新闻动态

News information

业内第一部丨《下一代工业防火墙白皮书》连载2

<<返回

2022年06月29日 10:00

第2章 什么是下一代工业防火墙

下一代工业防火墙,对应英文翻译为Next Industry Firewall,简写为NIFW。下面从技术要求、核心功能、扩展功能和成熟度评估四个方面定义下一代工业防火墙。



01.

技术要求



下一代工业防火墙必须具备下列技术要求:

1、软件定义安全域

(1)安全域定义维度

支持基于物理端口、逻辑接口、VLAN、会话、设备来划分安全区域。


(2)安全域定义方式

支持软件定义安全域,比如在人机交互界面上以拖拽方式按照某个维度划分安全域;下一代工业防火墙虚拟化成虚机形态或者容器形态,被作为虚拟安全组件参与服务链,从而虚拟的下一代工业防火墙成为某个安全域的边界。



2、多维度的访问控制策略


支持基于设备、网络边界、工业应用、网络行为、操作指令等制定网络访问控制策略。



3、适应OT/IT融合趋势


按照ISA 95模型,OT与IT的范畴如图2-1所示。

 

1.jpg

图2-1 ISA 95模型OT与IT的范畴示意图


ISA 95模型将1到3层定义为OT层,4到5层定义为IT层。且将OT层中的3层定义为工业IT层,1和2层定义为工业自动化层。

 

2.jpg

图2-2 NIST 800-82 DMZ区示意图


NIST SP 800-82在ISA 95模型基础上增加了DMZ区,如图 2 2所示,企业IT层,工业IT层、工业自动化层的范畴有少许变化。


OT专注于管理和控制物理世界中存在和运行的物理设备。随着时间的推移,电子和数字技术的引入也在操作控制系统中得到了广泛的应用,如计算机数控加工系统。OT传统上与制造和工业环境相关,包括工业控制系统,如监控和数据采集。


IT关注的是数据和通信,而OT关注的是行为和结果。工业和制造装置中使用的大多数控制系统都没有联网,因此无法通信或共享信息。这意味着人工操作员的任务是对每件设备的物理操作进行编程或管理。即使提供集中控制的设备也使用封闭或专有协议。IT包括使用计算机、存储、网络设备和其他物理设备、基础设施和流程来创建、处理、存储、保护和交换所有形式的电子数据。


(1)适应下一代工业网络

能够应用到TSN、工业以太网、IPv6、5G等工业网络中。

能够适应工业网络的扁平化、无线化、软件定义化。


(2)能够更高效地解决OT/IT融合后的XIoT(Extended Internet Of Things)系统所面临的安全风险与挑战

相对上一代工业防火墙只能部署应用在封闭的OT网络边界,下一代工业防火墙要能够部署在OT/IT融合后的XIoT系统,则面临下面三大安全风险与挑战:


第一,XIoT系统的计算与网络环境不再稳定不变,因此不能只是采用白名单防护技术

第二,XIoT系统的风险暴露面被放大,被入侵攻击的可能性呈指数级增加

第三,XIoT系统内的网络交互行为不再“有章可循”,正常与异常行为难以区分


下一代工业防火墙要能够防范和应对上述三大安全风险与挑战,且要更高效,则必须做到下面三点:


① OT/IT防护引擎一体化

下一代网络防火墙NGFW之所以效率要比统一威胁管理系统UTM高,核心是NGFW实现了报文解析引擎的一体化,一次解析,多业务模块使用。同理下一代工业防火墙NIFW也需要实现OT防护引擎与IT防护引擎的一体化,才能够满足OT/IT融合系统XIoT的四高特性要求:高可用性、高确定性、高可靠性和高安全性。


② OT/IT防护知识库一体化

防护知识库包括但不限于网络入侵特征库、病毒库、应用识别特征库、工控协议解读库、指纹识别库、安全漏洞库、威胁情报库。鉴于工业信息安全发展的历程导致这些知识库是按照IT、OT分别积累的,但当前OT/IT融合后的XIoT系统是一个混杂的系统,攻击者采用的攻击技术和方式很难清晰的归为IT或OT模式,所以,防护技术也不能将OT防护知识库和IT防护知识库割裂开使用,否则防护很容易被绕过,攻击逃逸现象很严重。因此必须要将之前积累和不断更新的OT防护知识库和IT防护知识库进行融合,实现一体化,才能够实现更有效的防护效果。


