工業(yè)防火墻的核心使命應(yīng)該是國家基礎(chǔ)設(shè)施和核心工業(yè)的第一道屏障?！罢鹁W(wǎng)、DUQU、火焰和Havex等可能有國家背景的‘網(wǎng)絡(luò)戰(zhàn)武器’也許離我們很遠(yuǎn)，也許永遠(yuǎn)不會發(fā)生在我們的工廠中。但是啟明星辰的滲透測試團(tuán)隊，在不同行業(yè)的生產(chǎn)線測試時，發(fā)現(xiàn)的漏洞數(shù)量和嚴(yán)重程度是令人震驚的；幾乎所有行業(yè)都爆出過嚴(yán)重工業(yè)網(wǎng)絡(luò)安全事件。正是因為安全的代價永遠(yuǎn)被低估，我們才無法平靜。我們不期望有斯諾登們出現(xiàn)，但是沒有斯諾登，如何發(fā)現(xiàn)危險之門，啟發(fā)警示之窗。原本隔離的生產(chǎn)網(wǎng)由于擴大的規(guī)模、連接的無線、遠(yuǎn)程的運維、現(xiàn)場的管理和數(shù)據(jù)的傳輸，已經(jīng)使生產(chǎn)線完全暴露在攻擊者面前?！北本﹩⒚餍浅叫畔⒓夹g(shù)有限公司工業(yè)防火墻產(chǎn)品經(jīng)理張帥如是說。

　　工業(yè)防火墻有這么可怕嗎？

　　每當(dāng)張帥把工業(yè)防火墻最全面的功能介紹給客戶時，客戶都會提如下問題：第一，產(chǎn)品會不會把生產(chǎn)網(wǎng)搞癱瘓？網(wǎng)絡(luò)中斷一分鐘要損失幾千萬。第二，產(chǎn)品是串進(jìn)網(wǎng)絡(luò)的嗎？風(fēng)險是不是有點高？第三，工業(yè)指令過濾是怎么設(shè)定策略的？萬一哪天有特殊指令要下發(fā)，比如要開閘泄洪，指令失效怎么辦？

　　作為在網(wǎng)絡(luò)安全行業(yè)工作8年的一線研發(fā)人員，一直從事防火墻、上網(wǎng)行為、流量優(yōu)化和工業(yè)防火墻的研發(fā)，張帥認(rèn)為從技術(shù)方面他們面臨的問題是一樣的，高可靠性！就像工業(yè)網(wǎng)絡(luò)中存在工業(yè)交換機、協(xié)議轉(zhuǎn)換器等等其實和防火墻都是一樣的，風(fēng)險是同等的，技術(shù)手段是可以在很大程度上規(guī)避這些風(fēng)險。具體原因他解釋如下：

　　第一，工業(yè)防火墻實現(xiàn)基于網(wǎng)絡(luò)層的工業(yè)專有協(xié)議白名單的訪問控制是無風(fēng)險的，而帶給工業(yè)網(wǎng)絡(luò)的安全性的提升是很明顯的。針對工業(yè)協(xié)議進(jìn)行白名單集合，比如在石油石化的某生產(chǎn)現(xiàn)場只允許Modbus協(xié)議通過，而不允許其它協(xié)議通過。這種技術(shù)是非常成熟的，對工業(yè)網(wǎng)絡(luò)是沒有危害的，不會造成生產(chǎn)停車等危害。雖然這種訪問控制不會解決所有的安全問題，但是它很大程度上提升了脆弱的工業(yè)網(wǎng)絡(luò)的防護(hù)能力。就像傳統(tǒng)的防火墻一樣部署在邊界也無法解決所有安全問題一樣，需要IPS等防護(hù)設(shè)備的配合。

　　第二，工業(yè)防火墻提供了三種模式，全通模式、測試模式和防護(hù)模式。測試模式的含義是按照規(guī)則進(jìn)行報警但并不真正丟棄，就像個模擬實驗。通過這個模擬實驗，我們的管理員就可以確認(rèn)安全規(guī)則是否是可靠的。然后在實現(xiàn)防護(hù)模式，開始真正的防護(hù)。

　　第三，工業(yè)協(xié)議指令提供黑白名單雙重機制，極大的減少了誤封指令的可能性。傳統(tǒng)的防火墻都是白名單的架構(gòu)，不符合的報文都丟棄。在工業(yè)防火墻中為客戶提供了兩種機制，如果認(rèn)為網(wǎng)絡(luò)中的指令是可控清晰的，可以采用白名單機制，把允許的指令都添加到白名單中，這樣可以極大的保證安全性。如果不能形成一個指令的合法的集合，可以對一些危險指令進(jìn)行黑名單控制。

　　第四，工業(yè)防火墻依托啟明星辰在工業(yè)入侵防護(hù)領(lǐng)域的深厚積累，與XDS產(chǎn)品深度融合，使防火墻針對工業(yè)安全威脅實現(xiàn)了入侵防護(hù)功能。這些防護(hù)功能是在真實環(huán)境中進(jìn)行過驗證的，采用黑名單的方式對攻擊報文進(jìn)行防護(hù)，即將發(fā)布。

