工業(yè)防火墻的功能

工業(yè)控制系統(tǒng)的專用防火墻超越了對(duì)工業(yè)協(xié)議的深入解釋。長期以來，用戶主觀上認(rèn)為工業(yè)防火墻的主要功能是深入分析工業(yè)協(xié)議，但這種觀點(diǎn)實(shí)際上是完全錯(cuò)誤的。

工業(yè)控制系統(tǒng)的安全性不同于現(xiàn)有的安全性，需要遵守業(yè)務(wù)邏輯規(guī)則。工業(yè)控制系統(tǒng)的安全保護(hù)需要基于兩個(gè)標(biāo)準(zhǔn)來發(fā)現(xiàn)和約束“時(shí)間”：一個(gè)是工業(yè)控制系統(tǒng)環(huán)境標(biāo)準(zhǔn)，另一個(gè)是生產(chǎn)操作行為規(guī)范。

這里的工業(yè)控制系統(tǒng)的環(huán)境規(guī)范不是指物理環(huán)境，而是指工業(yè)生產(chǎn)和運(yùn)行環(huán)境，包括生產(chǎn)設(shè)備、設(shè)備操作系統(tǒng)、工業(yè)應(yīng)用軟件、工業(yè)通信協(xié)議等。主要功能包括工業(yè)資產(chǎn)識(shí)別、資產(chǎn)對(duì)話關(guān)系、，風(fēng)險(xiǎn)識(shí)別、開發(fā)保護(hù)和工業(yè)協(xié)議白名單。

生產(chǎn)業(yè)務(wù)行為規(guī)范是從指令周期和時(shí)間邏輯的角度對(duì)生產(chǎn)業(yè)務(wù)流程的行為邏輯進(jìn)行規(guī)范，并基于指令循環(huán)和時(shí)間邏輯生成業(yè)務(wù)流程白名單。對(duì)于邏輯和順序的業(yè)務(wù)流程，客戶可以使用法律流程。無論是否參與，都可以輕松定義消息傳輸周期和延遲容忍度?？刂茣r(shí)間邏輯、周期通過構(gòu)建基于頻率等特征的業(yè)務(wù)模型，可以檢測(cè)到隱藏在合法命令中的異常流程行為，消除了序列攻擊或用戶濫用在工業(yè)控制系統(tǒng)中的危害。

目前，幾乎所有主要的工業(yè)防火墻產(chǎn)品都設(shè)計(jì)用于為工業(yè)控制系統(tǒng)環(huán)境提供安全保護(hù)，作為空間保護(hù)的一部分。完全忽略了生產(chǎn)過程中的異常行為對(duì)工業(yè)控制系統(tǒng)正常運(yùn)行的危害。業(yè)務(wù)流程的白名單是時(shí)間保護(hù)的一部分，只有在空間和時(shí)間方面定義的白名單約束才真正符合工業(yè)控制系統(tǒng)的白環(huán)境。