③ OT/IT防护功能一体化

同理,鉴于工业信息安全发展的进程导致IT网络防火墙和OT工业防火墙的发展也是割裂的,IT网络防火墙主要解决传统IT网络边界隔离和访问控制,OT工业防火墙主要解决OT工业网络边界隔离和访问控制。在OT/IT融合的趋势下,出现了如图 2 3所示的9种网络互联的边界:机器与控制系统垂直互联、在制品与机器、在制品与工业信息系统/云平台、机器与机器之间横向互联、控制系统与信息系统/云平台、信息系统/云平台与用户、信息系统/云平台与外部协作企业、控制系统与外部协作企业、智能产品与工厂。

 

图2-3 9种网络互联的边界示意图


在如此多的网络边界,既有IT流量,也有OT流量,还有IoT流量,因此下一代工业防火墙所提供的边界隔离、流量监测、网络行为分析、流量管控的防护功能必然不能再区分IT与OT,必须是融合的,一体化的。


(3)满足OT/IT融合系统XIoT的“四高”特性

• 高可用性:7*24小时不间断的安全防护;

• 高确定性:低于30us的通信时延,低于1us的通信抖动;

• 高可靠性:0丢包,0乱序;

• 高安全性:可用性、完整性、保密性。



4、安全防护具有一定的智能化程度


下一代工业防火墙所提供的网络安全防护需要具备一定的智能化程度:

(1)能够检测未知威胁,包括0 Day漏洞利用和未知的已知漏洞利用行为;

(2)能够检测不断变种的威胁;

(3)能够从已经发生的安全事件中自动学习并提炼为安全知识或安全策略。



02.

核心功能



下一代工业防火墙应具备下列核心功能:


1、网络防火墙的核心功能


传统网络防火墙的核心功能指网络边界隔离、网络流量监测、网络行为分析和网络流量管控。


下一代工业防火墙核心功能也包括传统网络防火墙的四大核心功能,只是会面对新的网络边界、成分更复杂的网络流量、更难解析和理解的网络行为。



2、工业应用安全


NGFW提供IT类的应用软件识别、控制、可视与审计等防护功能,下一代工业防火墙则还需要提供工业类应用软件识别、控制、可视与审计等防护功能。


工业应用的分类当前还未有统一的标准。工信部运行局将工业应用分为产品研发设计类、生产控制类、业务管理类;国标将工业应用分为工业总线、工业仿真、计算机辅助设计CAD、计算机辅助制造CAM、可编程逻辑控制器PLC、产品生命周期管理PLM、产品数据管理PDM、计算机集成制造系统、其他工业软件;基于产品生命周期聚类分为研发设计类、生产制造类、经营管理类、运维服务类;基于工业软件基本功能分为工研软件、工制软件、工采软件、工管软件、工维软件、工量软件、工试软件、工标软件、工控软件、工链软件、工互软件、工应软件、工材软件、工安软件、工数软件、工智软件;基于企业经营活动特性分为操作、过程、执行等大类;其他分类如原材料行业软件、能源行业软件、采掘行业软件、制造行业软件、工业IT软件、工业OT软件、人工智能算法软件等。



3、工控操作安全


工业控制操作的安全包括操作意图是故意还是无意、操作过程监测、操作结果的管控等。


工业控制操作意图的识别技术主要是基于上下文的操作行为基线建模和异常检测。工业操作过程监测技术主要是基于工控协议规约,针对工控操作流量进行解析和解读,以此来判断是否存在破坏性、入侵性的操作。


工业控制操作结果管控技术主要是日志审计、告警、阻断等。



4、工业数据安全


工业数据指工业生产过程中产生、传输、访问、使用,甚至销毁的数据。工业数据安全则是指工业数据全生命周期过程的安全防护。


下一代工业防火墙作为网络边界安全防护系统,主要围绕工业数据传输和访问这两个环节提供防护。工业数据传输安全主要技术是虚拟隧道、加密,比如IPSec VPN提供虚拟数据传输通道,同时对传输的数据实施加密。


工业数据访问安全主要技术是身份识别与访问控制,下一代工业防火墙必须要能够提供3A或4A的代理与增强认证策略。需要注意的是,下一代工业防火墙提供的是基于零信任思想的“增强认证”策略,不是上一代的认证策略。



03.

