞库。2.工控行为和协议规则自学习支持数十种工控行为和适配工控网络的IT协议自学习，通过深度解析工控协议、分析工控过程行为，自动学习基于工控协议的操作行为和规则，建立安全检测模型。

3.工控协议深度检测支持OPC协议的深度包检测、OPC动态端口开放、报文格式和完整性检查。支持ModbusTCP、IEC-104、OPCDA、OPCUA、SiemensS7、DNP3.0、MMS、Ethernet/IP、Omron-Fins、BacNET-IP、ProfiNet-IP等工控协议的深度检测，例如报文格式检查、功能码控制、寄存器控制，连接状态控制等的检测。4.传统的状态检测包过滤通过访问控制规则对数据包进行过滤，根据实际应用的需要，采用动态过滤技术，为合法的访问连接动态地打开所需的端口，在连接结束的时候，自动地关闭相应的端口。支持包过滤可视化关系图，策略配置更清晰。5.DOS攻击防护支持知名单包攻击、洪泛攻击、扫描攻击等；当单包攻击的特征被命中时，系统将直接丢弃该攻击包；对于洪泛攻击，一旦超过设定的阈值，便进行丢弃，同时支持阈值配置，实现灵活控制；当扫描攻击特征命中，将执行主机抑制。2.1网络边界安全【基础知识】三、工业防火墙的主要功能介绍以长扬工业防火墙（IFW）为例讲解：6.带宽管理支持基于源IP匹配的带宽限速，支持基于目的IP的带宽，以及支持基于目的IP匹配的连接数限制等功能，以保障服务器的连接带宽不受其他因素影响。

7.IPsecVPN支持基于工业协议的数据加密传输，加密算法包括但不限于DES、3DES、AES128、AES192、AES256，认证算法包括但不限于MD5、SHA1、SHA256、SHA384、SHA512；支持主模式和野蛮模式；支持传输模式和隧道模式；支持中心场景和对等场景。

8.系统自身安全性基于SSL的远程管理：通过网络，可以直接对工业防火墙进行管理和配置。通信采用了SSL加密技术，确保所有配置管理信息在网络上的传输均为密文，从而防止恶意攻击者使用网络监听工具窃取信息。系统支持三权分立原则，实行基于角色的分权分级管理，有助于减少对系统的滥用。9.日志和告警支持系统日志、操作日志、安全日志、策略日志、白名单学习日志、NAT日志、会话日志等多种日志类型，用于审计安全事件，及时追溯安全事件的轨迹。支持日志管理，当日志数量或存储时间超过阈值，将自动删除。支持设备告警，具有独立的告警响应机制，可针对不同安全级别的事件定义响应方式。支持邮件告警、微信告警等多种告警方式。

