在当今工业和信息化高速发展的时代,网络安全问题日益严重,对企业的生产和运营构成了严重的威胁。为了应对网络安全的第一道防护,工业防火墙和IT防火墙先后应运而生。它们在保护企业网络安全方面发挥着至关重要的作用。在本文中,我们将深入探讨工业防火墙和IT防火墙的差异,以帮助用户更好地理解和应用这两种安全产品。
01.工业防火墙与IT网络防火墙有什么不同?
1)保护对象不同:
传统安全保护对象是IT信息系统、门户网站、服务器、个人计算终端(PV、笔记本电脑、手机等等);
工控安全保护对象是工业控制系统,如PLC、SCADA、DCS及配套上位机(操作员站、工程师站、实时服务器、历史服务器);
2)部署运行的行业专业性差异:
不同的工业场景,工控系统的应用方式区别较大,不同的工控系统、以及相同类工控系统但不同厂家设备,都有较大的差别,同样是油气场景,炼化是DCS、管道是SCADA、销售终端是PLC,都不一样;比如同样是PLC,西门子、施耐德、GE的协议就不一样,DCS也类似;
3)支持的通信协议的不同:
工业协议大部分是私有协议,如西门子的S7、GE的SRTP等等,都需要深度识别并适配,需要对工业场景和工业协议有深度的理解;
4)防护价值体现不同:
传统安全一旦出问题,造成的后果是信息丢失或损坏、个人资产被转移、通讯不畅等等;
由于工控系统广泛应用于国计民生的各个方面,如城市供电供水供气、交通控制、楼宇自动控制、生产制造,一旦出问题,轻则生产停滞造成巨大经济损失,重则城市生活限于瘫痪、甚至危及生命,后果非常严重;
5)使用者不同:
传统安全设备的操作对象是IT管理人员,大部分具有较好的TCP/IP系统的策略配置能力,可以配置较复杂安全规则;
而工控安全的操作人员是工业自动化操作人员,不熟悉IT操作,所以工控安全设备的操作界面要非常简单才行;
6)运行环境的不同:
传统IT安全设备一般安装在机房里,恒温恒湿。
而工控系统则很可能安装在工业现场,会有高温、低温、灰尘等情况,所以要求工控安全设备都是宽温(-40度到80度)、全封闭机箱;
7)对时延要求不同:
IT网络防火墙注重吞吐量、新建练技术、并发连接数,对时延要求不高;
工控安全设备要求低时延,工控防火墙平均时延小于90us(工业以太网通信时延在20us~100us),确保工控防火墙串接不影响控制系统指令(运算周期是50ms、100ms、200ms的毫秒级)的正常下发;
7)设备形态不同:
传统安全设备通常为标准机架设备,采用220V交流电源供电;
而工控安全产品因为部署环境的原因,还需要工业卡轨类设备,采用12-24V直流供电;
8)对设备的要求不同:
IT网络安全按照从高到低的要求是:保密性、完整性、可用性。IT网络防火墙以性能为王,重点要求高可用性;
而OT网络安全从高到低的要求是:可用性、完整性、保密性。工业防火墙则对设备的可用性、可靠性、稳定性、确定性、寿命都要求极高。
02.工业防火墙在整个工业信息安全防护方案中作用是什么?
▲根据美国DHS所属的工业控制系统紧急应变小组(ICS-CERT)发布的有效防御工业控制系统的7个措施,工业防火墙的作用
▲等保2.0工控扩展技术要求中对工业防火墙作用描述
▲公安部工业防火墙销售许可测试遵循的《GB/T 37933-2019 信息安全技术 工业控制系统专用防火墙技术要求》中关于工业防火墙能够发挥作用的场景
▲根据《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》,工业防火墙能够发挥作用的控制措施
03.工业防火墙与IT网络防火墙在硬件设计方面有什么不同?
1、外壳:
工业防火墙机箱外壳一般都是铝合金或者是阻燃塑料,但是一般不会用铁壳。铁壳的问题是时间久了会生锈。虽然可以通过喷漆喷塑来防止铁壳生锈,但是铁片切割的刀口部分要么无法被喷漆喷塑覆盖或者附着度不够牢固。生锈都是从铁壳的刀口开始。而铁锈一旦进入设备内部,对于寿命和稳定性要求都很高的工控安全产品是致命的;IT网络防火墙机箱外壳大都用铁壳喷漆;
2、电源:
由于工业防火墙运行环境大部分比较恶劣,因此必须要支持过流过压保护;IT网络防火墙大多数情况下没有强制过流过压保护要求;
3、宽温:
工业防火墙必须采用工业级嵌入式芯片,支持-40℃~85℃;器件工作温度支持-40℃~105℃;一体化散热片散热的发热器件;无风扇铝壳散热设计;IT网络防火墙不要求支持宽温;
4、防潮防盐雾:
工业防火墙主板一般都采用沉金的电路板,而不是镀锡的;PCB表面采用进口三防漆喷涂,保证单板在高湿,盐雾等恶劣环境条件下的使用;IT网络防火墙一般没有防潮防盐雾的要求;
5、抗电磁干扰:
工业防火墙一般采用如下措施来保障抗电磁干扰:过压、过流保护电路;聚合物电解电容和陶瓷电容结合;能够避免采用电解电容的地方都会采用钽电容和高分子电容;无法避免电解电容的高压部分一般都采用日系、美系、及欧系的电解电容;IT网络防火墙也有抗电磁干扰的需求,但不是都必要;
6、抗振动冲击:
工业防火墙一般采用贴片式、高温锡膏焊接等技术来抗震动冲击;
7、故障告警:
运行、故障、诊断指示灯;
8、冗余备份:
工业防火墙硬件组件如物理接口、物理接口扩展卡、电源等要求支持冗余备份,IT网络防火墙只有在高端型号上有支持。
综上所述,工业防火墙和IT网络防火墙在功能要求、环境适应能力、可靠性和稳定性要求、部署位置和技术实现等方面存在明显差异。在实际应用中,需要根据具体的网络环境和安全需求选择合适的安全产品。