扩展功能



下一代工业防火墙建议支持下列扩展功能:

1、工业安全可视

下一代工业防火墙要能够围绕工业设备或资产、网络、流量、应用、指令、行为实现属性与关系的可视化。


(1)工业设备或资产可视化

工业设备或资产可视化要实现三个层面的可视化:工业设备或资产属性、工业设备或资产与其他设备或资产的网络连接关系、工业设备或资产与其他设备或资产的网络互访行为。


工业设备或资产属性包括名称、厂商、类型、型号、外观形态(导轨、机架、机箱等)、网络属性(MAC、IP、服务端口等)、固件版本、操作系统、应用进程、等。

工业设备或资产之间的连接关系分为物理连接、逻辑连接关系。逻辑连接关系的展示支持按照普渡模型、网络拓扑、工程项目等方式。


工业设备或资产之间网络互访行为包括网络连接、网络会话、流量负载内容如工控操作功能码等。工业设备或资产之间网络互访行为可视化方式支持基于时间维度的趋势图、时序图;基于空间维度的流量成分分布图、访问关系图。


(2)工业网络可视化

工业网络可视化要实现工业网络边界、工业网络区域、工业网络物理拓扑和逻辑拓扑的可视。在OT/IT融合趋势下,工业网络边界和区域的划分不再仅仅依靠物理连接、VLAN等,还会使用到软件定义网络边界等技术,因此工业防火墙要实现的工业网络可视化应该支持软件定义的网络边界可视化技术,比如Overlay网络(比如VXLAN网络、NVGRE网络)、VPN网络、微分段、微分片等;应该支持TSN、IPv6、5G等新型网络。


(3)工业流量可视化

工业流量可视化技术主要是工业流量的协议头和载荷的深度解析与解读,基于机器学习/深度学习的流量静态特征和动态特征的分析统计。


下一代工业防火墙实现工业流量可视化至少包括基于空间的流量成分分布图(比如工控操作指令类型分布图、操作指令次数或频率分布图)、基于时间的流量大小、速率、成分的趋势图和时序图(比如操作指令时序图、操作指令频次趋势图)。


特别注意的是,工控操作指令相关的分布图,趋势图,时序图一定要将工控操作指令从数字解读到所代表的含义,否则这种可视化对安全运维是晦涩的,难以理解的,无法满足工业现场的可维护性,易用性的要求。


鉴于当前90%以上的互联网流量都进行了加密,因此针对加密流量的可视化是难点,也是迫切的需要。正是因为加密无法看到流量成分,就更需要对其可视。针对加密流量可视化技术主要是采用AI算法、大数据分析等,从会话连接、证书、加密套件信息、流量稀疏特征、流量吞吐和速率等维度进行展示。


(4)工业应用可视化

工业应用可视化主要从工业应用的类别、发送或接收的流量、网络互访行为、是否带来威胁等维度进行。


要实现工业应用可视化,首先要能够对工业应用进行准确地识别。工业应用识别主要基于应用流量做被动识别。下一代工业防火墙仅仅依靠服务端口来识别工业应用会导致将大量的工业应用识别成IT应用,反之亦然。因此还需要依据工业应用流量静态特征和网络行为动态特征去识别OT应用、IT应用、IoT应用。


工业应用流量当前加密的还比较少,但OT/IT融合环境下混杂着OT与IT应用的流量,因此要想准确识别工业应用的前提是要能够准确识别IT应用,而要准确识别IT应用,则必须要能够做到基于加密流量的应用识别。


(5)工控指令可视化

工业控制操作指令在普渡模型的各个层级之间以及单层横向之间都大量存在,但这些指令的发送或接收只有工业设备或工业应用所感知,其他系统或者运维人员对工控系统所进行的操作几乎是“黑盒”,当业务系统指标异常或者出现故障时也难以回溯和审计。从安全运维和安全防御的角度,必须要能够实时监测工控系统里面所发生的一切和全过程记录,也就是要做到工控操作的全过程监测和记录,才能够做到及时的阻止和事后的安全审计。


工控指令可视化包括基于时间维度的工控指令发生频率、发生次数的趋势图,基于空间维度的工控指令类别分布、工控指令发生频率、次数的分布图。


(6)网络行为可视化

由于工业防火墙是部署在工业网络边界,因此下一代工业防火墙实现网络行为可视化是针对进出网络边界的网络行为,比如发起网络通信建立、交互会话和停止通信。


对于下一代工业防火墙来说,更重要的是要实现网络异常行为和入侵攻击行为的检测,因此至少要实现这些网络行为的可视:网络通信连接协商阶段的交互行为、网络通信会话阶段隐藏在报文负载中的内容比如工控操作功能码及操作对象。



2、工业安全审计


(1)工控协议合规性检查与记录

上一代工业防火墙核心功能即工控指令白名单,本质上是基于工控流量进行工控通信协议的合规性进行检查,符合工控通信协议规约的报文则放行,阻止不符合的报文。

在当前OT/IT融合场景下,工控指令白名单更多用于安全审计,而不是安全防护。因为工控指令白名单在下面的情景下无法实现良好的防护效果:


