技术分享 | 为什么要使用工业防火墙
工业防火墙是专为工控信息安全而研发的新产品。但是为什么只有工业防火墙才能应用于工业环境,传统防火墙有哪些地方不适应工业环境,一直较难清晰地解释清楚。
本文从传统防火墙和工业防火墙的测评标准出发,全面比对传统防火墙和工业防火墙的测评指标区别,并结合市场主流工业防火墙的技术体系,解释工业防火墙在等级保护工作中的重要性。
一、传统防火墙分类和比较
《信息安全技术 防火墙安全技术要求和测试评价方法》(征求意见稿)(代替GB/T 20010-2005、GB/T 20281-2015、GB/T 31505-2015和 GB/T 32917-2016)中规定了防火墙的安全技术要求、测试评价方法及安全等级划分,用于防火墙的设计、开发与测试。
防火墙是用于不同安全域之间,具备访问控制及过滤功能的网络安全产品,可以是软硬件或者纯软件的产品。从部署设计角度看主要分为网络层防火墙、下一代防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合,分别在纵深防御体系中部署于不同的位置,并保护着不同的对象和资产。防火墙的安全技术要求分为安全功能要求、自身安全功能要求、性能要求、安全保障要求四个大类。具体内容如下:
从安全等级角度看,该标准将防火墙分为基本级和增强级,安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据,安全等级突出安全特性。例如,网络层防火墙的安全等级划分定义表如下:
表1 网络层防火墙安全技术要求等级划分表
原则上等级保护三级以上系统,需要采用增强级防火墙。
二、工业防火墙分类和比较
从应用角度看,防火墙则分为传统IT防火墙和工业控制系统专用防火墙(以下简称工业防火墙)。《信息安全技术 工业控制系统专用防火墙技术要求》(征求意见稿)就针对工业防火墙提出了特殊的安全功能要求,其中指出:工业防火墙是可应用于工业控制环境,对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护,并满足特定工业环境和功能要求的防火墙。
工业防火墙与IT防火墙的主要差异体现在以下三点:
(1)工业防火墙与IT防火墙数据过滤能力要求不同,工业防火墙除了具有IT防火墙的通用协议过滤能力外,还应具有对工业控制协议的过滤能力;
(2)工业防火墙比IT防火墙具有更高的环境适应能力;
(3)工业防火墙比IT防火墙具有更高的可靠性、稳定性、实时性等要求。
同样的,工业防火墙也分为基础级和增强级,同时还根据工控系统层次我情况,分部署域间和部署现场控制层,具体功能要求比对如下表:
表2工业防火墙安全功能要求
三、应用场景分析
从上述标准可知,传统防火墙基本不可能部署在现场控制层,其主要原因是:
1.挂架形式不适用:现场电器柜采用工业挂架,传统防火墙多采用机架式部署。
2.环境参数不适用:工业现场环境因行业和工艺不同,需要耐高温、耐低温、防结露、放盐雾、防震、防电磁辐射等参数,传统防火墙不可能对这些需求做出响应。
3.业务连续性需求:现场控制层的安全产品的业务连续性要求不能低于控制产品要求,且现场控制层的通信是设备到设备的,实时性要求极高,对安全产品的延迟和延迟抖动有极高的要求。
4.功能安全需求:现场控制层的安全产品应符合整体系统的功能安全需求,必须具有面向安全侧的失效功能,传统防火墙对失效方面没有相应的功能。
即使在域间,比如车间监控中心到现场控制层,传统防火墙也有诸多限制:
1.工业协议的深度解析:传统防火墙对传统应用的协议有着广泛的支持,但是对工控协议基本没有涉足,如果将传统防火墙用于工控场景,只能起到最基础的五元组策略防护。
2.策略的动态防御:工控环境中,管理网与控制网连接场景中,服务器往往设在控制网(比如:OPC服务器),客户端设立在管理网(OPC客户端),OPC服务器固定端口,客户端是随机端口,没有动态策略,使得必须开放管理网全端口均可访问控制网设备,从而埋下重大隐患。
因此,在当前的信息安全技术和市场中,工业防火墙已经是传统防火墙不可替代的。正是因为这个原因,《工业控制系统信息安全防护指南》中明确指出,应在工控场景部署工业防火墙。
四、市场上主流工业防火墙的技术路线
当前市场主流工业防火墙有以下两种:
1.利用传统防火墙基础,追加工控协议解析能力,实现工业防火墙功能。
此类工业防火墙厂商,一般为传统信息安全厂商。此类工业防火墙的技术架构多采用X86芯片体系,功能方面因沿袭传统防火墙比较完善,但整体架构体系不尽合理,价格较高。
2.专门针对工业防火墙,采取专业芯片,专门开发的工业防火墙。
此类工业防火墙厂商,多为工控信息安全专业厂商。此类工业防火墙架构合理,各项性能指标优异。功能方面适应工业控制系统工作场景,操作简便。在定价方面,因为脱离X86体系,成本较低,定价合理。
威努特自主研发的工业防火墙是针对工业控制网络进行边界防护的专用防火墙产品,可深度解析OPC、Modbus TCP/Modbus RTU、Siemens S7、Ethernet/IP(CIP)、MMS、IEC104、DNP3、853 等数十种工控协议。
该产品运用“白名单+智能学习”技术,建立工业网络通信“白环境”,用于保护工业控制系统网络免受各类来自办公网或其它内、外部区域的攻击威胁。同时,它还具有高性能、低延时、工业级可靠性等特点,可以满足工业网络物理环境适应性要求和工控系统传输实时性的要求。
通过威努特工业防火墙建立可信任的数采通信及工控网络区域间通信的模型,变被动防御为主动防护,默认阻止一切通信,有效防止非法访问,只有可信任的流量可以在网络上传输,为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障,建立有效的安全通信模型。符合等级保护等相关网络安全系统测评标准的要求。
除了工业防火墙,威努特的全系列工业控制网络安全防护产品还包括单向隔离网关、工业网络监测审计、入侵检测系统、工业主机安全软件、运维管理系统、统一安全管理平台等,威努特还提供工控系统整体加固解决方案,可完成对电力、轨交、石油石化、制造业、水务、烟草等行业工业控制系统的保护,切实提高网络安全的防护能力。同时,在实际的网络安全等级保护三级测评工作中,威努特也具有丰富的经验,可以提供及时周到的咨询服务,帮助客户构建完善的管理体系,从而顺利通过测评。
威努特是国内专注于工控安全领域的高新技术型企业,以研发工控安全产品为基础,打造多行业解决方案,提供培训、咨询、评估、建设、运维全流程安全服务。首次提出工业网络“白环境”理念,迄今已服务电力、石油、石化、市政、烟草、化工、军工、轨道交通等行业百余家客户,落地项目及市场占有率遥遥领先,并多次受邀保障“G20峰会”和“一带一路”国际合作高峰论坛等重要活动。威努特致力于为客户构建安全可靠的工业网络环境,保障国家关键信息基础设施运行安全,为中国制造2025护航,为建设网络强国添砖加瓦!
威努特工控安全
专注工控·捍卫安全