優(yōu)秀的工業(yè)防火墻是什么樣的?
2019年9月,GB/T37933-2019《工業(yè)控制系統(tǒng)專用防火墻信息安全技術(shù)及技術(shù)要求》正式發(fā)布,標(biāo)志著工業(yè)網(wǎng)絡(luò)防火墻產(chǎn)品的唯一選擇標(biāo)準(zhǔn)。從專業(yè)角度來看,建議使用工業(yè)控制系統(tǒng)特定的防火墻產(chǎn)品來保護(hù)工業(yè)網(wǎng)絡(luò)。
研發(fā)理念、功能、性能、可靠性、可用性、環(huán)境適應(yīng)性是一款優(yōu)秀的工業(yè)防火墻不可缺少的。
工業(yè)控制系統(tǒng)的專用防火墻應(yīng)采用基于白色環(huán)境的主動(dòng)防御技術(shù)的概念。與傳統(tǒng)的IT防火墻和由IT防火墻演變而來的工業(yè)防火墻不同,真正的工業(yè)防火墻是基于白色環(huán)境的主動(dòng)防御技術(shù)的概念。白色環(huán)境技術(shù)的目的是只有可靠的設(shè)備才能控制網(wǎng)絡(luò)??梢陨习唷V挥锌煽康南⒉拍茉诰W(wǎng)絡(luò)上傳輸。然而,傳統(tǒng)的IT防火墻采用了基于黑名單的被動(dòng)防御概念,并在傳統(tǒng)的黑名單防御基礎(chǔ)上增加了工業(yè)協(xié)議解析模塊。系統(tǒng)本身的主要功能仍然是黑名單,這是基于白名單的工業(yè)防火墻和基于白名單工業(yè)防火墻的最大區(qū)別。實(shí)踐表明,白名單主動(dòng)防御技術(shù)比傳統(tǒng)的黑名單被動(dòng)防御技術(shù)更適合工業(yè)控制系統(tǒng)。
白名單主動(dòng)防御技術(shù)更適合工業(yè)控制網(wǎng)絡(luò)的主要原因包括:
(1) 與增強(qiáng)的實(shí)時(shí)性能“權(quán)重”黑名單機(jī)制相比,白名單技術(shù)采用了輕量級(jí)的白名單機(jī)制,可以更好地滿足工業(yè)生產(chǎn)網(wǎng)絡(luò)的實(shí)時(shí)性要求。
(2) 白名單獨(dú)立系統(tǒng)不需要頻繁的庫升級(jí),白名單技術(shù)將已知和可靠的內(nèi)容添加到白名單中。因此,只需設(shè)置流程和業(yè)務(wù)數(shù)據(jù),白名單就不會(huì)改變。生產(chǎn)操作系統(tǒng)也可以穩(wěn)定運(yùn)行。黑名單機(jī)器與葡萄酒相比,白名單技術(shù)有其固有的優(yōu)勢(shì)。黑名單技術(shù)需要定期更新特征庫,通常需要將工控網(wǎng)絡(luò)環(huán)境從“穩(wěn)定狀態(tài)”拉到“不安全狀態(tài)”。
(3) 白名單機(jī)制可以檢測(cè)和防止未知威脅。黑名單機(jī)制基于現(xiàn)有的特征庫來檢測(cè)和預(yù)防威脅,不能檢測(cè)和預(yù)防未知威脅;白名單機(jī)制通過屏蔽網(wǎng)絡(luò)和系統(tǒng)外所有不可靠和不安全的內(nèi)容,可以有效防止未知威脅。