① 针对工控系统发起的时序相关的入侵攻击,比如DDoS攻击、会话逃逸攻击、操作逻辑攻击等。


② 采用符合工控协议规约的敏感操作指令实施攻击,比如编程环境下的固件程序下装、PLC Stop等这些操作,在工业场景下虽然这些操作属于敏感操作,但也是经常发生的,攻击者利用这些操作指令实施破坏是完全可能的。


③ OT/IT融合系统XIoT是一个半开放或开放的网络环境,很难只是允许符合工控指令白名单的报文同行,否则会给运维带来加大的困惑和工作量,在这样的场景采用白名单防护已经不现实了。


(2)安全告警事件、操作日志留存与查询

安全告警事件与日志留存按照网络安全法要求,至少保持半年,且操作日志不可更改,删除。


(3)攻击与异常流量留存与还原

为了能够在遭受到攻击后进行溯源取证,需要下一代工业防火墙在本地或远程留存攻击与异常流量,并且能够在必要的时候还原攻击活动。


需要说明的是,下一代工业防火墙的重点还是网络区域隔离和访问控制,对网络通信的实时性要求较高,因此不太适合进行全流量的存储。如果需要全流量存储和还原,建议采用全流量威胁检测类或全流量存储类系统。



04.

成熟度评估



1、成熟度模型

参照通用安全产品成熟度评价指标,结合工控系统信息安全防护需求与技术实践,下一代工业防火墙成熟度模型如图2-4所示。

 

4.jpg

图2-4 下一代工业防火墙成熟度模型


2、安全能力指标

(一)核心能力指标

(1)网络边界隔离能力:应能够将两个网络隔离;

(2)网络流量监测能力:应能够持续安全监测流经的网络流量;

(3)网络行为分析能力:应能够分析两个网络之间的网络活动;

(4)网络流量管控能力:应能够基于安全策略对网络流量进行管控。


(二)通用能力指标

(1)功能性

① 至少要具备下一代工业防火墙的基础功能和核心功能;

② 所提供的安全功能不对原有系统的功能和性能造成损失,比如网络通信时延、抖动、时序、丢包率等。


(2)性能效率

① 为工业相关系统提供7*24小时不间断的信息安全防护服务,包括但不限于可用性、完整性和保密性;

② 满足工控系统高确定性要求:通信时延<=30us,抖动<=1us;

③ 满足工控系统高可靠性要求:0丢包,0乱序;


(3)兼容性

① 支持各类工业现场网络技术,包括但不限于TSN、工业以太网、5G等;

② 支持各类主流的工控协议识别、解析与解读;

③ 支持各类主流工业应用软件的识别、控制、审计;

④ 支持工业知识库升级的前向兼容;

⑤ 支持系统升级的前向兼容。


(4)易用性

① 安全告警事件与日志要用OT语言进行描述;

② 人机交互要用OT易于理解的语言;

③ 人机交互要用OT习惯的方式;

注:下列方式属于OT习惯的方式:

电子大屏;拟物化;屏幕触摸;实物操作。

④ 支持0配置上线;

⑤ 支持集中管控。


(5)可靠性

① 不应采用无法适应工业环境的技术,比如散热风扇、非宽温支持器件等;

② 应采用高可靠的软硬件设计,比如冗余、备份、抗干扰等;

③ 应具有在具备条件的情况下从拒绝服务状态恢复到继续提供服务的状态;

④ 应能识别违反指定条件的输入,并且不应作为许可的输入加以处理;

⑤ 应具有从致命性错误中恢复的能力,并对用户是明显易懂的。


(6)安全性

① 应按照用户文档集中定义的安全性特征来运行;

② 应能防止对程序和数据的未授权访问(不管是无意的还是故意的);

③ 应能识别出对结构数据库或文件完整性产生损害的事件,且能阻止该事件,并通报给授权用户;

④ 应能按照安全要求,对访问权限进行管理;

⑤ 应能对保密数据进行保护,只允许授权用户访问;

⑥ 应通过技术脆弱性评估、漏洞扫描和渗透测试;

⑦ 应满足国家网络安全相关政策、法规和标准要求。


(7)可维护性

① 应符合工业行业信息安全相关法律法规、标准、协议;

② 应能识别出每一个基本组件的发布号、相关的质量特性、参数和数据模型;

 应能在任何时候都识别出每一个基本组件的发布号,包括安装的版本,以及对产品特征产生的影响;

④ 设备布局上应尽量做到检查或拆卸故障件时不必拆卸其他设备和机件;

⑤ 电气上、机械上功能相同的组件及部件应能互换;

