一、引言
隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題日益受到人們的關(guān)注。在網(wǎng)絡(luò)安全領(lǐng)域,防火墻作為一道重要的安全防線,扮演著至關(guān)重要的角色。然而,在工業(yè)互聯(lián)網(wǎng)時(shí)代,工業(yè)防火墻的出現(xiàn)為工業(yè)控制系統(tǒng)的安全提供了更為專業(yè)的保障。那么工業(yè)防火墻與傳統(tǒng)防火墻能否互相替代?下面通過對比國標(biāo)文件進(jìn)行分析。
二、工控防火墻與傳統(tǒng)防火墻國標(biāo)對比
根據(jù)國標(biāo)《信息安全技術(shù)—工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》(GB/T 37933-2019)與《信息安全技術(shù)—防火墻技術(shù)要求和測試測評方法》(GB/T 20281-2020)對比,工控防火墻與傳統(tǒng)防火墻無論是應(yīng)用場景、功能要求、性能參數(shù)、規(guī)格形態(tài)等各個(gè)方面均有不同要求。
國家標(biāo)準(zhǔn)對工控防火墻與傳統(tǒng)防火墻的定義與要求
工控防火墻:
工業(yè)控制系統(tǒng)專用防火墻(下文簡稱工控防火墻)是一種專為工業(yè)環(huán)境設(shè)計(jì)的網(wǎng)絡(luò)安全設(shè)備。與傳統(tǒng)的IT環(huán)境相比,工業(yè)環(huán)境具有更加復(fù)雜和嚴(yán)格的要求,工控防火墻部署于工業(yè)控制網(wǎng)絡(luò)的不同安全域之間或者控制域內(nèi)控制器之前,具有網(wǎng)絡(luò)層訪問控制功能,工業(yè)控制協(xié)議深度解析與訪問控制功能并具備高可用性,能夠適用于工業(yè)控制環(huán)境的安全產(chǎn)品。
傳統(tǒng)防火墻
傳統(tǒng)防火墻,作為網(wǎng)絡(luò)安全的第一道防線,通常部署于企業(yè)網(wǎng)絡(luò)出口處,對經(jīng)過的數(shù)據(jù)進(jìn)行分析、監(jiān)控和訪問控制與安全防護(hù)的網(wǎng)絡(luò)安全產(chǎn)品。它基于預(yù)定義的規(guī)則和安全策略,對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行過濾和檢查,確保網(wǎng)絡(luò)的安全和穩(wěn)定。
從兩款防火墻的定義上來看,工控防火墻更強(qiáng)調(diào)的使用場景是工業(yè)控制網(wǎng)絡(luò)內(nèi),并具備工業(yè)控制協(xié)議的識別、過濾以及高可用性要求。
2. 工控防火墻與傳統(tǒng)防火墻部署場景
工控防火墻:
從部署位置上來看,工業(yè)防火墻是部署于工業(yè)控制網(wǎng)絡(luò)中的,工控防火墻可在如下位置進(jìn)行部署。
邊界隔離部署:部署在控制網(wǎng)絡(luò)邊界(如管理網(wǎng)與控制網(wǎng)之間),阻斷來自上層網(wǎng)絡(luò)(管理網(wǎng))的安全威脅,實(shí)現(xiàn)縱向防護(hù)。
區(qū)域間隔離部署:部署在同層級不同安全區(qū)域(區(qū)域1與區(qū)域2),防止不同區(qū)域間的交叉感染。
關(guān)鍵點(diǎn)隔離部署:部署在重要控制系統(tǒng)或設(shè)備前端,保護(hù)重要控制系統(tǒng)或設(shè)備,只允許必要的數(shù)據(jù)包通過,阻斷對重要控制系統(tǒng)或設(shè)備的所有非法訪問及控制。
傳統(tǒng)防火墻:
傳統(tǒng)防火墻主要用于保護(hù)一般企業(yè)網(wǎng)絡(luò)或互聯(lián)網(wǎng)環(huán)境中的資源免受網(wǎng)絡(luò)威脅。其部署場景通常包括:
內(nèi)外網(wǎng)邊界防護(hù):傳統(tǒng)防火墻部署在企業(yè)網(wǎng)絡(luò)的內(nèi)外網(wǎng)之間,作為網(wǎng)絡(luò)的第一道防線,阻止外部威脅的入侵,同時(shí)控制內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限。
網(wǎng)絡(luò)安全區(qū)域劃分:在企業(yè)網(wǎng)絡(luò)內(nèi)部,傳統(tǒng)防火墻可以根據(jù)業(yè)務(wù)需求和安全策略,將網(wǎng)絡(luò)劃分為不同的安全區(qū)域(如DMZ區(qū)、內(nèi)部網(wǎng)等),并控制各區(qū)域之間的通信。
