工業(yè)防火墻是什么?(如何正確理解工業(yè)防火墻?)
近年來(lái),網(wǎng)絡(luò)攻擊在工業(yè)領(lǐng)域頻繁發(fā)生,給許多公司造成了巨大損失。國(guó)家也越來(lái)越重視工業(yè)互聯(lián)網(wǎng)的安全。
2016年10月,工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全保護(hù)指南》,明確規(guī)定使用工業(yè)邊界控制設(shè)備,確保OT網(wǎng)絡(luò)與IT網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的邊界安全,以及禁止OT網(wǎng)絡(luò)與信息技術(shù)網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的直接連接。
利用工業(yè)防火墻隔離OT網(wǎng)絡(luò)內(nèi)的各個(gè)安全區(qū)域,全面提高工業(yè)控制網(wǎng)絡(luò)的安全性。本文介紹了工業(yè)防火墻的基本概念、特點(diǎn)和應(yīng)用場(chǎng)景。
工業(yè)防火墻的基本概念:
工業(yè)防火墻是一種用于控制工業(yè)控制網(wǎng)絡(luò)安全的串行保護(hù)產(chǎn)品。通過(guò)分析、識(shí)別和控制通過(guò)工業(yè)控制網(wǎng)絡(luò)的所有數(shù)據(jù)流,可以防止內(nèi)部和外部網(wǎng)絡(luò)攻擊工業(yè)控制設(shè)備。
工業(yè)防火墻的主要功能包括深入分析工業(yè)協(xié)議、數(shù)據(jù)包過(guò)濾、端口掃描保護(hù)、安全認(rèn)證、惡意代碼保護(hù)、漏洞保護(hù)和訪問(wèn)限制。
工業(yè)防火墻的產(chǎn)品形式分為導(dǎo)軌和機(jī)架。
1、軌道類型:根據(jù)德國(guó)DIN軌道標(biāo)準(zhǔn),它很容易在粗糙的生產(chǎn)設(shè)施中使用。
2、機(jī)架安裝:通常用于工廠房間。
工業(yè)防火墻的功能特性
與傳統(tǒng)防火墻相比,工業(yè)防火墻能夠更好地滿足工業(yè)場(chǎng)所的具體要求,主要包括:
(1) 工業(yè)防火墻不僅可以分析通用協(xié)議,還可以分析工業(yè)協(xié)議,可應(yīng)用于SCADA、DCS、PLC、PCS等工業(yè)控制系統(tǒng)。廣泛應(yīng)用于能源、天然氣、石油石化、制造業(yè)、節(jié)水、鐵路、鐵路運(yùn)輸、煙草等行業(yè)的工業(yè)控制系統(tǒng)中。
(2) 工業(yè)防火墻比現(xiàn)有防火墻具有更高的適應(yīng)性、可靠性、穩(wěn)定性和實(shí)時(shí)性,配備硬件BYPASS、冗余電源、雙列冗余等,滿足工業(yè)光溫、防塵、電磁防護(hù)、抗震、無(wú)風(fēng)扇、全封閉設(shè)計(jì)的要求。
工業(yè)防火墻的應(yīng)用場(chǎng)景
工業(yè)防火墻的應(yīng)用場(chǎng)景主要分為三類:
(1) 部署在隔離的管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間
工業(yè)防火墻允許攻擊者通過(guò)控制跨國(guó)界訪問(wèn)和對(duì)層間數(shù)據(jù)交換的深度過(guò)濾,基于管理網(wǎng)絡(luò)攻擊來(lái)控制網(wǎng)絡(luò)。
(2) 在控制網(wǎng)絡(luò)的不同安全區(qū)域之間部署
工業(yè)防火墻將控制網(wǎng)絡(luò)劃分為不同的安全區(qū)域,以控制安全區(qū)域之間的訪問(wèn),并對(duì)每個(gè)區(qū)域之間的流量數(shù)據(jù)進(jìn)行深度過(guò)濾,以避免安全風(fēng)險(xiǎn)在不同區(qū)域之間傳播。
(3) 核心設(shè)備與控制網(wǎng)絡(luò)之間
工業(yè)防火墻可以檢測(cè)訪問(wèn)關(guān)鍵設(shè)備的IP地址,以防止訪問(wèn)非業(yè)務(wù)端口和非法操作命令,并記錄關(guān)鍵設(shè)備的所有訪問(wèn)和操作記錄,以對(duì)關(guān)鍵設(shè)備進(jìn)行安全和流量檢查。
隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展以及IT和OT的融合,工業(yè)網(wǎng)絡(luò)的安全威脅越來(lái)越大。企業(yè)還需要解決工業(yè)網(wǎng)絡(luò)面臨的許多安全問(wèn)題,并提供完整的網(wǎng)絡(luò)邊界、區(qū)域和設(shè)備終端保護(hù)系統(tǒng)。