10.高可靠性基于硬件bypass的设计，保护电源异常情况下的生产安全。支持双机热备功能，确保节点安全，任意节点发生故障时，备机将立即生效，从而保障生产的连续性。11.自管理和集中管理支持基于SSL的远程管理，通过网络可直接对工业防火墙进行管理和配置；支持安全管理系统（安管平台）的集中管理，包括策略统一下发、设备情况统一展示以及日志告警集中显示。2.1网络边界安全【基础知识】二、工业防火墙安全策略配置介绍工业防火墙安全策略配置包括以下内容：安全策略、基本攻击防御、MAC/IP绑定、漏洞黑名单、工业白名单、工业协议策略、工业模板、带宽管理、链接数限制、地址映射等。2.1网络边界安全【基础知识】二、工业防火墙安全策略配置介绍1.工业防火墙适用场景长扬工业防火墙（IFW）在保障工控业务的基础上实现区域安全防护和操作控制，适用于如下场景，如图所示：1）核心控制器重点隔离防护；2）生产控制系统各区之间网络边界安全隔离防护；3）生产控制系统与上层网络（生产管理层）之间网络边界安全隔离防护。2.1网络边界安全【基础知识】二、工业防火墙安全策略配置介绍2.实际工业场景中工业防火墙的配置某厨卫集团工业安全网络分类分级改造方案如下：1）需求背景：随着工业信息化的快速发展以及工业4.0时代的到来，工业化与信息化的融合趋势日益明显。工业控制系统正在利用最新的计算机网络技术，提高系统间的集成、互联以及信息化管理水平。为了提高生产效率和效益，工控网络变得更加开放，无法实现完全隔离，这给工控系统网络安全防护带来了挑战。2）工业防火墙解决方案：访问控制需求、恶意攻击防护、DoS攻击防护、重点设备的安全防护，如图所示。2.1网络边界安全【操作实践】一、实验环境搭建实践工具：长扬工业防火墙（IFW）2.1网络边界安全【操作实践】二、实践步骤（一）初始化连接及配置1.通过HTTPS登录Web页面缺省情况下，设备仅允许管理员通过HTTPS方式登录IFW的Web页面。注意：Web页面只针对部分浏览器做了兼容性开发，推荐使用以下浏览器登录设备Web页面：IE游览器（兼容模式）：8及以上版本Firefox浏览器：62及以上版本Chrome浏览器：64及以上版本1）将工业防火墙MGMT管理口与管理员PC网口通过网线直连，或者接入同一个局域网的交换机。2）将管理计算机的IP地址设为与工业防火墙在同一网段，例如：00；子网掩码：；3）在管理员PC中打开网络浏览器，访问需要登录设备的MGMT接口缺省IP地址“00”。登录时部分浏览器会提示非安全连接，选择“高级”“继续前往”即可。如图2-1-4所示为Chrome浏览器的私密连接提示信息：2.1网络边界安全【操作实践】二、实践步骤（一）初始化连接及配置1.通过HTTPS登录Web页面缺省情况下，设备仅允许管理员通过HTTPS方式登录IFW的Web页面。注意：Web页面只针对部分浏览器做了兼容性开发，推荐使用以下浏览器登录设备Web页面：IE游览器（兼容模式）：8及以上版本Firefox浏览器：62及以上版本Chrome浏览器：64及以上版本1）将工业防火墙MGMT管理口与管理员PC网口通过网线直连，或者接入同一个局域网的交换机。2）将管理计算机的IP地址设为与工业防火墙在同一网段，例如：00；子网掩码：；3）在管理员PC中打开网络浏览器，访问需要登录设备的MGMT接口缺省IP地址“00”。登录时部分浏览器会提示非安全连接，选择“高级”“继续前往”即可。2.1网络边界安全【操作实践】二、实践步骤（一）初始化连接及配置4）在登录页面中，输入缺省的系统管理员的用户名和密码，单击“登录”。5）通过Web登录时，如果连续5次登录失败（缺省情况下），页面会自动锁定（禁止登录）10分钟。6）登录成功后，修改管理口方法如图2-1-5所示：“网络”-“接口”-“物理接口”-“编辑MGMT接口”。2.1网络边界安全【操作实践】二、实践步骤（二）通过Console登录CLI页面通过Console口登录FW的组网。1）通过RS-232线缆与IFW的Console口相连；2）将IFW设备上电；3）配置终端。用户可以从Internet上获取如PuTTY等免费超级终端软件。4）选择Session，将Connectiontype设置为Serial。5）Serialline中的值填写设备管理端口下的COMX。6）Speed中

输入“115200”。7）单击“Open”按钮。8）进入页面后按照系统提示输入缺省的管理员帐号和密码。9）通过Console登录到设备后，可以实现查看设备的各项状态及信息，目前暂不支持通过Console对设备进行配置。待初始化连接配置后方可进行以下操作。2.1网络边界安全【操作实践】二、实践步骤（三）用户管理配置

