-記IT與OT融合時代下的工業網絡安全防護

產品經理都會把產品作為自已孕育的生命，用心呵護。在整個產品的生命周期中，技術調研、用戶分析、組建團隊、需求分析、開發、上市和維護等等環節，都為了一個目標：使產品能更好服務它自己所承擔的使命。工業防火墻也不例外，它的核心使命應該是國家基礎設施和核心工業的第一道屏障。

在產品研發前期，我們更多的把精力投入到工業網絡安全需求、產品定義和產品質量上，期望能做出一款能夠為工業安全貢獻微薄力量的產品。在團隊付出極大努力，產品即將面世時，我開始將重點逐步放到產品推廣上。我寫了大量關于工業安全分析的文章，也對工業防火墻做了深入的介紹，但是我發現我們的客戶、營銷人員和行業專家卻困擾在另外的一些問題中，而我們卻沒有解答，我開始反思，并寫下這篇文章。

疑問是這樣的：

l我們的生產線是隔離的！我們的生產線是安全的？

l我們的行業客戶、專家甚至我們自己的營銷人員，在談到工業防火墻時，都談“墻”色變！

1、我們的生產線是安全的嗎？

震網、DUQU、火焰和Havex等可能有國家背景的“網絡戰武器”也許離我們很遠，也許永遠不會發生在我們的工廠中。但是啟明星辰的滲透測試團隊，在不同的行業的生產線測試時，發現的漏洞數量和嚴重程度是令人震驚的；黑暗系“谷歌“Shodan搜索到的生產線設備、PLC、交通燈和攝像頭還在每天不斷的激增；幾乎所有行業都爆出過嚴重工業網絡安全事件，包括石油石化、自來水、污水處理、電力等等。正是因為安全的代價永遠被低估，我們才無法平靜。我們不期望有斯諾登們出現，但是沒有斯諾登，如何發現危險之門，啟發警示之窗。

原本隔離的生產網由于擴大的規模、連接的無線、遠程的運維、現場的管理和數據的傳輸，現在已經使生產線完全暴露在攻擊者面前。而黑客們真的不懂SCADA、DCS系統和PLC嗎？你太低估他們了，如果感興趣，請看一下德國最新的電影《我是誰:沒有絕對安全的系統》，IMDB評分7.6，豆瓣評分8！所以肯定不會浪費你們的時間。

2、工業防火墻有這么可怕嗎？

每當我把工業防火墻最全面的功能介紹給客戶時，發現他們眼神總是很游離，他們第一步關心的是如下問題：

l產品會不會把我的生產網搞癱瘓？我的網絡中斷一分鐘要損失幾千萬。

l你們的產品是串進網絡的嗎？風險是不是有點高？

l你的工業指令過濾是怎么設定策略的？萬一哪天我有特殊指令（沒有在允許范圍內）要下發，比如我要開閘泄洪，指令失效怎么辦？

作為在網絡安全行業8年的一線研發人員，一直從事從防火墻、上網行為、流量優化和工業防火墻的研發，我認為從技術方面他們面臨的問題是一樣的，高可靠性！就像工業網絡中存在工業交換機、協議轉換器等等其實和防火墻都是一樣的，風險是同等的，技術手段是可以在很大程度上規避這些風險。具體解釋如下：

工業防火墻實現基于網絡層的工業專有協議白名單的訪問控制是無風險的，而帶給工業網絡的安全性的提升是很明顯的。針對工業協議進行白名單集合，比如在石油石化的某生產現場只允許Modbus協議通過，而不允許其它協議通過。這種技術是非常成熟的，對工業網絡是沒有危害的，不會造成生產停車等危害。雖然這種訪問控制不會解決所有的安全問題，但是它很大程度上提升了脆落的工業網絡的防護能力。就像傳統的防火墻一樣部署在邊界也無法解決所有安全問題一樣，需要IPS等防護設備的配合，別急，后面還有防護手段。

工業防火墻提供了三種模式，全通模式、測試模式和防護模式。測試模式的含義是按照規則進行報警但并不真正丟棄，就像個模擬實驗。通過這個模擬實驗，我們的管理員就可以確認安全規則是否是可靠的。然后在實現防護模式，開始真正的防護。還是認為不夠？別急，還有……

工業協議指令提供黑白名單雙重機制，極大的減少了誤封指令的可能性。傳統的防火墻都是白名單的架構，不符合的報文都丟棄。在工業防火墻中為客戶提供了兩種機制，如果認為網絡中的指令是可控清晰的，可以采用白名單機制，把允許的指令都添加到白名單中，這樣可以極大的保證安全性。如果不能形成一個指令的合法的集合，可以對一些危險指令進行黑名單控制。