　　第五，工業(yè)防火墻同時支持了軟硬件ByPass。一旦設(shè)備異?；蛘咧貑?，會啟動Bypass功能，而無須擔(dān)心斷網(wǎng)和停車。

　　可能以上都無法打消大家的疑慮，但工業(yè)4.0的滾滾洪流已經(jīng)不可逆轉(zhuǎn)，智能工廠、智能生產(chǎn)和智能物流已經(jīng)撲面而來；國家戰(zhàn)略投資能源互聯(lián)網(wǎng)。而我們再抬頭看一下國外。從自動化廠商、工業(yè)信息安全新興廠商到巨頭，從美洲到歐洲無不在布局工業(yè)安全。主流的工業(yè)巨頭Honeywell、MTL、Invensys-Triconex、Hirschmann和SIEMENS等已經(jīng)把數(shù)以萬計的工業(yè)防火墻部署到了他們提供的生產(chǎn)線中。國外的工業(yè)安全廠商TOFINO、Wurldtech都以各種方式進(jìn)入了中國市場。Bayshore與CISCO這樣的網(wǎng)絡(luò)巨頭已經(jīng)達(dá)成戰(zhàn)略合作，形成了工業(yè)安全解決方案，將Bayshore的工業(yè)防火墻與CISCO的網(wǎng)絡(luò)設(shè)備實現(xiàn)了聯(lián)動。啟明星辰作為國內(nèi)網(wǎng)絡(luò)安全標(biāo)桿廠商有責(zé)任去做出更好的工業(yè)解決方案服務(wù)給我們的客戶，工業(yè)防火墻不是隱患，而是屏障，是IT/OT深度融合后不可或缺的防護(hù)手段。

　　天清漢馬工業(yè)防火墻即將問世

　　據(jù)張帥介紹，該產(chǎn)品具有以下特性：其一，軍工品質(zhì)的環(huán)境適應(yīng)性：產(chǎn)品分為導(dǎo)軌式和機架式兩種，機架式可以部署在生產(chǎn)車間的機房中；導(dǎo)軌式設(shè)備可以直接部署到環(huán)境嚴(yán)苛的生產(chǎn)現(xiàn)場。

　　氣候保護(hù)要求：產(chǎn)品具備超強的耐寒暑環(huán)境適應(yīng)能力。導(dǎo)軌式設(shè)備工作溫度支持-40~70℃，存儲溫度支持-40-85℃，濕度支持5％-95％，無凝結(jié)。

　　侵入保護(hù)要求：產(chǎn)品全金屬外殼，無風(fēng)扇設(shè)計，導(dǎo)軌式設(shè)備符合IP40的防護(hù)等級，可有效的防護(hù)直徑>1mm異物進(jìn)入，完全適應(yīng)塵土飛揚的工業(yè)環(huán)境。

　　高可靠性：產(chǎn)品支持冗余電源、ByPass和雙機熱備。

　　其二，立體的縱深防御能力：

　　同時支持工業(yè)以太網(wǎng)和串行鏈路通信：產(chǎn)品同時具備以太網(wǎng)口和串行鏈路通信接口，用以滿足不同的生產(chǎn)環(huán)境。以太網(wǎng)口支持設(shè)備部署在工業(yè)以太網(wǎng)的環(huán)境中。串行鏈路通信接口支持設(shè)備部署在RS232422485標(biāo)準(zhǔn)的基于串行通信鏈路生產(chǎn)線上。

　　支持三層工業(yè)網(wǎng)絡(luò)邊界和關(guān)鍵節(jié)點防護(hù)：產(chǎn)品可部署在管理網(wǎng)、監(jiān)控網(wǎng)和生產(chǎn)網(wǎng)的邊界；產(chǎn)品可以部署在關(guān)鍵的工程師站的前面；產(chǎn)品可以部署在PLC的前面。利用天清漢馬工業(yè)防火墻，可以對工業(yè)網(wǎng)絡(luò)進(jìn)行分區(qū)、分域隔離，層層防護(hù)直達(dá)工業(yè)網(wǎng)絡(luò)的核心生產(chǎn)線。

　　其三，安全功能靈活組合定制：工業(yè)生產(chǎn)線在很多行業(yè)中被戲稱為“萬國博覽會”，產(chǎn)品類型千差萬別，因此安全需求也存在很大的差異。天清漢馬工業(yè)防火墻預(yù)置了基本的工業(yè)防火墻系統(tǒng)，可以支持基于IP、端口、時間和工業(yè)協(xié)議進(jìn)行安全過濾，可以實現(xiàn)工業(yè)網(wǎng)絡(luò)邊界安全防護(hù)的需求；同時針對不同行業(yè)以及自動化廠商預(yù)置了相應(yīng)的高級安全防護(hù)模塊，如工業(yè)協(xié)議應(yīng)用層深度解析控制模塊、工業(yè)VPN模塊等，可按需訂購，這樣可以極大的減少用戶的投資，提高產(chǎn)品的利用價值。

　　其四，工業(yè)協(xié)議安全防護(hù)：

　　1.產(chǎn)品預(yù)置了百種以上的工業(yè)協(xié)議和四十種PLC防護(hù)模型，可以實現(xiàn)工業(yè)協(xié)議的白名單訪問控制，極大的減少安全威脅遷入的風(fēng)險。

　　2.產(chǎn)品實現(xiàn)了Modbus/TCP（通用工業(yè)協(xié)議）、Modbus/RTU(基于串行鏈路)、IEC104協(xié)議（電力標(biāo)準(zhǔn)）、OPC協(xié)議（數(shù)據(jù)交換標(biāo)準(zhǔn)）的深度協(xié)議防護(hù)模塊，用戶可按需購買。

　　3.全通模式、測試模式和防護(hù)模式引導(dǎo)管理員完成高質(zhì)量安全策略的配置。

　　本報記者 楊光

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……