IFW系列工业防火墙为用户提供配置管理和运行状态监控的WEB管理页面功能。用户可以通过浏览器进行方便、快捷、直观的系统管理，对设备进行配置管理和维护操作。1.用户登录打开浏览器，使用防火墙的IP地址进行登录，如当前为默认地址，登录网址为：“00”。在登录页面的输入栏，按提示信息输入用户名，密码和图片验证码，单击“登录”按钮，即可进入工业防火墙的【管理页面】2.退出单击页面右上方的用户名（例如图2-1-9所示operator），会出现“登出”按钮，单击即可退出当前登录用户，并返回到【用户登录窗口页面】，或者在快捷操作单击“退出系统”。2.1网络边界安全【操作实践】二、实践步骤（三）用户管理配置3.用户配置新建用户：用户新建功能，只能系统管理员才可以进行操作，单击“设备管理”→“用户配置”→“新建”命令实现参数说明如下：用户名：需要注意用户名需要是字母开头；用户名只能是数字和字母；用户名长度不低于5位，不能超过25位。如“user”，其长度为4，是不合法的；“users”长度为5，是合法的。用户角色：可以通过单击下拉框选择，目前有系统管理员，安全操作员，日志操作员可以进行选择。管理PC的IP范围：

控制使用该用户名登录

的IP地址。如设置/24后，仅/24这个网段的主机用户可以使用该用户名进行登录防火墙，此处可以填写多个主机地址、子网、地址范围。4.角色管理用户删除功能，也是只有系统管理员可以进行操作。通过“设备管理”→“角色管理”，角色管理可以控制每个角色允许访问的菜单页面2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置安全策略模块包含安全策略、基本攻击防御、MAC/IP绑定、漏洞黑名单、工业白名单、工业协议策略、工业模板、带宽管理、链接数限制、地址映射等功能，以下将逐一介绍。1.安全策略安全策略作为一种网络安全保护机制，主要用于对网络中各种不同的流量的转发进行最基本的控制。安全策略防火墙在处理需要转发的报文时，会先获取报文头信息，包括报文的源/目IP地址、MAC地址、IP层所承载的上层协议及源/目协议号等，然后按照时间规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。安全策略规则按优先级进行匹配，条目越靠上越优先。设备内置有一条any的阻断规则，该默认规则优先级最低。命中包过滤规则后，阻断动作丢弃报文，放行动作将会继续进行工业协议策略、IPS策略匹配。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置1）进入安全策略页面，通过“策略”→“安全策略”进入页面，如图所示：2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置2）新建安全策略。单击“新建”，即弹出“新建安全策略”窗口，如图

所示：2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置2.网络安全（1）基本攻击防御Dos攻击防御分为Dos攻击防御、洪泛攻击和扫描攻击防御；Dos攻击防御有11种，洪泛攻击6种，扫描攻击防御有3种，并且支持IPV6对应的DDOS攻击，如图所示：2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置2.网络安全（2）DDOS攻击防御开启单击DDOS攻击防御总开关，会开启下方多个防御开关（如图

所示），扫描攻击防御同理。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全漏洞黑名单系统内置2780条漏洞规则，可以对漏洞规则调整漏洞触发时的动作，支持阻断、告警、不告警三种动作。漏洞黑名单优先级低于安全策略中的ACL规则，但高于工业协议策略，

即包过滤放行的报文才会进行漏洞黑名单的匹配，黑名单阻断则丢弃，黑名单放行再继续进行工业协议策略的匹配。

1）漏洞库数据查询。漏洞库数据默认展示，可以按条件搜索，如图所示。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全2）自定义漏洞库。自定义漏洞库可以自定义新增漏洞，“*”为必填项（如图

所示）。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全3）删除。漏洞黑名单的删除，可以删除自定义的黑名单数据，默认的黑名单数据是不能删除的。对于自定义的黑名单数据，在每条数据编辑操作区域，都可以单击删除按钮对该条数据进行删除操作，确定删除提示如图

