随着网络信息时代的到来,我国工业模式发生了翻天覆地的变化,彻底打破了“信息孤岛”模式,企业全面联网,生产数据轻松实现汇总分析,不但提高了生产效率,还达到了节能减排的目的。信息化给工业带来的有利变化显而易见,但随之而来的网络安全问题又使人为之惊慌。在工业网络中,运行着DCS、PLC、SCADA等各种过程控制系统,它们往往是生产系统的核心,负责完成基本的生产控制。但是,如果这些过程控制系统一旦遭受入侵或破坏,就会对工业生产造成影响,可能使企业蒙受重大的经济损失,甚至危及生产人员的生命安全。因此,保证过程控制系统的运行安全是非常重要的事情,广大工业企业迫切需要一款针对工业网络通信协议进行有效检查和过滤,适用于工业网络环境的专业防火墙。
商用防火墙的不足
商用防火墙是目前网络边界上最常用的一种防护设备。提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和报警等。商用防火墙诞生于传统信息网络环境下,虽然经过了多年的发展和完善,但其应用环境还是局限于企业信息网络,它对于工业网络环境还有诸多的不适应。
● 防火墙主要是针对通用网络协议进行检查和过滤,完全没有覆盖工业网络协议和应用,更谈不上对于工业网络协议和应用数据的内容进行解析和检查。所以从这个角度来看商用防火墙对于工业网络安全防护没有丝毫的帮助。
● 为了提高安全防护能力,商用防火墙在发展过程中不断的添加新的功能,但是防火墙的安全性与其速度、功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降。这一点与工业网络对于实时性的要求是相背离的。
国外工业防火墙的担忧
西方发达国家工业信息化起步比我国早,工业网络的发展和应用也比我国广泛,相应的网络安全产品也应运而生。目前,国际市场上已经出现了一些专门保护工业网络的安全产品,这些国外厂家宣称他们的产品可以对工业网络中的控制设备或控制系统起到安全保护的作用。但是,近几年连续爆出的伊朗核设施被攻击、美国“棱镜门”计划等安全事件一次次的给我们敲响警钟,国外的网络安全产品是否真正的可靠呢?我国工业网络正在迅速的普及过程中,工业网络越来越多的接入到互联网中,依靠国外技术和产品保护我们自己的工业网络安全是不够的,我们必须掌握核心技术,有自主可控的安全产品才可以真正的作到安全的工业网络,因此,当务之急是需要开发具有自主知识产权的国产工业防火墙。
HC-ISG系列工业防火墙产品简介
作为国内工控行业的佼佼者,力控华康深知自己的社会责任所在。力控华康依托多年工控行业的技术积累,通过自主创新开发出HC-ISG系列工业防火墙,为国内工业网络安全保驾护航。
HC-ISG系列工业防火墙不但支持商用防火墙的基础访问控制功能,更重要的是它提供针对工业协议的数据级深度过滤,实现了对Modbus、OPC等主流工业协议和规约的细粒度检查和过滤,帮助用户阻断来自网络的病毒传播、黑客攻击等行为,避免其对控制网络的影响和对生产流程的破坏。
产品架构
HC-ISG系列工业防火墙是力控华康将自己多年工控行业应用经验与传统网络安全技术完美融合的产物。产品在架构设计上充分的考虑了工业网络设备种类多、协议复杂、行业差别大的特点,将产品进行了深度的模块化封装,引入了功能插件的概念,使整个防火墙系统更加部件化。通过这种架构的实现一方面可以更好的适应现有工业网络安全防护的需要,另一方面为未来产品功能的扩展和用户定制开发打下良好的基础。
HC-ISG系列工业防火墙包括基础系统、功能插件和配置管理工具三个部分。
基础系统是由力控华康根据工业网络通信特点和安全防护要求定制开发的底层运行平台,为防火墙上层业务模块提供必要的运行环境和安全保障。
功能插件是HC-ISG系列工业防火墙的核心业务处理模块,它由一系列独立的功能模块组成,主要用于完成对于工业网络协议的识别、解析和深度过滤。
配置管理工具用于对HC-ISG系列工业防火墙的进行网络组态、策略配置和运行监控,是与防火墙进行人机交互的接口。
产品功能特点
工业网络通信协议的深度过滤
商用防火墙主要是针对通用网络协议进行访问控制和安全过滤,完全不支持Modbus、Profinet等工业网络协议。HC-ISG系列工业防火墙与商用防火墙最大的区别,也就是其最重要的特点之一是针对工业通讯协议进行深度过滤。之所以称之为深度过滤,是因为HC-ISG系列工业防火墙不但可以针对工业网络协议进行基本的访问控制,而且可以针对工业网络协议的内容和数据进行细致的合规性检查。例如:HC-ISG系列工业防火墙的Modbus协议管控模块可以针对Modbus协议的设备地址、寄存器类型、寄存器范围和读写属性等进行检查。通过类似的管控模块能有效的防范各种非法的操作和数据进入现场控制网络,最大限度地保护控制系统的安全。
