一、引言
隨著網絡技術的迅猛發展���,網絡安全問題日益受到人們的關注。在網絡安全領域�����,防火墻作為一道重要的安全防線����,扮演著至關重要的角色��。然而�,在工業互聯網時代���,工業防火墻的出現為工業控制系統的安全提供了更為專業的保障��。那么工業防火墻與傳統防火墻能否互相替代���?下面通過對比國標文件進行分析���。
二��、工控防火墻與傳統防火墻國標對比
根據國標《信息安全技術—工業控制系統專用防火墻技術要求》(GB/T 37933-2019)與《信息安全技術—防火墻技術要求和測試測評方法》(GB/T 20281-2020)對比,工控防火墻與傳統防火墻無論是應用場景��、功能要求���、性能參數��、規格形態等各個方面均有不同要求��。
國家標準對工控防火墻與傳統防火墻的定義與要求
工控防火墻:
工業控制系統專用防火墻(下文簡稱工控防火墻)是一種專為工業環境設計的網絡安全設備。與傳統的IT環境相比���,工業環境具有更加復雜和嚴格的要求,工控防火墻部署于工業控制網絡的不同安全域之間或者控制域內控制器之前,具有網絡層訪問控制功能���,工業控制協議深度解析與訪問控制功能并具備高可用性,能夠適用于工業控制環境的安全產品。
傳統防火墻
傳統防火墻,作為網絡安全的第一道防線����,通常部署于企業網絡出口處,對經過的數據進行分析�����、監控和訪問控制與安全防護的網絡安全產品�。它基于預定義的規則和安全策略,對進出網絡的數據流進行過濾和檢查����,確保網絡的安全和穩定�����。
從兩款防火墻的定義上來看,工控防火墻更強調的使用場景是工業控制網絡內,并具備工業控制協議的識別�、過濾以及高可用性要求�����。
2. 工控防火墻與傳統防火墻部署場景
工控防火墻:
從部署位置上來看,工業防火墻是部署于工業控制網絡中的���,工控防火墻可在如下位置進行部署���。
邊界隔離部署:部署在控制網絡邊界(如管理網與控制網之間)�����,阻斷來自上層網絡(管理網)的安全威脅,實現縱向防護。
區域間隔離部署:部署在同層級不同安全區域(區域1與區域2)��,防止不同區域間的交叉感染�。
關鍵點隔離部署:部署在重要控制系統或設備前端,保護重要控制系統或設備,只允許必要的數據包通過���,阻斷對重要控制系統或設備的所有非法訪問及控制。
傳統防火墻:
傳統防火墻主要用于保護一般企業網絡或互聯網環境中的資源免受網絡威脅。其部署場景通常包括:
內外網邊界防護:傳統防火墻部署在企業網絡的內外網之間�����,作為網絡的第一道防線�,阻止外部威脅的入侵����,同時控制內部用戶訪問外部網絡的權限。
網絡安全區域劃分:在企業網絡內部����,傳統防火墻可以根據業務需求和安全策略�,將網絡劃分為不同的安全區域(如DMZ區��、內部網等)�����,并控制各區域之間的通信。
3. 工控防火墻與傳統防火墻的功能與性能特點
工控防火墻:
從功能來看��,工控防火墻不但需要具備傳統防火墻對應通用協議的識別與訪問控制功能之外�����,還需要支持工業協議的識別�����,工業協議的操作類型、操作對象���、操作范圍深度解析與訪問控制。
由于工業控制網絡的普遍業務流量較小��,所以工控防火墻對吞吐量���、新建連接�、并發連接的要求比傳統防火墻略低��;工控安全設備工控防火墻對網絡的實時性要求更高��,時延一般為微秒級。
傳統防火墻:
傳統防火墻主要關注ICT環境的網絡防護����,未裝載工業協議解析模塊���,因此不支持工業控制協議的解析和訪問控制��。
性能上來看傳統防火墻通常數據傳輸量較大,對吞吐量����、新建連接與并發連接要求較高���,通信延時要求略低于工控防火墻���,通常為毫秒級�。
4. 工控防火墻與傳統防火墻的硬件特點
工控防火墻:
從硬件上來看需要在不同工業環境下具備高可用性�����、高可靠性��,要求工控防火墻必須具備對工業生產環境可預見的性能支持和抗干擾水平的支持�����。比如寬溫��、無風扇設計��,滿足工業環境中的防塵、防污染����、抗沖擊���、抗震動等要求���。
傳統防火墻:
傳統防火墻設計初衷主要針對ICT環境���,相比較嚴苛復雜的工業環境�,硬件的環境適應性要求上低于工控防火墻���。提供較多的網絡端口與擴展插槽�,以滿足ICT環境高流量的需求。
三、國家和行業政策法規明文要求
1.《中華人民共和國網絡安全法》第二十一條中指出
國家實行網絡安全等級保護制度要求,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務��,保障網絡免受干擾�、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改��。
依據網絡安全法�����,對工控系統參照等級保護2.0相關標準進行等級保護工作是工業控制系統運營者應盡的責任和義務����,拒不履行等級保護工作相關義務的�,將根據情節嚴重程度承擔相應的法律責任。
2.《工業控制系統信息安全防護指南》中第三章節邊界安全防護中指出
(一)分離工業控制系統的開發、測試和生產環境���。
(二)通過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護�,禁止沒有防護的工業控制網絡與互聯網連接。
(三)通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護�����。
四�、總結
工控防火墻與傳統防火墻各有其獨特的技術特性和應用場景,共同構成了企業網絡安全防護的雙重利劍�。工控防火墻以其對工業控制環境的深度適配和高實時性����,確保了工業控制系統的安全穩定運行����;而傳統防火墻則以其成熟穩定的技術和靈活的部署方式,為企業的ICT環境提供了全面的安全防護�。
在數字化和智能化的今天�,企業網絡安全面臨著前所未有的挑戰����。只有充分利用工控防火墻與傳統防火墻的雙重利劍,才能確保企業網絡的安全穩定運行�,為企業的發展提供有力保障�����。