所示。删除操作支持多选批量操作（多选操作可参考地址对象的多选，操作方式相同）。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全4）恢复默认动作。恢复默认动作，是将默认的黑名单数据的事件处理方式恢复到默认状态。在用户操作过程中，会修改默认黑名单数据的事件处理级别，如果想要回退到原始的状态，单击恢复默认动作即可，如图所示。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全5）漏洞模板。新建漏洞模板，“*”为必填项，选择对应的条件，单击“确认”，系统会自动从漏洞库和自定义漏洞库筛选符合条件的漏洞，单击名称可以看到具体筛选了那些漏洞，如图所示。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置3.应用安全6）安全策略绑定。增加漏洞模板后，需要在安全策略下的IPS策略中绑定漏洞模板模板，才能使其生效，如图所示。2.1网络边界安全【操作实践】二、实践步骤（四）安全策略配置4.工业安全（1）工业白名单采用被动检测的方式从网络中采集数据包，并对多种工业控制协议的通信报文进行深度解析，智能地匹配系统内置的协议特征，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，形成工控场景行为基线。帮助用户以最直观的方式了解和掌握网络中的业务通信状态；发现工控网络潜在的安全风险，灵活地进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量。通过学习获得的工业白名单可添加至工业协议策略，在工业协议策略开启后方可生效。工业白名单开启学习模式后，能够获取网络环境中运行工业协议及工业协议的功能码，并支持一键将获取到的工业协议功能码转为安全策略，如图所示：2.1网络边界安全【思考与练习】1.工业防火墙主要防护功能有哪些？2.工业防火墙如何做安全策略配置？3.工业防火墙适用于哪些场景？2.2安全监测审计【任务目标】1.了解工控网络检测审计系统的基本原理和过程。2.对工控网络检测审计系统进行核心配置。3.能够针对不同场景配置工控网络检测审计系统。2.2安全监测审计【知识图谱】2.2安全检测审计【基础知识】一、工控网络检测审计系统简介工控网络监测审计系统（INA）适用于严苛环境、满足工业环境要求的监测系统，它能够有效地防范控制网络安全风险，保障用户的工业网络及自动化系统的安全平稳运行。它通过“智能学习”技术发现网络设备资产及其通信接口，学习协议规则和通信关系、流量特征，进而构建包括资产身份、通信关系及协议规则、流量规则全覆盖的黑/白名单安全策略体系；结合漏洞黑名单、攻击与扫描监测等技术，形成工控网络通信的全覆盖纵深监测安全基线；通过智能引擎对工业网络通信流量进行深度审计，对异常数据包、异常网络行为进行实时预警和记录，为工业网络安全事件的事前预防、事中发现和事后调查追溯提供依据。2.2安全检测审计【基础知识】二、工控网络检测审计系统主要功能1.协议深度检测和流还原

深度数据包解析智能引擎支持包括ModbusTCP、IEC60870-5-104、DNP3.0、SiemensS7、CIP、Ethernet/IPTCP、Ethernet/IPUDP、Ethernet/IPIO、OPCDA、OPCUA、MMS、FINS等协议在内的大多数主流工控协议。深度监测智能引擎支持IP分片重组和TCP分段还原重组，支持工业畸形报文预警。深度智能检测引擎支持工业协议的指令集和数据报文的流还原，为工控网络安全事件追踪提供依据。2.构建网络地图智能学习设备资产、通信接口及通信关系等，建立构建工控网络的网络地图。3.安全审计及异常响应对安全事件进行审计，及时追溯安全事件的轨迹；对用户的操作行为进行细粒度审计，方便还原操作真相；独立的告警响应机制，可定义对不同安全级别的安全事件的响应方式。4.实时工业网络安全监测对工业网络进行实时监测，对协议、流量、日期和时间、用户、事件类型、事件是否成功等元素进行审计并进行统计分析，实时显示网络的安全状态。5.入侵监测内置工控漏洞库和建立工控行为白名单安全基线，实时检测工控网络中的攻击行为，对网络入侵进行分级告警。

2.2安全检测审计【基础知识】三、工控网络检测审计系统原理INA系列工控网络监测审计系统架构主要由采集层、平台层、页面管理层、接口层四部分组成，集协议识别、漏洞判别、安全事件、安全审计于一身，架构体系如图所示：

