IT与OT融合下的工业网络安全防护
- 来源:中国信息化周报 smarty:if $article.tag?>
- 关键字:IT,防火墙,工业 smarty:/if?>
- 发布时间:2015-07-02 08:07
工业防火墙的核心使命应该是国家基础设施和核心工业的第一道屏障。“震网、DUQU、火焰和Havex等可能有国家背景的‘网络战武器’也许离我们很远,也许永远不会发生在我们的工厂中。但是启明星辰的渗透测试团队,在不同行业的生产线测试时,发现的漏洞数量和严重程度是令人震惊的;几乎所有行业都爆出过严重工业网络安全事件。正是因为安全的代价永远被低估,我们才无法平静。我们不期望有斯诺登们出现,但是没有斯诺登,如何发现危险之门,启发警示之窗。原本隔离的生产网由于扩大的规模、连接的无线、远程的运维、现场的管理和数据的传输,已经使生产线完全暴露在攻击者面前。”北京启明星辰信息技术有限公司工业防火墙产品经理张帅如是说。
工业防火墙有这么可怕吗?
每当张帅把工业防火墙最全面的功能介绍给客户时,客户都会提如下问题:第一,产品会不会把生产网搞瘫痪?网络中断一分钟要损失几千万。第二,产品是串进网络的吗?风险是不是有点高?第三,工业指令过滤是怎么设定策略的?万一哪天有特殊指令要下发,比如要开闸泄洪,指令失效怎么办?
作为在网络安全行业工作8年的一线研发人员,一直从事防火墙、上网行为、流量优化和工业防火墙的研发,张帅认为从技术方面他们面临的问题是一样的,高可靠性!就像工业网络中存在工业交换机、协议转换器等等其实和防火墙都是一样的,风险是同等的,技术手段是可以在很大程度上规避这些风险。具体原因他解释如下:
第一,工业防火墙实现基于网络层的工业专有协议白名单的访问控制是无风险的,而带给工业网络的安全性的提升是很明显的。针对工业协议进行白名单集合,比如在石油石化的某生产现场只允许Modbus协议通过,而不允许其它协议通过。这种技术是非常成熟的,对工业网络是没有危害的,不会造成生产停车等危害。虽然这种访问控制不会解决所有的安全问题,但是它很大程度上提升了脆弱的工业网络的防护能力。就像传统的防火墙一样部署在边界也无法解决所有安全问题一样,需要IPS等防护设备的配合。
第二,工业防火墙提供了三种模式,全通模式、测试模式和防护模式。测试模式的含义是按照规则进行报警但并不真正丢弃,就像个模拟实验。通过这个模拟实验,我们的管理员就可以确认安全规则是否是可靠的。然后在实现防护模式,开始真正的防护。
第三,工业协议指令提供黑白名单双重机制,极大的减少了误封指令的可能性。传统的防火墙都是白名单的架构,不符合的报文都丢弃。在工业防火墙中为客户提供了两种机制,如果认为网络中的指令是可控清晰的,可以采用白名单机制,把允许的指令都添加到白名单中,这样可以极大的保证安全性。如果不能形成一个指令的合法的集合,可以对一些危险指令进行黑名单控制。
第四,工业防火墙依托启明星辰在工业入侵防护领域的深厚积累,与XDS产品深度融合,使防火墙针对工业安全威胁实现了入侵防护功能。这些防护功能是在真实环境中进行过验证的,采用黑名单的方式对攻击报文进行防护,即将发布。
第五,工业防火墙同时支持了软硬件ByPass。一旦设备异常或者重启,会启动Bypass功能,而无须担心断网和停车。
可能以上都无法打消大家的疑虑,但工业4.0的滚滚洪流已经不可逆转,智能工厂、智能生产和智能物流已经扑面而来;国家战略投资能源互联网。而我们再抬头看一下国外。从自动化厂商、工业信息安全新兴厂商到巨头,从美洲到欧洲无不在布局工业安全。主流的工业巨头Honeywell、MTL、Invensys-Triconex、Hirschmann和SIEMENS等已经把数以万计的工业防火墙部署到了他们提供的生产线中。国外的工业安全厂商TOFINO、Wurldtech都以各种方式进入了中国市场。Bayshore与CISCO这样的网络巨头已经达成战略合作,形成了工业安全解决方案,将Bayshore的工业防火墙与CISCO的网络设备实现了联动。启明星辰作为国内网络安全标杆厂商有责任去做出更好的工业解决方案服务给我们的客户,工业防火墙不是隐患,而是屏障,是IT/OT深度融合后不可或缺的防护手段。
天清汉马工业防火墙即将问世
据张帅介绍,该产品具有以下特性:其一,军工品质的环境适应性:产品分为导轨式和机架式两种,机架式可以部署在生产车间的机房中;导轨式设备可以直接部署到环境严苛的生产现场。
气候保护要求:产品具备超强的耐寒暑环境适应能力。导轨式设备工作温度支持-40~70℃,存储温度支持-40-85℃,湿度支持5%-95%,无凝结。
侵入保护要求:产品全金属外壳,无风扇设计,导轨式设备符合IP40的防护等级,可有效的防护直径>1mm异物进入,完全适应尘土飞扬的工业环境。
高可靠性:产品支持冗余电源、ByPass和双机热备。
其二,立体的纵深防御能力:
同时支持工业以太网和串行链路通信:产品同时具备以太网口和串行链路通信接口,用以满足不同的生产环境。以太网口支持设备部署在工业以太网的环境中。串行链路通信接口支持设备部署在RS232422485标准的基于串行通信链路生产线上。
支持三层工业网络边界和关键节点防护:产品可部署在管理网、监控网和生产网的边界;产品可以部署在关键的工程师站的前面;产品可以部署在PLC的前面。利用天清汉马工业防火墙,可以对工业网络进行分区、分域隔离,层层防护直达工业网络的核心生产线。
其三,安全功能灵活组合定制:工业生产线在很多行业中被戏称为“万国博览会”,产品类型千差万别,因此安全需求也存在很大的差异。天清汉马工业防火墙预置了基本的工业防火墙系统,可以支持基于IP、端口、时间和工业协议进行安全过滤,可以实现工业网络边界安全防护的需求;同时针对不同行业以及自动化厂商预置了相应的高级安全防护模块,如工业协议应用层深度解析控制模块、工业VPN模块等,可按需订购,这样可以极大的减少用户的投资,提高产品的利用价值。
其四,工业协议安全防护:
1.产品预置了百种以上的工业协议和四十种PLC防护模型,可以实现工业协议的白名单访问控制,极大的减少安全威胁迁入的风险。
2.产品实现了Modbus/TCP(通用工业协议)、Modbus/RTU(基于串行链路)、IEC104协议(电力标准)、OPC协议(数据交换标准)的深度协议防护模块,用户可按需购买。
3.全通模式、测试模式和防护模式引导管理员完成高质量安全策略的配置。
本报记者 杨光