工业防火墙的由来
工业防火墙的由来与工控安全的演变密切相关。自2000年以来,针对工业控制系统的攻击事件不断增多,这些攻击不仅会破坏工业系统的正常运行,甚至可能造成大规模的停产、停电等破坏性影响。为了应对这些威胁,业界开始研发专门用于保护工业控制系统的安全设备。截止到今天,工业防火墙的应用价值已得到广泛认可,成为保护工业控制系统的必需手段之一。
工业防火墙的定义
工业控制系统专用防火墙,是部署于工业控制系统中不同的安全域之间,或者控制器之前,具备网络层访问控制及过滤功能,工业控制协议规约检查和过滤功能,并具备高可用性,能够适用于工业控制系统环境的安全网关类产品。
GB T 37933-2019《信息安全技术 工业控制系统专用防火墙技术要求》
工业防火墙的发展历史
2010年,针对伊拉克核基础设施铀浓缩工厂攻击的“震网”病毒事件发生后,整个世界为之震惊,业界开始研发专门用于保护工业控制系统的安全设备。2010年,加拿大Byres Security公司发布世界上第一个针对Modbus TCP协议内容进行深度解析和指令级控制的防火墙。同年,Byres Security公司与英维思、MTL仪器仪表有限公司合作,在此基础上开发针对OPC Classic协议的深度解析和指令级控制,提供一套面向Modbus TCP、OPC Classic协议安全防护的工控网络安全解决方案,这被认为是最早的工业防火墙的诞生。
而随着工业4.0概念的提出,美国、欧盟等在2015年前后也先后推出多项政策以推动工业互联网安全相关工作,相关创业公司也先后成立,如Cyber X、Claroty、Dragos 、Security Matters、Nezomi、Fortinet等。
图1:工业防火墙
国内工业防火墙的发展,可追溯到2014年。2014年,北京威努特技术有限公司(以下简称:威努特)成立,在业界率先提出工业网络“白环境”的技术理念和解决方案,并自主研发工业防火墙产品,于2015年推出国内首款千兆工业防火墙产品。
图2:威努特国内首款千兆工业防火墙
2019年,威努特率先推出基于ARM架构的车载防火墙,击败行业头部厂商,进入中车系供应商名录,开辟了高铁、地铁车载网络安全市场。
2020年,威努特首次登榜中国工控防火墙市场NO.1,在此后的2021年、2022年、2023年,连续三年蝉联中国工控防火墙市场NO.1,其推出的多项全球首创工业防火墙技术方案,如硬件级安全策略写保护、业务工艺行为检测、组态工程文件白名单等,引领了工业防火墙的技术发展。
图3:IDC发布《中国工控防火墙市场份额》威努特工业防火墙排名第一
工业防火墙与传统防火墙的对比
图4:工业防火墙与传统防火墙对比
威努特工业防火墙的分类
现如今,随着工业网络控制系统的迅速发展,单一工业防火墙产品已无法满足所有应用场景需求。工业防火墙针对不同行业的需求和应用场景衍生出不同类别的产品,主要分为工业防火墙、工业互联防火墙、车载防火墙、物联网安全接入网关等。
图5:工业防火墙按层级分类
工业防火墙
应用场景
工业防火墙是应用于工业控制系统的专用防火墙产品,既要满足通用防火墙的基本要求,还要满足工业控制环境下的特殊要求,工业防火墙主要应用在工业控制层级间隔离以及各层区域间隔离。
典型部署
图6:工业防火墙典型部署
核心功能
安全访问:通过会话状态检测、包过滤检测机制,限制对工业控制系统的非授权访问行为;
工业协议指令级控制:基于工业控制协议通信记录,自动学习业务通信逻辑关系、操作功能码和参数等,形成正常工业业务通信行为模型,对非法操作指令、控制参数进行拦截,对未知工控设备接入进行管控;
攻击防范:检测并阻止未经授权的网络流量和恶意攻击,保护工业控制网络的安全与稳定。
工业互联防火墙
应用场景
工业互联防火墙是应用于工业互联网出口,对工控网络和信息网络进行边界隔离和安全防护。其对来自信息网络的常见入侵行为、病毒文件等恶意攻击进行阻断,对工控网络常见工业协议进行深度解析和指令控制,重点监控工业互联场景下边界流量,确保无论从哪个方向进行跨边界传输的数据都是安全的。
典型部署
图7:工业互联防火墙典型部署
核心功能
工业互联网出口边界防护:以路由方式部署于工业网络互联网出口,抵御来自外部网络的入侵攻击行为,对网络中的病毒进行过滤查杀;对网络带宽进行优化,保障关键应用和业务的带宽使用;支持加密传输,通过密码体系,在网络层保障通信数据的完整性、机密性、真实性以及抗重放性;
工控网络和信息网络边界隔离:串行部署于MES层和办公信息网之间,对进入工控网络的访问行为进行检查和控制,阻止来自外部的安全威胁进入工控网络;
工控网络边界访问控制:基于工业协议深度解析和指令管控,实现对非法操作指令的拦截和告警。
车载防火墙
应用场景
车载防火墙是应用于轨道交通车载信号系统、列车控制和管理系统(TCMS)、乘客信息系统(PIS)的专用防火墙产品。产品在提供传统工业防火墙功能的基础上,还适应车载控制系统的应用场景,识别列车控制系统相关协议,并基于协议做访问控制和安全策略,为车载控制网络与外部网络互联、车载控制网络内部区域之间的网络连接提供安全保障。
典型部署
图8:车载防火墙典型部署
核心功能
访问控制:解决地面对列车网络的越权访问与登录问题;
车载专用协议深度解析:支持TRDP等列车专用协议指令级解析,对操作类型、操作对象、操作范围等进行控制,保证正常数据流和指令通过车载防火墙;
攻击防范:对异常报文、异常流量检测,抵御内部、外部入侵行为。
物联网安全接入网关
应用场景
物联网安全接入网关是应用于物联网设备或工控设备分布式接入场景中,在中心侧旁路部署统一安全管理平台,在分布式节点上串联部署物联网安全接入网关,支持Ethernet下行接入和Ethernet、4G/5G上行接入,通过接入控制、访问控制、攻击防护、加密传输、集中管理等功能实现分布式场站中的网络安全、运营商公网传输安全、物联网设备安全分析和运营。
典型部署
图9:物联网安全接入网关典型部署
核心功能
接入访问控制:对分布式网络边缘节点处的接入设备做接入控制和访问控制;
可靠传输:支持有线、无线上行接入,支持有线、无线互为热备,同时能够实现路由传输;
攻击防范:针对各类网络攻击行为,如泛洪攻击、扫描探测、非法指令传输做检查和阻断;
数据加密:通过IPsec VPN等方式对数据通道做加密,有效防止控制指令被篡改和业务数据泄露。
图10:威努特各类工业防火墙对比
结 语
威努特工业防火墙将朝着智能化、场景化和可视化方向发展。通过运用人工智能技术,加强面向生产业务工艺行为逻辑的检测与防护,实现业务模型动态建立,深度融合工业客户业务系统。同时,针对不同应用场景,持续开发适用于特定应用场景的工业防火墙。此外,加强工业防火墙面向生产业务的语言表达,将安全事件与生产业务紧密结合,使用户更好地理解工控安全。
目前,威努特防火墙产品线全面覆盖从OT到IT的所有应用场景,实现工控网络五个层级的全方位纵深防护,为工业生产的安全稳定运行提供了有力保障。
如有侵权请联系:admin#unsafe.sh