2.2安全检测审计【基础知识】四、常见的工控网络检测审计系统部署方式工业生产网络有其时延短、不可断网的工业特性，因此工业监控审计系统采用“零风险”的旁路部署典型部署，部署方式分为“单一部署”与“分布式部署集中管理”两种方式。

1.单一部署工业安全监测审计系统可应用于各种大、中、小型生产企业及集团，生产环境及控制器环境可能分布在不同的物理位置同时也会分布在不用的VLAN或管理区域下，可区分不同区域、不同权限，配置不同的监控策略，独立部署，管理更精准，如图所示。

2.2安全检测审计【基础知识】四、常见的工控网络检测审计系统部署方式

2.分布式部署，集中管理对于集团型或大型企业生产网，可以采用分布式部署、集中管理的方式，将多台工业安全监测审计设备统一接入安全管理平台，安全管理平台与监控审计系统共同组成一整套智能数据分析的方案。平台对终端统一部署安全规则，进行边界的区分保护，避免单品安全产品部署形成孤岛。同时，综合分析安全通信流量与安全事件，协同处理安全事件，形成综合性安全管理产品，如图所示。

2.2安全检测审计【基础知识】五、工控网络检测审计系统适用场景介绍

某石化公司工控网络安全监测解决方案如下：需求背景：随着中国石油某石化公司DCS、SIS、PLC系统的安全管理制度体系建设、技术防护体系建设的推进，需要满足《信息安全等级保护-二级基本要求》、《工业控制系统信息安全防护指南》的安全要求。在深化推进的炼化厂智能化、自动化、可视化的过程中，发现工控网络在安全规划、边界防护、主体安全、安全管理等方面存在诸多问题。例如，工业控制系统下的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、生产核心数据被窃取、破坏生产设备等恶意行为，可能会造成生产线的瘫痪，生产数据被破坏、窃取等威胁，从而造成生产安全事故。解决方案：在过程监控层的关键交换机处旁路部署工控网络监测审计系统，实时监测审计工控系统网络中的网络流量和网络行为。通信行为监测：能够监测网络流量异常、通信行为异常和设备运行状态。控制行为监测：在过程监控层旁路部署安全监测设备，能够识别针对控制器的操控服务指令（包括组态服务、数据上传服务、数据下载服务、读服务、写服务、控制程序下载服务、操控指令服务等），并根据安全策略要求对非法的服务请求进行报警，如图所示。

2.2安全检测审计【基础知识】五、工控网络检测审计系统适用场景介绍

某市政管网工控网络安全监测解决方案如下：需求背景：城市燃气广泛应用于居民生活、工商业、发电、交通运输、分布式能源等多个领域，是城市发展不可或缺的重要能源。随着现代计算机技术和自动化技术在管道燃气行业的广泛应用，相应建立了相应的城市燃气管网SCADA、GIS系统、资产设备管理系统等，实现了对燃气传输管线、燃气输气场站、燃气储备站的远程管理、集中控制、数据自动实时采集、事故报警、参数调整、气量调节等管理功能。

燃气行业信息系统（特别是工业控制系统）作为关键信息基础设施的重要组成部分，需要重点关注和重点防护，同时满足网络安全法、等保2.0、关键信息基础设施保护条例。解决方案：在现场控制层环网交换机侧旁路部署工控网络监测审计系统，对工控网络数据、流量及设备日志进行分析和审计，并通过态势感知平台实现监测审计事件的可视化，如图所示。

2.2安全检测审计【基础知识】《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

2.2安全检测审计【操作实践】一、实践环境搭建实践工具：长扬工控网络监测审计系统（INA）二、实践步骤（一）启动工控系统网络安全审计系统并进行连接、登录和退出初始化配置1）连接。将管理计算机的网络接口与工业监测审计系统的MGMT管理网口通过网线直连，或者接入同一个交换机，并将计算机的IP地址与工业监测审计系统设为同一子网内（即将计算机的IP地址设为192.168.11.xx，子网掩码设为

