工業(yè)防火墻的功能
工業(yè)控制系統(tǒng)的專用防火墻超越了對(duì)工業(yè)協(xié)議的深入解釋。長期以來,用戶主觀上認(rèn)為工業(yè)防火墻的主要功能是深入分析工業(yè)協(xié)議,但這種觀點(diǎn)實(shí)際上是完全錯(cuò)誤的。
工業(yè)控制系統(tǒng)的安全性不同于現(xiàn)有的安全性,需要遵守業(yè)務(wù)邏輯規(guī)則。工業(yè)控制系統(tǒng)的安全保護(hù)需要基于兩個(gè)標(biāo)準(zhǔn)來發(fā)現(xiàn)和約束“時(shí)間”:一個(gè)是工業(yè)控制系統(tǒng)環(huán)境標(biāo)準(zhǔn),另一個(gè)是生產(chǎn)操作行為規(guī)范。
這里的工業(yè)控制系統(tǒng)的環(huán)境規(guī)范不是指物理環(huán)境,而是指工業(yè)生產(chǎn)和運(yùn)行環(huán)境,包括生產(chǎn)設(shè)備、設(shè)備操作系統(tǒng)、工業(yè)應(yīng)用軟件、工業(yè)通信協(xié)議等。主要功能包括工業(yè)資產(chǎn)識(shí)別、資產(chǎn)對(duì)話關(guān)系、,風(fēng)險(xiǎn)識(shí)別、開發(fā)保護(hù)和工業(yè)協(xié)議白名單。
生產(chǎn)業(yè)務(wù)行為規(guī)范是從指令周期和時(shí)間邏輯的角度對(duì)生產(chǎn)業(yè)務(wù)流程的行為邏輯進(jìn)行規(guī)范,并基于指令循環(huán)和時(shí)間邏輯生成業(yè)務(wù)流程白名單。對(duì)于邏輯和順序的業(yè)務(wù)流程,客戶可以使用法律流程。無論是否參與,都可以輕松定義消息傳輸周期和延遲容忍度??刂茣r(shí)間邏輯、周期通過構(gòu)建基于頻率等特征的業(yè)務(wù)模型,可以檢測(cè)到隱藏在合法命令中的異常流程行為,消除了序列攻擊或用戶濫用在工業(yè)控制系統(tǒng)中的危害。
目前,幾乎所有主要的工業(yè)防火墻產(chǎn)品都設(shè)計(jì)用于為工業(yè)控制系統(tǒng)環(huán)境提供安全保護(hù),作為空間保護(hù)的一部分。完全忽略了生產(chǎn)過程中的異常行為對(duì)工業(yè)控制系統(tǒng)正常運(yùn)行的危害。業(yè)務(wù)流程的白名單是時(shí)間保護(hù)的一部分,只有在空間和時(shí)間方面定義的白名單約束才真正符合工業(yè)控制系統(tǒng)的白環(huán)境。