工业互联网安全 课件 任务2 网络安全边界的划分.pptx

任务2网络安全边界的划分

网络扫描是根据对方服务所采用的协议，在一定时间内，通过自身系统对对方协议进行特定读取、猜想验证、恶意破坏，并将对方直接或间接的返回数据作为某指标的判断依据的一种行为。本任务主要讲解如何使用工业漏洞管理平台工具进行网络资产扫描，另外还介绍了有关网络安全边界划分的相关知识。任务描述学习了解网络安全边界划分，并掌握工业漏洞管理平台网络资产扫描方法。

网络边界的划分与隔离1（1）工业互联网架构内工厂内网的划分与隔离以工业互联网的角度来看，工厂内网包括IT网络和OT网络两层，用于实现在制产品、生产机器设备、信息采集设备、工控系统及网络以及人力等生产要素以及IT系统的广泛互联。按照工业管理自上而下的层级划分，网络又分为配置和管理各自分离的“工厂/企业”“车间/产线”“现场”三级。知识导入基于工业互联网宏观架构，工厂内网建设涉及IT网、OT网、智能机器与在制品连接、泛在无线连接和IT/OT/CT融合组网等。

网络边界的划分与隔离1（2）工业互联网架构内工厂外网的划分与隔离以工业互联网的角度来看，工厂外网的作用是为工业生产全生命周期各环节提供支撑，用于生产企业上下游协作企业、企业与智能产品、企业与用户之间的连接。此前，工厂与互联网的结合主要还在进销存及供应链管理等环节，未能有效发挥联网在资源优化配置方面的作用和优势。目前，以IPv4为基础的公共互联网在地址空间、安全保障、实时性能等方面均难以很好地满足工业互联网的应用需求。知识导入

网络边界的划分与隔离1（3）SCADA的安全域划分与隔离SCADA安全域的划分通常需要较为清晰的工业网络边界界限。作为SCADA层次网络或安全域间的唯一通道，工业防火墙能够根据SCADA网络安全策略来控制(允许、拒绝、监测)进出各安全域的信息流。结合SCADA功能来考虑，可以将企业资源层划分为DMZ安全域和管理信息安全域。知识导入

网络边界的划分与隔离1（4）DCS的安全域划分与隔离DCS系统分为企业资源层、生产管理层和现场控制层，系统安全域的划分也需要较为清晰的边界。结合DCS控制功能和物理空间分布来考虑，可以将企业资源层划分为DMZ安全域和管理信息安全域。知识导入企业资源层又分为隔离区和管理信息区。

知识导入工业互联网的网络访问控制方法2工业互联网的网络访问控制策略在安全策略层面表示授权，是对访问如何控制、如何做出访问决定的高层指南，通常以用于所有与安全相关活动的一套访问控制规则来体现。访问控制机制则是指信息系统的主体(用户)依据给定的权限或控制策略，对信息系统的客体(资源)进行的不同授权访问，是访问控制策略的软硬件底层实现。

知识导入工业互联网的网络访问控制方法2工业网络实施多级安全策略，需要按照安全级别来决定访问主、客体之间的工业网络数据流向及其权限控制。

工业漏洞管理平台任务实施【任务目的】理解工业漏洞管理平台的基本原理；掌握使用工业漏洞管理平台对在线网络资产扫描的方法。【使用工具】测试机：工业漏洞管理平台靶机：任意在线设备【配置说明】提前在本地网络中选取用于扫描得靶机，如自己的Windows主机，获取其IP地址备用。

在浏览器中输入工业漏洞管理平台访问地址01，显示工业漏洞管理平台登录界面，输入用户名和密码，登录工业漏洞管理平台。【步骤1】登录工业漏洞管理平台

成功登录工业漏洞管理平台，执行“配置目标”命令。【步骤2】创建待扫描的目标设备切换到目标配置界面中，单击界面左上角的“新建目标”按钮。0102

显示“新建目标”窗口，在“名称”选项文本框中输入该目标的名称；在“主机”选项中选择“静态IP”选项，并填写该目标的静态IP地址；“端口列表”选项默认选择AllIANAassignedTCP。【步骤2】创建待扫描的目标设备

执行“扫描任务”命令。【步骤3】创建扫描任务切换到扫描任务界面中，单击界面左上角的“新建任务”按钮。0102

显示“新建任务”窗口，输入名称、内容，选择新建的目标机为扫描目标。单击‘保存’按钮，在任务列表中可以查看新建的扫描任务。【步骤3】创建扫描任务0102

【步骤4】查看扫描结果扫描任务完成后，可通过单击扫描任务，查看扫描结果。单击“下载”图标，选择需要的格式，将该报告下载到本地。

执行“扫描报告”命令，在弹出的窗口中对相关选项进行设置。单击“OK”按钮，查看该扫描任务产出的扫描信息。【步骤4】查看扫描结果0102

任务评价任务评价了解网络边界的划分与隔离了解工业互联网的网络访问控制方法理解工业漏洞管理平台的基本原理掌握使用工业漏洞管理平台对在线网络资产进行漏洞扫描的方法

任务测验选择题A.工控安全审计平台B.工控安全加固系统C.工业防火墙D.工业漏洞管理平