）。在计算机上打开终端软件（Windows系统上用cmd终端或者xshell终端等，Linux上用Terminal终端，MacOS上用Terminal终端或iTerm等），在终端命令行输入ping命令测试是否连通。2）登录。打开IE或Chrome浏览器，

在浏览器地址栏输入审计产品的管理URL，然后按回车键打开【登录页面】：注意：审计产品采用安全加密的https方式通信，可能会提示不是私密链接，选择继续前往即可，如图2-2-6所示。建议使用Chrome浏览器（建议采用版本68.0以上）

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。1）协议规则。协议规则页面展示通过智能学习，学习到的各种工控协议，网络协议，可以对已学习到的规则进行编辑处理，亦可以自定义一些工控协议和网络协议。协议规则页面可以查看各条目的规则名、创建时间、IP地址和规则详情等。可全选或是单击特定规则，进行部署和删除，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。2）协议白名单。已部署生效的协议策略，事件处理设置为不告警的，归入到协议白名单，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。3）协议黑名单。已部署生效的协议策略，事件处理设置为告警的，归入到协议黑名单，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。4）漏洞黑名单。黑名单中包含了各种工控设备、网络设备所含有的各种可被利用、可能遭受攻击的漏洞。黑名单中的漏洞都带有特征码，可以从特征码中导出预防攻击的安全保护规则。黑名单的建立是一个长期挖掘、收集、研发和积累的过程。在黑名单页面中，可以对所有漏洞规则进行部署。勾选“全部选择”，单击“部署”将所有漏洞规则部署到网络中，单击“取消部署”以停用所有漏洞规则，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。5）流量规则。通过设置流量规则，可以对网络中各种流量进行审计。这些规则可以通过智能学习获得，也可以通过手动添加。部署后，系统将在24小时内对各个项目流量进行统计。如果某个条目的流量不符合设置的阈值，系统将根据相应设置决定是否产生告警和安全事件，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。6）无流量规则。无流量规则是根据流量规则特化的一个常见的场景，当网络中某一数据流断开超过一定时间，或者没有产生预期数据流时将会产生安全事件及告警。该规则可以由智能学习及手动设置实现具体规则设置，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。7）关联分析规则。通过已设置好的各个规则，可以组合成一个顺序规则。如果连续触发这些规则，则会针对这一条关联分析规则产生告警及关联事件。当前可用的关联的规则包括协议规则黑名单、漏洞黑名单、IP/MAC绑定规则等。上述三种规则需要首先各自进行部署，然后才能进行关联分析规则的部署。在部署时，每一条规则都必须包含同一个IP地址，否则系统不会进行报警和产生关联事件，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。8）攻击监测。单击“攻击监测”进入【攻击监测设置页面】；页面包括DDOS监测和端口扫描监测开关的开启与关闭功能。DDOS监测开关开启后，审计接口接入对应的DDOS攻击数据流，并且当流量速率大于等于阈值时，安全事件将上报攻击相关事件，如图所示。

