3、超文本传输协议(HTTP)。一般来说,HTTP不应该被允许从企业管理网透过进入控制网络,因为他们会带来重大安全风险。如果HTTP服务到控制网络是绝对必需的,那么在防火墙中需要通过HTTP代理配置来阻止所有执行脚本和Java应用程序,而且特定的设备使用HTTPS更安全。
4、限制文件传输协议(FTP)。FTP用于在设备之间传输、交换文件,在SCADA、DCS、PLC、RTU等系统中都有应用。FTP协议并没有任何安全原则,登入密码不加密,有些FTP为了实现历史缓冲区而出现溢出的漏洞,所以应配置防火墙规则阻塞其通信。如果FTP通讯不能被要求禁止,通过FTP输出数据时,应额外增加多个特征码授权认证,并提供加密的通信隧道。
5、简单邮件传输协议(SMTP)。SMTP在互联网上是主要的电子邮件传输协议。电子邮件经常包含恶意代码程序,所以不应允许以任何控制网络设备接收电子邮件,SMTP邮件应主要用于从控制网络到办公网络之间输出发送报警信息。
6、简单网络管理协议(SNMP)。SNMP是网络管理服务中心,提供管理控制台与设备如网络设备、打印机、PLC之间的监控,并制定管理的会话规则。从运维角度看,SNMP是非常有用的服务,但在安全方面存在很多问题。SNMPV1和SNMPV2C的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探软件直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。SNMPV3解决了上述安全性问题,但却没有被广泛使用。从控制网中使用SNMPV1和V2C的命令都应被禁止,除非它是一个完全独立的信任管理网络。而即使设备已经支持SNMPV3,许多厂商使用的还是标准的通信字符串,存在重大安全隐患。因此,虽然SNMPV3比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限,这一点也需要引起足够的重视。
