在当今工业和信息化高速发展的时代,网络安全问题日益严重,对企业的生产和运营构成了严重的威胁。为了应对网络安全的第一道防护,工业防火墙和IT防火墙先后应运而生。它们在保护企业网络安全方面发挥着至关重要的作用。在本文中,我们将深入探讨工业防火墙和IT防火墙的差异,以帮助用户更好地理解和应用这两种安全产品。
传统安全保护对象是IT信息系统、门户网站、服务器、个人计算终端(PV、笔记本电脑、手机等等);
工控安全保护对象是工业控制系统,如PLC、SCADA、DCS及配套上位机(操作员站、工程师站、实时服务器、历史服务器);
不同的工业场景,工控系统的应用方式区别较大,不同的工控系统、以及相同类工控系统但不同厂家设备,都有较大的差别,同样是油气场景,炼化是DCS、管道是SCADA、销售终端是PLC,都不一样;比如同样是PLC,西门子、施耐德、GE的协议就不一样,DCS也类似;
工业协议大部分是私有协议,如西门子的S7、GE的SRTP等等,都需要深度识别并适配,需要对工业场景和工业协议有深度的理解;
传统安全一旦出问题,造成的后果是信息丢失或损坏、个人资产被转移、通讯不畅等等;
由于工控系统广泛应用于国计民生的各个方面,如城市供电供水供气、交通控制、楼宇自动控制、生产制造,一旦出问题,轻则生产停滞造成巨大经济损失,重则城市生活限于瘫痪、甚至危及生命,后果非常严重;
5)使用者不同:
传统安全设备的操作对象是IT管理人员,大部分具有较好的TCP/IP系统的策略配置能力,可以配置较复杂安全规则;
而工控安全的操作人员是工业自动化操作人员,不熟悉IT操作,所以工控安全设备的操作界面要非常简单才行;
传统IT安全设备一般安装在机房里,恒温恒湿。
而工控系统则很可能安装在工业现场,会有高温、低温、灰尘等情况,所以要求工控安全设备都是宽温(-40度到80度)、全封闭机箱;
IT网络防火墙注重吞吐量、新建练技术、并发连接数,对时延要求不高;
工控安全设备要求低时延,工控防火墙平均时延小于90us(工业以太网通信时延在20us~100us),确保工控防火墙串接不影响控制系统指令(运算周期是50ms、100ms、200ms的毫秒级)的正常下发;
传统安全设备通常为标准机架设备,采用220V交流电源供电;
而工控安全产品因为部署环境的原因,还需要工业卡轨类设备,采用12-24V直流供电;
IT网络安全按照从高到低的要求是:保密性、完整性、可用性。IT网络防火墙以性能为王,重点要求高可用性;
而OT网络安全从高到低的要求是:可用性、完整性、保密性。工业防火墙则对设备的可用性、可靠性、稳定性、确定性、寿命都要求极高。
▲根据美国DHS所属的工业控制系统紧急应变小组(ICS-CERT)发布的有效防御工业控制系统的7个措施,工业防火墙的作用
▲等保2.0工控扩展技术要求中对工业防火墙作用描述
▲公安部工业防火墙销售许可测试遵循的《GB/T 37933-2019 信息安全技术 工业控制系统专用防火墙技术要求》中关于工业防火墙能够发挥作用的场景
▲根据《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》,工业防火墙能够发挥作用的控制措施