2.2安全检测审计【操作实践】（二）工控系统网络安全审计系统安全策略配置安全策略是工业监测审计系统的核心功能，安全策略包含了协议规则和漏洞黑名单的功能。9）审计开关。单击“协议开关”进入【审计开关设置页面】；页面可对流量审计与协议审计进行开启和关闭设置。当关闭时，相应审计功能不生效；开启后，审计功能生效。10）其他策略检测。其他策略检测包括“异常报文监测”“异常连接监测”“未知设备接入监测”和“默认告警监测”四个功能。异常报文检测开关开启后，当审计系统收到不符合正常报文结构的报文时，会在事件中上报相应告警。异常连接检测开关开启后，仪表发送源IP、MAC为设备资产列表中存在的，而目的IP、MAC地址不在设备资产列表中，则会触发相应告警事件。未知设备接入检测开关开启后，如审计系统检测到设备资产范围以外的设备，则会将此设备记录为未知设备。默认告警监测开关开启后，直接发包或设置告警后持续发包，会产生协议黑名单告警事件。 2.2安全检测审计【思考与练习】1.工控网络检测审计系统主要功能有哪些？2.工控网络检测审计系统原理？3.举例说工控网络检测审计系统适用于哪些场景？2.3网络接入安全【任务目标】1.了解工控网络入侵检测系统的基本原理和过程。2.对工控网络入侵检测系统进行核心配置。3.能够针对不同场景部署工控网络入侵检测系统。2.3网络接入安全【知识图谱】2.3网络接入安全【基础知识】一、网络接入安全概述在工业互联网中，网络安全接入是指通过各种手段和措施，对计算机网络进行安全控制和管理，确保网络资源的安全可靠使用。由于工业互联网涉及对人、机、物、系统等的全面连接，以及构建覆盖全产业链、全价值链的全新制造和服务体系，因此网络安全接入的重要性尤为突出。网络安全接入旨在保护工业互联网免受未经授权的访问、使用、泄露、破坏、干扰等威胁和恶意行为的影响。随着工业互联网的广泛应用，网络安全接入成为了保障整个制造和服务体系安全稳定运行的关键环节。对于企业而言，加强工业互联网的网络安全接入管理，可以有效提高网络安全性，保护关键信息和资产不受损害，确保企业运营的顺利进行。2.3网络接入安全【基础知识】二、工控网络入侵检测系统简介工控网络入侵检测系统是专为工业领域设计的网络入侵检测类产品。它通过实时监测和分析工控网络流量，检测各类网络攻击，包括DOS/DDOS、僵尸网络、木马、蠕虫等。系统能够深度解析工业协议，结合协议安全规则识别异常行为和潜在威胁。用户可以根据智能学习基线模型，定制化配置检测规则，实现安全管理和监控。同时，系统提供直观的监控页面和报告功能，帮助用户快速发现和应对安全事件，提高安全响应效率。2.3网络接入安全【基础知识】三、工控网络入侵检测系统主要功能介绍工控网络入侵检测系统产品能实时监测工控网络的安全状态，并检测工控网络中的入侵行为。同时，它还能根据用户制定的审计策略，追踪工控网络安全事件，并对工控网络的数据进行留存。该产品适用于SCADA、DCS、PCS、PLC等工业控制系统网络，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统网络现场。工控网络入侵检测系统产品硬件采用工业级芯片，并具有高可靠性和高可用性的设计，为满足不同场景的应用需求，产品提供了多种冗余交直流电源选择方案，确保了产品达到工业级的可靠性和稳定性要求。工控网络入侵检测系统产品，提供了多种速率和形态的审计接口设计方案，可提供多个10/100/1000Mbps自适应以太网RJ45电口或SFP光口的审计端口。工控网络入侵检测系统产品，支持ModbusTCP、SeimensS7、OPCDA、DNP3.0、IEC-104，MMS，Profinet,GOOSE，SV，Ethernet/IP,OPCUA等众多工业协议深度解析，支持ftp、http、telnet、dns协议的解析，并且支持用户自定义协议。工控网络入侵检测系统为用户提供Web页面的配置、监控和管理功能。用户可以通过浏览器打开Web页面，方便、快捷且直观地进行系统管理操作。