工业防火墙是单点故障隐患还是防护屏障

产品经理都会把产品作为自已孕育的生命,用心呵护。在整个产品的生命周期中,技术调研、用户分析、组建团队、需求分析、开发、上市和维护等等环节,都为了一个目标:使产品能更好服务它自己所承担的使命。工业防火墙也不例外,它的核心使命应该是国家基础设施和核心工业的第一道屏障。

在产品研发前期,我们更多的把精力投入到工业网络安全需求、产品定义和产品质量上,期望能做出一款能够为工业安全贡献微薄力量的产品。在团队付出极大努力,产品即将面世时,我开始将重点逐步放到产品推广上。我写了大量关于工业安全分析的文章,也对工业防火墙做了深入的介绍,但是我发现我们的客户、营销人员和行业专家却困扰在另外的一些问题中,而我们却没有解答,我开始反思,并写下这篇文章。

疑问是这样的:

我们的生产线是隔离的!我们的生产线是安全的?

我们的行业客户、专家甚至我们自己的营销人员,在谈到工业防火墙时,都谈”墙”色变!

1、 我们的生产线是安全的吗?

震网、DUQU、火焰和Havex等可能有国家背景的”网络战武器”也许离我们很远,也许永远不会发生在我们的工厂中。但是启明星辰的渗透测试团队,在不同的行业的生产线测试时,发现的漏洞数量和严重程度是令人震惊的;黑暗系”谷歌”Shodan搜索到的生产线设备、PLC、交通灯和摄像头还在每天不断的激增;几乎所有行业都爆出过严重工业网络安全事件,包括石油石化、自来水、污水处理、电力等等。正是因为安全的代价永远被低估,我们才无法平静。我们不期望有斯诺登们出现,但是没有斯诺登,如何发现危险之门,启发警示之窗。

原本隔离的生产网由于扩大的规模、连接的无线、远程的运维、现场的管理和数据的传输,现在已经使生产线完全暴露在攻击者面前。而黑客们真的不懂SCADA、DCS系统和PLC吗?你太低估他们了,如果感兴趣,请看一下德国最新的电影《我是谁:没有绝对安全的系统》,IMDB评分7.6,豆瓣评分8!所以肯定不会浪费你们的时间。

2、 工业防火墙有这么可怕吗?

每当我把工业防火墙最全面的功能介绍给客户时,发现他们眼神总是很游离,他们第一步关心的是如下问题:

产品会不会把我的生产网搞瘫痪?我的网络中断一分钟要损失几千万。

你们的产品是串进网络的吗?风险是不是有点高?

你的工业指令过滤是怎么设定策略的?万一哪天我有特殊指令(没有在允许范围内)要下发,比如我要开闸泄洪,指令失效怎么办?

作为在网络安全行业8年的一线研发人员,一直从事从防火墙、上网行为、流量优化和工业防火墙的研发,我认为从技术方面他们面临的问题是一样的,高可靠性!就像工业网络中存在工业交换机、协议转换器等等其实和防火墙都是一样的,风险是同等的,技术手段是可以在很大程度上规避这些风险。具体解释如下:

  • 工业防火墙实现基于网络层的工业专有协议白名单的访问控制是无风险的,而带给工业网络的安全性的提升是很明显的。针对工业协议进行白名单集合,比如在石油石化的某生产现场只允许Modbus协议通过,而不允许其它协议通过。这种技术是非常成熟的,对工业网络是没有危害的,不会造成生产停车等危害。虽然这种访问控制不会解决所有的安全问题,但是它很大程度上提升了脆落的工业网络的防护能力。就像传统的防火墙一样部署在边界也无法解决所有安全问题一样,需要IPS等防护设备的配合,别急,后面还有防护手段。
  • 工业防火墙提供了三种模式,全通模式、测试模式和防护模式。测试模式的含义是按照规则进行报警但并不真正丢弃,就像个模拟实验。通过这个模拟实验,我们的管理员就可以确认安全规则是否是可靠的。然后在实现防护模式,开始真正的防护。还是认为不够?别急,还有……
  • 工业协议指令提供黑白名单双重机制,极大的减少了误封指令的可能性。传统的防火墙都是白名单的架构,不符合的报文都丢弃。在工业防火墙中为客户提供了两种机制,如果认为网络中的指令是可控清晰的,可以采用白名单机制,把允许的指令都添加到白名单中,这样可以极大的保证安全性。如果不能形成一个指令的合法的集合,可以对一些危险指令进行黑名单控制。
  • 工业防火墙依托启明星辰在工业入侵防护领域的深厚积累,与XDS产品深度融合,使防火墙针对工业安全威胁实现了入侵防护功能。这些防护功能是在真实环境中进行过验证的,采用黑名单的方式对攻击报文进行防护,即将发布,请期待。
  • 工业防火墙同时支持了软硬件ByPass。一旦设备异常或者重启,会启动Bypass功能,而无须担心断网和停车。当然这种情况是不会发生的……