工业现场设备繁多、规格不一、通信协议和规约各异,这就要求安全设备可以支持多种工业网络通信协议、适用于各种网络环境、可与各种现场设备进行交互对接。针对这种现状HC-ISG系列工业防火墙将每一个工业协议作为一个独立的深度过滤模块,以插件的方式按需加载到系统中。而且可以根据用户现场的需要进行工业网络协议深度过滤模块的快速定制开发和响应,最大限度的满足工业现场的各种安全防护要求。
全透明、无间断部署
考虑到工业网络对于可用性、持续性和实时性的要求,HC-ISG系列工业防火墙采用全透明接入的方式,无论是针对存量网络,还是新建网络都无需改变原有网络拓扑结构。同时HC-ISG系列工业防火提供直通、测试、管控三种工作模式,产品在部署、配置和使用过程中可以根据需要实时切换到适当的工作模式下,保证在整个过程中都不会阻塞正常的业务数据传输,都无需中断生产系统的运行。
智能协议识别和辅助规则生成
工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求,这会给防火墙的规则配置带来很大的困难。为了方便用户进行防火墙规则的配置,提高规则配置的准确性,减少规则配置的工作量,HC-ISG系列工业防火墙开发了智能协议识别和辅助规则生成功能。智能协议识别功能采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能的与系统内置的协议特征、设备对象等进行匹配,生成可供参考的网络交互信息列表,帮助用户以最快捷的方式了解和掌握网络中的业务通信。
在智能协议识别的基础上用户可以使用配置工具中所提供的辅助规则生成功能,将网络交互信息与实际业务进行比对,给每一个网络交互过程配置适当的防火墙规则,从而准确、快捷的完成防火墙规则的部署。
规则正确性测试
工业网络与商用网络最大的不同就是可靠性要求极高,不允许出现由于配置不当产生的影响网络通信,近而影响生产、造成经济损失的情况,所以工业防火墙规则正式上线运行之前需要进行精细化的跟踪和测试,排除其中可能的不当配置,将防火墙对于生产的影响控制到最小。
针对工业网络这种特殊的需要HC-ISG系列工业防火墙提供了测试模式来进行规则正确性的验证。在测试模式下防火墙会对流经的数据进行模拟的规则匹配,并生成详细的日志,但不会真正阻断任何数据通信。通过对日志的分析用户可以精确的找到配置不当或错误的规则,并进行及时的改进和优化。
符合工业用户使用习惯的配置方式
工业中广泛应用的组态软件将专业的工艺流程、复杂的数据反馈封装成简单的图形化界面,直观的反映工业现场的生产情况。组态软件以其图形化、直观性和易用性深受广大工业用户的喜爱,也成为工业用户习惯的使用方式。力控华康有着多年的工控行业软件开发经验,对于工业用户的使用习惯有着深刻的理解,在进行HC-ISG系列工业防火墙设计和开发时也力求作到简单、直观、易用。
● “白名单”配置方式
HC-ISG系列工业防火墙默认拒绝所有连接,用户只需要根据工业现场实际的业务通信需要配置与业务相关的放行规则即可,无需关心自己不熟悉的网络通信协议。
● 网络地图
用户可以使用HC-ISG系列工业防火墙的配置工具通过简单的拖放操作就可以快速组织与实际网络环境一致的网络拓扑图。而且可以根据现场设备的物理位置、设备类型、设备名称等为拓扑图中每一个元素定义直观的名称,也可以通过直接点击拓扑图中的防火墙图标登录进行配置。
● 内置各种常用设备和协议
HC-ISG系列工业防火墙内置了常用的工作站、控制器、网络设备等设备对象和常用的工业网络协议、通用网络协议等协议对象,在进行防火墙配置时可以直接引用即可。
● 设备自发现
HC-ISG系列工业防火墙的配置工具提供了设备自发现功能,帮助用户方便的找到网络中已经部署的防火墙,进行快捷的配置和管理。
工业级产品可靠性保障
为了适应工业网络环境对于产品可靠性的要求,HC-ISG系列工业防火墙采用工业级产品设计,在环境适应性、散热、故障处理等方面进行了全面的优化。
HC-ISG系列工业防火墙硬件平台专门面向工业应用场合设计,对PCB、电源、机箱结构、散热进行全面优化,采用低功耗、宽温、宽压电子元器件,无风扇传导散热,充分的减少产品的发热量,提高产品的稳定性和环境适应性,保证设备在各种恶劣环境下可以持续、稳定的运行。
HC-ISG系列工业防火墙的网口支持Bypass功能,可以根据系统运行状态、上下游设备和网络链路情况进行自动的切换,保证数据通信的持续畅通。
