• 關(guān)鍵詞：                                                                防火墻                                                                工業(yè)網(wǎng)絡(luò)

• 摘要：傳統(tǒng)防火墻在工業(yè)環(huán)境中的不足：一方面，為了提高安全防護(hù)能力，傳統(tǒng)防火墻在發(fā)展過(guò)程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。另一方面，它不理解不支持工控協(xié)議；它不適應(yīng)工業(yè)網(wǎng)絡(luò)對(duì)實(shí)時(shí)性的要求，而且工控設(shè)備對(duì)于實(shí)時(shí)性傳輸反饋要求非常高，一個(gè)小問(wèn)題就可能導(dǎo)致某個(gè)開(kāi)關(guān)停止響應(yīng)了。

在能源企業(yè)的工業(yè)網(wǎng)絡(luò)中，運(yùn)行著 DCS、PLC、SCADA 等各種過(guò)程控制系統(tǒng)，它們往往是生產(chǎn)系統(tǒng)的核心，負(fù)責(zé)完成基本的生產(chǎn)控制。工業(yè)防火墻可以切實(shí)保障核心生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)安全，在不影響工業(yè)生產(chǎn)實(shí)時(shí)性的同時(shí)保護(hù)工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。避免過(guò)程控制系統(tǒng)遭受入侵破壞對(duì)工業(yè)生產(chǎn)造成的影響。可用過(guò)防火墻的人都說(shuō)，傳統(tǒng)的防火墻在工控環(huán)境中根本沒(méi)法用？

傳統(tǒng)防火墻在工業(yè)環(huán)境中的不足

一方面，為了提高安全防護(hù)能力，傳統(tǒng)防火墻在發(fā)展過(guò)程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對(duì)數(shù)據(jù)包檢查的項(xiàng)目（即防火墻的功能）就越繁雜越精細(xì)，對(duì)CPU和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降，這一點(diǎn)與工業(yè)網(wǎng)絡(luò)對(duì)于實(shí)時(shí)性的要求是相背離的。

而另一方面，才是傳統(tǒng)防火墻最要命的地方，1它不理解不支持工控協(xié)議，這一點(diǎn)就等同虛設(shè)了；2它不適應(yīng)工業(yè)網(wǎng)絡(luò)對(duì)實(shí)時(shí)性的要求，而且工控設(shè)備對(duì)于實(shí)時(shí)性傳輸反饋要求非常高，一個(gè)小問(wèn)題就可能導(dǎo)致某個(gè)開(kāi)關(guān)停止響應(yīng)了。

華康工業(yè)防火墻在工業(yè)環(huán)境中的部署方式

隨著工信部有關(guān)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的發(fā)布，工控安全又被提升到了一個(gè)新的高度。指南指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從十一個(gè)方面做好工控安全防護(hù)工作，作為工控安全防護(hù)重要環(huán)節(jié)的邊界安全在指南的第三大點(diǎn)進(jìn)行了重點(diǎn)闡述，特別指出工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界應(yīng)通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備進(jìn)行安全防護(hù)，通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。可以看出，作為邊界防護(hù)的重要安全設(shè)備工業(yè)防火墻，在企業(yè)工控安全防護(hù)中起到了至關(guān)重要的作用。

華康工控防火墻的使用及部署主要有幾個(gè)方面，包括安全區(qū)域之間的防護(hù)、重點(diǎn)設(shè)備的防護(hù)、分散工控網(wǎng)絡(luò)之間的互聯(lián)、遠(yuǎn)程維護(hù)等，下面為大家一一圖示說(shuō)明。

1、安全區(qū)域之間的訪問(wèn)控制和安全防護(hù)

在縱向不同層次網(wǎng)絡(luò)之間部署防火墻，控制跨層訪問(wèn)并對(duì)層間數(shù)據(jù)交換進(jìn)行深度過(guò)濾，防止攻擊者通過(guò)上層網(wǎng)絡(luò)向下層網(wǎng)絡(luò)的滲透和攻擊。

在同層次中平行的廠區(qū)、工藝流程和業(yè)務(wù)子系統(tǒng)之間部署防火墻，將它們分割成不同的安全區(qū)域，控制不同安全區(qū)域之間的訪問(wèn)，并對(duì)區(qū)域間數(shù)據(jù)交換進(jìn)行深度過(guò)濾，減少區(qū)域之間安全問(wèn)題的擴(kuò)散和影響。

2、重點(diǎn)設(shè)備的安全防護(hù)

在重點(diǎn)設(shè)備的前端部署防火墻，限制可以訪問(wèn)它的IP地址、屏蔽非業(yè)務(wù)端口訪問(wèn)、過(guò)濾非法的操作指令、記錄所有的訪問(wèn)和操作，對(duì)其進(jìn)行全面的安全防護(hù)和審計(jì)。

3、分散工業(yè)網(wǎng)絡(luò)的安全互聯(lián)

對(duì)作業(yè)區(qū)內(nèi)部的工業(yè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)，阻斷來(lái)自公用網(wǎng)絡(luò)的攻擊，實(shí)現(xiàn)作業(yè)區(qū)網(wǎng)絡(luò)的邊界安全防護(hù)。

使用VPN對(duì)作業(yè)區(qū)與調(diào)度中心之間的數(shù)據(jù)傳輸進(jìn)行加密和保護(hù)，搭建安全的數(shù)據(jù)交換通道，解決兩者之間的數(shù)據(jù)傳輸安全問(wèn)題。

4、安全的遠(yuǎn)程維護(hù)

在工業(yè)網(wǎng)絡(luò)與公用網(wǎng)絡(luò)接口處部署防火墻，并啟用VPN功能，將其作為遠(yuǎn)程維護(hù)的堡壘設(shè)備。遠(yuǎn)程維護(hù)人員使用VPN連接到防火墻上，一方面進(jìn)行身份認(rèn)證，另一方面對(duì)通過(guò)公用網(wǎng)絡(luò)完成的遠(yuǎn)程維護(hù)操作進(jìn)行加密保護(hù)，實(shí)現(xiàn)安全的遠(yuǎn)程維護(hù)。