可能以上都无法打消大家的疑虑! 但工业4.0的滚滚洪流已经不可逆转,智能工厂、智能生产和智能物流已经扑面而来;国家战略投资能源互联网。而我们再抬头看一下国外(见上图)。从自动化厂商、工业信息安全新兴厂商到巨头,从美洲到欧洲无不在布局工业安全。主流的工业巨头Honeywell、MTL、Invensys-Triconex、Hirschmann和SIEMENS等已经把数以万计的工业防火墙部署到了他们提供的生产线中。国外的工业安全厂商TOFINO、Wurldtech都以各种方式进入了中国市场。Bayshore与CISCO这样的网络巨头已经战略合作,形成了工业安全解决方案,将Bayshore的工业防火墙与CISCO的网络设备实现了联动。启明星辰作为国内网络安全标杆厂商有责任去做出更好的工业解决方案服务给我们的客户,工业防火墙不是隐患,而是屏障,是IT/OT深度融合后不可或缺的防护手段。

天清汉马工业防火墙即将发布

军工品质的环境适应性:

产品分为导轨式和机架式两种,机架式可以部署在生产车间的机房中;导轨式设备可以直接部署到环境严苛的生产现场。产品满足如下要求:

  • ①气候保护要求:产品具备超强的耐寒暑环境适应能力。导轨式设备工作温度支持-40~70℃,存储温度支持-40-85℃,湿度支持5%-95%,无凝结。
  • ②侵入保护要求:产品全金属外壳,无风扇设计,导轨式设备符合IP40的防护等级,可有效的防护直径>1mm异物进入,完全适应尘土飞扬的工业环境。
  • ③高可靠性:产品支持冗余电源、ByPass和双机热备。

立体的纵深防御能力:

  • ①同时支持工业以太网和串行链路通信:产品同时具备以太网口和串行链路通信接口,用以满足不同的生产环境。以太网口支持设备部署在工业以太网的环境中。串行链路通信接口支持设备部署在RS232\\422\\485标准的基于串行通信链路生产线上。
  • ②支持三层工业网络边界和关键节点防护:产品可部署在管理网、监控网和生产网的边界;产品可以部署在关键的工程师站的前面;产品可以部署在PLC的前面。利用天清汉马工业防火墙,可以对工业网络进行分区、分域隔离,层层防护直达工业网络的核心生产线。

安全功能灵活组合定制:

工业生产线在很多行业中被戏称为”万国博览会”,产品类型千差万别,因此安全需求也存在很大的差异化。天清汉马工业防火墙预置了基本的工业防火墙系统,可以支持基于IP、端口、时间和工业协议进行安全过滤,可以实现工业网络边界安全防护的需求;同时针对不同行业以及自动化厂商预置了相应的高级安全防护模块,如工业协议应用层深度解析控制模块、工业VPN模块等,可按需订购,这样可以极大的减少用户的投资,提高产品的利用价值。

工业协议安全防护:

  • ①产品预置了百种以上的工业协议和四十种PLC防护模型,可以实现工业协议的白名单访问控制,极大的减少安全威胁迁入的风险。
  • ②产品实现了Modbus/TCP(通用工业协议)、Modbus/RTU(基于串行链路)、IEC104协议(电力标准)、OPC协议(数据交换标准)的深度协议防护模块,用户可按需购买。
  • ③全通模式、测试模式和防护模式引导管理员完成高质量安全策略配置。

后记:

孩子醒过来,哭了。惊慌的眼睛在那儿乱转。多可怕啊!无边的黑暗,剧烈的灯光,浑沌初凿的头脑里的幻觉,包围着他的那个闷人的、蠕动不已的黑夜,还有那深不可测的阴影中,好似耀眼的光线一般透出来的尖锐的刺激,痛苦,和幽灵。-摘自《约翰·克里斯多夫》

发表评论

邮箱地址不会被公开。 必填项已用*标注