HC-ISG系列工业防火墙系统内嵌自诊断程序,实时监测整个系统的运行情况,支持系统故障自恢复功能。
VPN帮助用户实现安全的网络互联
HC-ISG系列工业防火墙集成了VPN功能,该功能一方面可以对数据接收和发送方的身份进行鉴别,保证数据发送和接收方的合法性,另一方面可以对经公用网络进行传递的数据进行加密处理,保证数据运输过程的安全性。通过使用VPN可以帮助用户利用公用网络、以低廉的成本在分散的作业区与调度中心之间建立起加密的虚拟私有信息通道,实现整个工业网络的安全互联,保证调度指令和现场数据的安全传输。
典型应用
安全区域之间的访问控制和安全防护
随着“两化融合”的不断推进,广大工业用户的网络结构正在一步步发生着变化,现场过程控制网络、生产管理网络、企业信息网络正在一点点的被打通,网络纵向分层、横向分区的模式正在形成。由于各个层次、各个区域网络的业务不同、作用不同,对于安全防护的要求也就不同,所以需要在不同安全区域之间进行必要的防护和控制。HC-ISG系列工业防火墙可以帮助用户很好的实现这一目标。
首先通过在纵向不同层次网络之间部署HC-ISG系列工业防火墙,并配置合理的访问规则,可以控制不必要的跨层访问,防止攻击者通过上层网络向下层网络的渗透和攻击,减少由于网络互联互通所带来的安全风险。同时可以对不同层次之间的工业协议数据交换进行深度过滤,屏蔽非法操作,保障生产安全。
其次还可以在同一网络层次中平行的厂区、工艺流程和业务子系统之间部署HC-ISG系列工业防火墙,将它们分割成不同的安全区域,配置不同的访问规则,屏蔽不同安全区域之间不必要的访问,对不同安全区域之间的工业协议数据交换进行深度过滤,减少安全区域之间安全问题的扩散和影响。
重点设备的安全防护
在工业网络中存在很多核心的控制器、重要的数据存储和交换服务器,它们是整个工艺流程和生产过程的中枢,关系到生产能否正常、安全的进行,直接或间接影响到产品的质量。这些重点设备本身是用来完成特定生产任务的应用系统,其自身没有任何的安全防护措施,可以通过网络对其进行任意的访问。一旦这些重点设备受到恶意攻击或者有人为误操作的影响,将会直接危及整个生产过程,影响生产安全,甚至发生事故。
针对这些重点设备的特点可以在其前端部署HC-ISG系列工业防火墙,限制可以访问它的IP地址、屏蔽非业务端口访问、过滤非法的操作指令、记录所有的访问和操作,对其进行全面的访问控制和安全防护。通过部署防火墙可以很好的实现对重点设备的事前安全防护、事中过滤检查和事后安全审计。
分散工业网络的安全互联
分散性是工业网络的重要特点之一。工业网络的设备可能分布于厂区各处,甚至野外、山区,由于网络基础设施的限制,经常需要通过租用公共的无线网络、卫星、GPRS/CDMA等公用网络传输线路实现与调度中心的连接和数据交换。公用网络没有足够的安全保护和加密措施,很容易出现网络窃听、数据劫持、第三人攻击等安全问题,而且攻击者还可以利用公用网络作为攻击工业控制网络的入口,实现对于整个工业控制网络的渗透和控制。为了解决公用网络带来的安全隐患,用户通常都会租用或架设专用的通信线路,这样不但建设和运营成本高、而且需要专业的技术人员进行线路的保障和维护。
在这种应用环境下,可以在分散的作业区与公用网络接口的位置部署HC-ISG系列工业防火墙。通过防火墙的部署不仅可以对作业区内部的工业网络进行安全方面的保护,阻断来自公用网络的网络攻击,实现作业区网络的边界安全防护。更重要的是可以使用HC-ISG系列工业防火墙的VPN功能,对作业区与调度中心之间的数据传输进行加密和保护,搭建安全的数据交换通道,解决两者之间的数据传输安全问题。
安全远程维护
随着工业信息化的发展,大量的智能仪表、控制器、工业控制软件等产品被应用到工业控制领域,对提高生产效率起到了很大的推动作用。但是这些产品来自于不同的供应商,使用多种不同的应用技术,所以其运营和维护相对也会比较复杂,经常需要相应的厂商技术人员进行技术援助和支持,在这一过程中厂商技术人员可能需要通过公用网络远程访问设备或系统。另外,工业网络的设备分散,有的甚至可能部署在野外,由于通信基础设施所限,可能也需要通过公用网络对其进行必要的维护。
无论是厂商技术人员的远程协助,还是工业用户自身的远程维护都可能需要通过公用网络,这样攻击者就有可能借机进入工业网络,获取工业网络的控制权,直接影响整个工业网络的安全。在这种环境下,我们可以将HC-ISG系列防火墙部署在工业网络与公用网络接口的位置,启用防火墙的VPN功能,将其作为远程维护的堡垒设备。远程维护人员使用VPN连接到防火墙上,一方面进行身份的认证,另一方面对通过公用网络完成的远程维护操作进行加密保护,从而实现安全的远程维护。
技术规格