IT与OT融合下的工业网络安全防护.pdf

IT与OT交融下的工业网络平安防护

工业防火墙的核心使命应该是国家根底设施和核心工业的第一道屏障。震“

网、DUQU、火焰和Havex等可能有国家背景的网络战武器‘’也许离我们很远，

也许永远不会发生在我们的工厂中。但是启明星辰的浸透测试团队，在不同行

业的消费线测试时，发现的破绽数量和严重程度是令人震惊的;几乎所有行业都

爆出过严重工业网络平安事件。正是因为平安的代价永远被低估，我们才无法

平静。我们不期望有斯诺登们出现，但是没有斯诺登，如何发现危险之门，启

发警示之窗。本来隔离的消费网由于扩大的规模、连接的无线、远程的运维、

现场的管理和数据的传输，已经使消费线完全暴露在攻击者面前。〞北京启明

星辰信息技术工业防火墙产品经理张帅如是说。

工业防火墙有这么可怕吗？

每当张帅把工业防火墙最全面的功能介绍给客户时，客户都会提如下问

题：第一，产品会不会把消费网搞瘫痪？网络中断一分钟要损失几千万。第

二，产品是串进网络的吗？风险是不是有点高？第三，工业指令过滤是怎么设

定策略的？万一哪天有特殊指令要下发，比方要开闸泄洪，指令失效怎么办？

作为在网络平安行业工作8年的一线研发人员，一直从事防火墙、上网行

为、流量优化和工业防火墙的研发，张帅认为从技术方面他们面临的问题是一

样的，高可靠性！就像工业网络中存在工业交换机、协议转换器等等其实和防

火墙都是一样的，风险是同等的，技术手段是可以在很大程度上躲避这些风

险。详细原因他解释如下：

第一，工业防火墙实现基于网络层的工业专有协议白名单的访问控制是无

风险的，而带给工业网络的平安性的提升是很明显的。针对工业协议进展白名

单集合，比方在石油石化的某消费现场只允许Modbus协议通过，而不允许其

它协议通过。这种技术是非常成熟的，对工业网络是没有危害的，不会造成消

费停车等危害。虽然这种访问控制不会解决所有的平安问题，但是它很大程度

上提升了脆弱的工业网络的防护才能。就像传统的防火墙一样部署在边界也无

法解决所有平安问题一样，需要IPS等防护设备的配合。

第二，工业防火墙提供了三种形式，全通形式、测试形式和防护形式。测

试形式的含义是按照规那么进展报警但并不真正丢弃，就像个模拟实验。通过

这个模拟实验，我们的管理员就可以确认平安规那么是否是可靠的。然后在实

现防护形式，开场真正的防护。

第三，工业协议指令提供黑白名单双重机制，极大的减少了误封指令的可

能性。传统的防火墙都是白名单的架构，不符合的报文都丢弃。在工业防火墙

中为客户提供了两种机制，假设认为网络中的指令是可控明晰的，可以采用白

名单机制，把允许的指令都添加到白名单中，这样可以极大的保证平安性。假

设不能形成一个指令的合法的集合，可以对一些危险指令进展黑名单控制。

第四，工业防火墙依托启明星辰在工业入侵防护领域的深沉积累，与XDS

产品深度交融，使防火墙针对工业平安威胁实现了入侵防护功能。这些防护功

能是在真实环境中进展过验证的，采用黑名单的方式对攻击报文进展防护，即

将发布。

第五，工业防火墙同时支持了软硬件ByPass。一旦设备异常或者重启，会

启动Bypass功能，而无须担忧断网和停车。

可能以上都无法消除大家的疑虑，但工业4.0的滚滚洪流已经不可逆转，

智能工厂、智能消费和智能物流已经扑面而来;国家战略投资能源互联网。而我

们再抬头看一下国外〔见上图〕。从自动化厂商、工业信息平安新兴厂商到巨

头，从美洲到欧洲无不在布局工业平安。主流的工业巨头Honeywell、MTL、

Invensys-

Triconex、Hirschmann和SIEMENS等已经把数以万计的工业防火墙部署

到了他们提供的消费线中。国外的工业平安厂商TOFINO、Wurldtech都以各种

方式进入了中国市场。Bayshore与CISCO这样的网络巨头已经达成战略合

作，形成了工业平安解决方案，将Bayshore的工业防火墙与CISCO的网络设

备实现了联动。启明星辰作为国内网络平安标杆厂商有责任去做出更好的工业

解决方案效劳给我们的客户，工业防火墙不是隐患，而是屏障，是