传统防火墙在工业环境中的不足及工业防火墙在工业环境中的应用

供稿:北京力控华康科技有限公司

  • 关键词:防火墙,,工业网络
  • 摘要:传统防火墙在工业环境中的不足:一方面,为了提高安全防护能力,传统防火墙在发展过程中不断的添加新的功能,但是防火墙的安全性与其速度、功能成反比。另一方面,它不理解不支持工控协议;它不适应工业网络对实时性的要求,而且工控设备对于实时性传输反馈要求非常高,一个小问题就可能导致某个开关停止响应了。

在能源企业的工业网络中,运行着 DCS、PLC、SCADA 等各种过程控制系统,它们往往是生产系统的核心,负责完成基本的生产控制。工业防火墙可以切实保障核心生产控制系统的网络安全,在不影响工业生产实时性的同时保护工业网络数据的安全传输。避免过程控制系统遭受入侵破坏对工业生产造成的影响。可用过防火墙的人都说,传统的防火墙在工控环境中根本没法用?


传统防火墙在工业环境中的不足


一方面,为了提高安全防护能力,传统防火墙在发展过程中不断的添加新的功能,但是防火墙的安全性与其速度、功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越繁杂越精细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,这一点与工业网络对于实时性的要求是相背离的。


而另一方面,才是传统防火墙最要命的地方,1它不理解不支持工控协议,这一点就等同虚设了;2它不适应工业网络对实时性的要求,而且工控设备对于实时性传输反馈要求非常高,一个小问题就可能导致某个开关停止响应了。


华康工业防火墙在工业环境中的部署方式


随着工信部有关《工业控制系统信息安全防护指南》的发布,工控安全又被提升到了一个新的高度。指南指出工业控制系统应用企业应从十一个方面做好工控安全防护工作,作为工控安全防护重要环节的边界安全在指南的第三大点进行了重点阐述,特别指出工业控制网络与企业网或互联网之间的边界应通过工业控制网络边界防护设备进行安全防护,通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。可以看出,作为边界防护的重要安全设备工业防火墙,在企业工控安全防护中起到了至关重要的作用。


华康工控防火墙的使用及部署主要有几个方面,包括安全区域之间的防护、重点设备的防护、分散工控网络之间的互联、远程维护等,下面为大家一一图示说明。


1、安全区域之间的访问控制和安全防护


在纵向不同层次网络之间部署防火墙,控制跨层访问并对层间数据交换进行深度过滤,防止攻击者通过上层网络向下层网络的渗透和攻击。


在同层次中平行的厂区、工艺流程和业务子系统之间部署防火墙,将它们分割成不同的安全区域,控制不同安全区域之间的访问,并对区域间数据交换进行深度过滤,减少区域之间安全问题的扩散和影响。


2、重点设备的安全防护


在重点设备的前端部署防火墙,限制可以访问它的IP地址、屏蔽非业务端口访问、过滤非法的操作指令、记录所有的访问和操作,对其进行全面的安全防护和审计。


3、分散工业网络的安全互联


对作业区内部的工业网络进行安全保护,阻断来自公用网络的攻击,实现作业区网络的边界安全防护。


使用VPN对作业区与调度中心之间的数据传输进行加密和保护,搭建安全的数据交换通道,解决两者之间的数据传输安全问题。


4、安全的远程维护


在工业网络与公用网络接口处部署防火墙,并启用VPN功能,将其作为远程维护的堡垒设备。远程维护人员使用VPN连接到防火墙上,一方面进行身份认证,另一方面对通过公用网络完成的远程维护操作进行加密保护,实现安全的远程维护。


发布时间:2017年3月8日 19:48  人气:   审核编辑(王静 )
更多内容请访问(北京力控华康科技有限公司
相关链接

我有需求