2.3网络接入安全【基础知识】四、工控网络入侵检测系统技术原理工控网络入侵检测系统架构主要由采集层、平台层、页面管理层、接口层四部分组成，集协议识别、漏洞判别、安全事件、安全审计于一身，架构体系如图所示：2.3网络接入安全【基础知识】四、工控网络入侵检测系统应用场景工控网络入侵检测系统可广泛应用于石油化工、电力、煤炭、钢铁、城市水务等工业行业场景，实时检测各类攻击行为，为工业控制系统安全保驾护航，如图所示。1）采用旁路方式灵活部署在工控网络现场控制层、过程监控层、生产执行层之间采集网络数据。2）通过智能学习，自动识别工控协议，建立通信模型基线，对违规操作及不符合的通信行为进行告警。3）通过镜像流量，检测针对工业控制系统的各类网络攻击行为，并实时告警。2.3网络接入安全【基础知识】中华人民共和国网络安全法》第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。2.3网络接入安全【操作实践】一、实验环境搭建实践工具：长扬工控网络入侵检测系统。2.3网络接入安全【操作实践】二、实践步骤（一）启动工控网络入侵检测系统并进行连接、登录和退出初始化配置1.连接将管理计算机的网络接口与工控网络入侵检测系统的管理网口通过网线直连，或者接入同一个交换机，并将计算机的IP地址与工控网络入侵检测系统设为同一子网内（将计算机的IP地址设为192.168.11.xx，子网掩码设为）。工控网络入侵检测系统出厂默认的IP地址为：1工控网络入侵检测系统出厂默认的IP地址为：1工控网络入侵检测系统出厂默认的IP地址为：12.3网络接入安全【操作实践】二、实践步骤（一）启动工控网络入侵检测系统并进行连接、登录和退出初始化配置2.Web登录打开IE或Chrome浏览器，在浏览器地址栏输入工控网络入侵检测系统产品的管理URL，然后按回车键打开【登录页面】，如图所示：工控网络入侵检测系统出厂默认的IP地址为：12.3网络接入安全【操作实践】二、实践步骤（一）启动工控网络入侵检测系统并进行连接、登录和退出初始化配置3.退出任何Web登录的用户，无论当前在任何页面，均可在页面右上角用户图标和用户名区域处，打开下拉菜单，单击“退出”按钮后会退出登录，返回到登录页面如图所示。2.3网络接入安全【操作实践】二、实践步骤（二）工控网络入侵检测系统事件配置工控网络入侵检测系统提供对工控网络的监控功能。事件页面显示的是系统运行至当前时刻所发生的所有事件。这些事件分为关联事件、安全事件与系统事件三种。关联事件是指部分安全事件组合成一起，形成一个威胁较大的事件；安全事件是指当前工控系统网络中所发生的安全相关事件；系统事件则是指工控网络入侵检测系统产品系统本身所发生的事件，例如端口状态等。1）关联事件。页面上方显示的是关联事件的若干重要指标。其中，高峰时段表示最近24小时之内产生安全事件最多的时间段，每个时间段间隔为1小时。在关联事件页面的下半部分，显示当前关联事件列表，单击“过滤条件”可通过选择事件开始时间、结束时间、风险等级以及状态对当前所有关联事件进行搜索。单击详情会展开相关信息，展示出该关联事件是具体由哪些规则触发的。同时该页面提供“刷新”“全部标记为已读”“清空全部事件”“导出EXCEL”“导出PDF”功能。2.3网络接入安全【操作实践】二、实践步骤（二）工控网络入侵检测系统事件配置2）安全事件。单击“事件”→“安全事件”，则可进入安全事件信息页面，如图所示。2.3网络接入安全【操作实践】二、实践步骤（二）工控网络入侵检测系统事件配置3)系统事件。进入【事件】页面后，单击“系统事件”选项卡，则进入系统事件页面。可查看重要的系统事件，如图所示。2.3网络接入安全【操作实践】二、实践步骤（二）工控网络入侵检测系统事件配置4)病毒事件。病毒事件会展示所有病毒相关信息，并可以清空全部事件，如图所示。2.3网络接入安全【操作实践】二、实践步骤（二）工控网络入侵检测系统事件配置5)入侵事件。入侵事件是将所有符合入侵规则的事件，在此展示，可清空全部的入侵事件，如图所示。2.3网络接入安全【操作实践】二、实践步骤（三）工控网络入侵检测系统安全策略配置安全策略是工控网络入侵检测系统的核心功能，安全策略包含了协议黑白名单规则、流量规则、漏洞黑名单的功能。1)协议黑名单。协议黑名单智能学习到的或者自定义添加的协议规则，事件处理设置为告警的，加入到协议黑名单，如图所示。协议黑名单规则可