3. 工控防火墻與傳統(tǒng)防火墻的功能與性能特點(diǎn)
工控防火墻:
從功能來看,工控防火墻不但需要具備傳統(tǒng)防火墻對應(yīng)通用協(xié)議的識別與訪問控制功能之外,還需要支持工業(yè)協(xié)議的識別,工業(yè)協(xié)議的操作類型、操作對象、操作范圍深度解析與訪問控制。
由于工業(yè)控制網(wǎng)絡(luò)的普遍業(yè)務(wù)流量較小,所以工控防火墻對吞吐量、新建連接、并發(fā)連接的要求比傳統(tǒng)防火墻略低;工控安全設(shè)備工控防火墻對網(wǎng)絡(luò)的實(shí)時(shí)性要求更高,時(shí)延一般為微秒級。
傳統(tǒng)防火墻:
傳統(tǒng)防火墻主要關(guān)注ICT環(huán)境的網(wǎng)絡(luò)防護(hù),未裝載工業(yè)協(xié)議解析模塊,因此不支持工業(yè)控制協(xié)議的解析和訪問控制。
性能上來看傳統(tǒng)防火墻通常數(shù)據(jù)傳輸量較大,對吞吐量、新建連接與并發(fā)連接要求較高,通信延時(shí)要求略低于工控防火墻,通常為毫秒級。
4. 工控防火墻與傳統(tǒng)防火墻的硬件特點(diǎn)
工控防火墻:
從硬件上來看需要在不同工業(yè)環(huán)境下具備高可用性、高可靠性,要求工控防火墻必須具備對工業(yè)生產(chǎn)環(huán)境可預(yù)見的性能支持和抗干擾水平的支持。比如寬溫、無風(fēng)扇設(shè)計(jì),滿足工業(yè)環(huán)境中的防塵、防污染、抗沖擊、抗震動等要求。
傳統(tǒng)防火墻:
傳統(tǒng)防火墻設(shè)計(jì)初衷主要針對ICT環(huán)境,相比較嚴(yán)苛復(fù)雜的工業(yè)環(huán)境,硬件的環(huán)境適應(yīng)性要求上低于工控防火墻。提供較多的網(wǎng)絡(luò)端口與擴(kuò)展插槽,以滿足ICT環(huán)境高流量的需求。
三、國家和行業(yè)政策法規(guī)明文要求
1.《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條中指出
國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度要求,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
依據(jù)網(wǎng)絡(luò)安全法,對工控系統(tǒng)參照等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)進(jìn)行等級保護(hù)工作是工業(yè)控制系統(tǒng)運(yùn)營者應(yīng)盡的責(zé)任和義務(wù),拒不履行等級保護(hù)工作相關(guān)義務(wù)的,將根據(jù)情節(jié)嚴(yán)重程度承擔(dān)相應(yīng)的法律責(zé)任。
2.《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中第三章節(jié)邊界安全防護(hù)中指出
(一)分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。
(二)通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù),禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
(三)通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。
四、總結(jié)
工控防火墻與傳統(tǒng)防火墻各有其獨(dú)特的技術(shù)特性和應(yīng)用場景,共同構(gòu)成了企業(yè)網(wǎng)絡(luò)安全防護(hù)的雙重利劍。工控防火墻以其對工業(yè)控制環(huán)境的深度適配和高實(shí)時(shí)性,確保了工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行;而傳統(tǒng)防火墻則以其成熟穩(wěn)定的技術(shù)和靈活的部署方式,為企業(yè)的ICT環(huán)境提供了全面的安全防護(hù)。
在數(shù)字化和智能化的今天,企業(yè)網(wǎng)絡(luò)安全面臨著前所未有的挑戰(zhàn)。只有充分利用工控防火墻與傳統(tǒng)防火墻的雙重利劍,才能確保企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行,為企業(yè)的發(fā)展提供有力保障。