工業防火墻依托啟明星辰在工業入侵防護領域的深厚積累，與XDS產品深度融合，使防火墻針對工業安全威脅實現了入侵防護功能。這些防護功能是在真實環境中進行過驗證的，采用黑名單的方式對攻擊報文進行防護，即將發布，請期待。

工業防火墻同時支持了軟硬件ByPass。一旦設備異常或者重啟，會啟動Bypass功能，而無須擔心斷網和停車。當然這種情況是不會發生的……

可能以上都無法打消大家的疑慮！但工業4.0的滾滾洪流已經不可逆轉，智能工廠、智能生產和智能物流已經撲面而來；國家戰略投資能源互聯網。而我們再抬頭看一下國外（見上圖）。從自動化廠商、工業信息安全新興廠商到巨頭，從美洲到歐洲無不在布局工業安全。主流的工業巨頭Honeywell、MTL、Invensys-Triconex、Hirschmann和SIEMENS等已經把數以萬計的工業防火墻部署到了他們提供的生產線中。國外的工業安全廠商TOFINO、Wurldtech都以各種方式進入了中國市場。Bayshore與CISCO這樣的網絡巨頭已經戰略合作，形成了工業安全解決方案，將Bayshore的工業防火墻與CISCO的網絡設備實現了聯動。啟明星辰作為國內網絡安全標桿廠商有責任去做出更好的工業解決方案服務給我們的客戶，工業防火墻不是隱患，而是屏障，是IT/OT深度融合后不可或缺的防護手段。

3、天清漢馬工業防火墻即將發布

l軍工品質的環境適應性：

產品分為導軌式和機架式兩種，機架式可以部署在生產車間的機房中；導軌式設備可以直接部署到環境嚴苛的生產現場。產品滿足如下要求：

①氣候保護要求：產品具備超強的耐寒暑環境適應能力。導軌式設備工作溫度支持-40~70℃，存儲溫度支持-40-85℃，濕度支持5％-95％，無凝結。

②侵入保護要求：產品全金屬外殼，無風扇設計，導軌式設備符合IP40的防護等級，可有效的防護直徑>1mm異物進入，完全適應塵土飛揚的工業環境。

③高可靠性：產品支持冗余電源、ByPass和雙機熱備。

l立體的縱深防御能力：

①同時支持工業以太網和串行鏈路通信：產品同時具備以太網口和串行鏈路通信接口，用以滿足不同的生產環境。以太網口支持設備部署在工業以太網的環境中。串行鏈路通信接口支持設備部署在RS232"285標準的基于串行通信鏈路生產線上。

②支持三層工業網絡邊界和關鍵節點防護：產品可部署在管理網、監控網和生產網的邊界；產品可以部署在關鍵的工程師站的前面；產品可以部署在PLC的前面。利用天清漢馬工業防火墻，可以對工業網絡進行分區、分域隔離，層層防護直達工業網絡的核心生產線。

l安全功能靈活組合定制：

工業生產線在很多行業中被戲稱為“萬國博覽會”，產品類型千差萬別，因此安全需求也存在很大的差異化。天清漢馬工業防火墻預置了基本的工業防火墻系統，可以支持基于IP、端口、時間和工業協議進行安全過濾，可以實現工業網絡邊界安全防護的需求；同時針對不同行業以及自動化廠商預置了相應的高級安全防護模塊，如工業協議應用層深度解析控制模塊、工業VPN模塊等，可按需訂購，這樣可以極大的減少用戶的投資，提高產品的利用價值。

l工業協議安全防護：

①產品預置了百種以上的工業協議和四十種PLC防護模型，可以實現工業協議的白名單訪問控制，極大的減少安全威脅遷入的風險。

②產品實現了Modbus/TCP（通用工業協議）、Modbus/RTU(基于串行鏈路)、IEC104協議（電力標準）、OPC協議（數據交換標準）的深度協議防護模塊，用戶可按需購買。

③全通模式、測試模式和防護模式引導管理員完成高質量安全策略配置。

后記：

孩子醒過來，哭了。驚慌的眼睛在那兒亂轉。多可怕啊！無邊的黑暗，劇烈的燈光，渾沌初鑿的頭腦里的幻覺，包圍著他的那個悶人的、蠕動不已的黑夜，還有那深不可測的陰影中，好似耀眼的光線一般透出來的尖銳的刺激，痛苦，和幽靈。-摘自《約翰·克里斯多夫》