⑥ 在设计时采取避免或消除在使用操作和保养维修时造成的人为差错的措施,即使发生差错也应不危及人机安全,并能立即发觉和纠正;

⑦ 提供良好的诊断能力,包括诊断程序、修改规程和维修经验数据、电子手册等。


(8)智能化

① 提供的安全防护功能应具有一定程度的自动化、弹性扩展、自我修正调整能力;


(9)协同性

① 应能够与其他系统协同完成特定的安全防护功能;



3、 产品化指标


(一)视觉

(1)应符合工业行业的视觉习惯,比如表达理性的、强烈对比的色系、耐用的金属材质、线条、棱角等;

(2)应符合工业行业颜色使用的行业规范。


(二)交互

(1)应符合工业行业的人机交互界面,比如电子大屏、触摸屏、物理按钮等;

(2)应符合工业行业的人机交互习惯,比如触摸、物理操作、C/S、B/S等。


(三)价值

(1)硬件设计应满足工业行业高寿命、运行环境苛刻复杂等特点,比如无风扇散热设计、芯片支持-40℃~85℃;器件工作温度支持-40℃~105℃;

(2)提供的产品功能应符合工业行业高效率、高性价比等要求,比如安全告警精准率高、安全事件自动按照优先级排序等。



4、成熟度评估等级


(一)CSMM1:基础级。软件功能基本满足客户业务需求,存在不超过3个需要升级版本的质量问题,硬件、外包装、产品资料不影响客户使用;产品性价比达到业界主流厂商水平。


(二)CSMM2:优化级。客户对产品基本满意,软件功能基本满足客户业务需求,存在不超过1个需要升级版本的质量问题,在基础级基础上有了明显优化,硬件、外包装、产品资料视觉和交互均达到量化指标要求,产品性价比达到业界一流厂商水平。


(三)CSMM3:保证级。客户对产品满意,软件功能满足客户业务需求,没有需要升级版本的质量问题,产品从硬件、外包装、产品资料到软件功能及质量均能保证客户场景应用需求,产品性价比达到国内顶尖水平。


(四)CSMM4:创新级。客户对产品高度认可。软件功能完全满足客户业务需求并有功能设计、交互上的创新,质量稳定可靠,硬件、外包装、产品资料满足保证级要求,产品性价比达到国际主流厂商水平。


(五)CSMM5:卓越级。客户对产品超出预期的满意,软件功能不仅满足客户业务需求,且有业界开创级的功能设计和技术实现,质量零缺陷,硬件、外包装、产品资料做工精良,性价比和竞争力达到国际一流厂商水平。



05.

应用场景


下一代工业防火墙属于网络防火墙,部署应用在工业网络边界,充当网络隔离器、采集器、分析器、控制器的作用。总结起来,下一代工业防火墙的应用场景主要有如下几种:


(一) SCADA

 

5.jpg


图2-5 SCADA系统示意图


(二) DCS


6.jpg

图2-6 DCS系统示意图


(三) PLC

7.jpg

图2-7 PLC控制系统示意图


(四) BAS楼宇自动化系统

 

8.jpg

图2-8 BAS楼宇自动化系统示意图


(五) PAC(Physical Access System)安防控制系统

 

9.jpg

图2-9 PAC安防控制系统示意图


(六) SIS(Safety Instrumented System)安全保护系统


10.jpg

图2-10  SIS安全保护系统示意图


(七) IIoT(Industrial Internet of Things)物联网

 

11.jpg

图2-11 三层IIoT物联网示意图


在数字化转型的大浪潮下,工业数字化转型在如火如荼进行之中。工业互联网通过信息化和工业化深度融合、工业生产与互联网模式有机融合、OT与IT主动融合等三大融合机制,成为工业数字化转型的抓手。


工业互联网让3类企业、7大主体之间建立了9种方式的互联,工业互联网安全也在推动安全产品的更新换代。其中作为网络隔离和访问控制的安全防护产品即防火墙也必须适应这种发展趋势。IT网络防火墙从最初的包过滤防火墙,经历状态检测防火墙、UTM发展到今天的下一代防火墙NGFW,面对今天的工业互联网场景,工业防火墙也需要变革更新,以便于适应工业互联网的三大融合所需要的安全防护需要。


因此,六方云结合对工业互联网安全产业的思考和实践,顺应时代的发展,顺势推出下一代工业防火墙的概念,并尽可能准确地定义下一代工业防火墙,以供工业互联网安全行业内的企业和专家参考。



《下一代工业防火墙白皮书》系列连载未完待续


后台回复下一代工业防火墙白皮书获取全文PDF