作者:e-works李静怡
摘要
近年来,工业企业面临的网络安全威胁形势日益严峻,尤其在工业环境中,工控主机遭到破坏的影响尤为深远。工业网闸是专门为工业网络应用设计的安全隔离设备,用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。本文将介绍工业网闸技术的概念、特点、发展历程、技术原理及功能,并分析对比工业网闸与工业防火墙之间的优劣。
引言
近年来,勒索软件成为OT环境中常见的攻击手段,勒索病毒已成为工业互联网安全最大的威胁之一,工业制造已成为最容易被勒索病毒攻击的行业;同时,工业现场的网络环境非常重要,对网络干扰、恶意代码和病毒渗入非常敏感,一旦遭到破坏、对生产环境可能造成巨大损害,甚至会造成灾难性的事故。
工业网闸是专门为工业网络应用设计的安全隔离设备,用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。本文将介绍工业网闸技术的概念、特点、发展历程、技术原理和功能,以及应用案例,并分析对比工业网闸与工业防火墙之间的优劣。
工业网闸为何物
工业网闸的概念及特点
公安部第三研究所起草,全国信息安全标准化技术委员会归口管理的《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》中提到了对工业网闸的定义:工业控制网络安全隔离与信息交换系统部署于工业控制网络中不同的安全域之间,采用协议隔离技术实现两个安全域之间访问控制、协议转换、内容过滤和信息交换等功能的产品。
图1工业网闸(图源:英塞克铁牛智能)
在工业控制系统层次结构模型中,工业网闸可部署于工业控制网络边界、生产管理层与过程监控层之间,能够保护工业控制网络、过程监控层网络及现场控制层网络。除了具备域间边界隔离的功能,工业网闸还具备传统网闸最基本的访问控制和应用层过滤防护功能,并且支持如OPC、Modbus等主流工业控制协议的深度解析,能够实现规约合法性检查和深度功能码、操作码过滤等功能,从而能够实现对工业网络数据的安全传输。
图2工业网闸控制网络部署图(图源:安盟股份)
工业网闸的发展历程
网闸技术的诞生,可以追溯到上世纪90年代中期,最早出现在美国、以色列等国的军方,用以解决涉密网络与公共网络连接时的安全问题。当时俄罗斯人Ry Jones提出了“空气缝隙隔离(Air Gap)”的安全隔离概念。随后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;美国和以色列又先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在安全隔离的情况下进行数据安全交换。
工业网闸技术从第一代到第三代,经历了从单刀双掷开关到虚拟专用网络(VPN)协议,再到工业协议深度解析的发展历程。总的来说,工业网闸技术的发展历程是从物理隔离向逻辑隔离发展,从解决基本的网络协议攻击向解决更复杂的工业协议攻击发展。
第一代工业网闸基于单刀双掷开关,通过内外网的处理单元分时存取共享存储设备来完成数据交换。在Air Gap情况下实现数据交换,其安全原理是通过应用层数据提取与安全审查,达到杜绝基于协议层的攻击和增强应用层安全的效果。但由于基于GAP技术的网闸使得内外网共用了存储设备,因此不能够满足物理隔离的要求。
基于单刀双掷开关的网闸技术虽然剥离了网络特性,从而彻底解决了基于网络协议的攻击,但受到电子开关切换速度的限制,整体处理性能相对较低,带来的后果是较低的吞吐量、较低的并发连接数和较大的交换延迟,容易成为网络的瓶颈。同时,存储设备因受到持续快速的通电与断电的影响,导致寿命大大缩短,往往会因失效或损坏而使数据交换过程中断。
随着技术的发展,第二代工业网闸开始利用虚拟专用网络(VPN)协议进行数据传输。VPN协议可以在公共网络上建立加密通道,使得工业网闸可以实现对数据的加密和认证,进一步提高了数据传输的安全性。
第三代工业网闸则采用了工业协议深度解析技术。这种技术可以针对具体的工业协议进行深度解析,提取出协议中的关键信息,并进行安全审查和过滤。这使得工业网闸不仅能够实现基于网络协议的攻击防护,还能够对特定的工业协议进行深度防护。
图3工业网闸发展历程
工业网闸的技术原理
工业网闸系统架构
网闸通用的系统架构为“2+1”系统架构,该架构是指采用双主机架构,包括内端机、外端机和隔离控制单元。隔离控制单元采用专用的私有协议,用于内端处理单元和外端处理单元之间的通信,以提高工业控制网络边界的安全防护能力;内端机与外端机各自独立,但通过隔离控制单元进行通信。
图4网闸通用“2+1”系统架构(来源:知乎-边界安全之二网闸)
工业网闸采用“2+1”结构,即2个主机和1个隔离板,数据纯单向传输。隔离板为双FPGA组成,数据传输使用基于SERDES(Serializer/Deserializer,串行化/解串行化)技术的高速串行通信,数据封装使用自定义格式,传输速率取决于其所支持的接口与协议,以及硬件性能、所处理的数据量、协议处理效率;常见的以太网网闸传输速率有10Mbps、100Mbps、1000Mbps、10Gbps,串行通信网闸一般在几十kbps至几Mbps之间,其他类型网闸如Profinet、Modbus、CAN等专用协议网闸在数十kbps至数百kbps之间。
图5工业网闸系统架构
工业网闸技术原理
工业网闸是一种重要的网络安全设备,主要用于保护工业控制系统(ICS)免受网络攻击。它通过物理隔离和数据摆渡的机制,实现了内外网的安全隔离。
工业网闸的硬件部分包括两个主要部分:接口机A和接口机B。接口机A连接外部网络,而接口机B连接内部网络。这两台接口机取消了所有系统自带的网络功能,例如ICMP协议、所有TCP协议以及OPC、Modbus等工业控制协议,从而使得内外网的用户和网络扫描工具无法感知工业网闸的存在。
在软件层面,工业网闸通常配备一个客户端,这个客户端只能运行在特定的主机上,这些主机被称为节点机。节点机通过预设的端口与工业网闸进行单向通信,从而实现内外网数据的交换。工业网闸的数据交换不使用TCP/IP协议,而是通过特定的硬件卡或者存储设备建立一个数据交换区,这种方式提高了数据交换的安全性,可抵御如中间人攻击等。
图6工业网闸工作原理(来源:博客园-网闸)
工业网闸如何实现业务数据自动交换
工业网闸可以在物理层实现对内、外网的隔离和控制,防止网络攻击和信息泄露,其在保证业务通讯隔离的基础上,实现了数据交换。工业网闸的设计重点不仅在隔离与交换的控制逻辑设计上,还包括业务代理的实现模式上。通过工业网闸实现业务数据自动交换的原理模型如下:
图7工业网闸实现业务数据自动交换原理模型(来源:简书-004网闸【产品】)
在内网和外网之间,内网接口单元和外网接口单元分别作为数据交换的门户,它们之间的文件或者数据传输通常需要通过文件交换缓冲区来完成,以优化传输效率。同时,隔离与交换控制单元作为安全监控点,确保数据交换的安全性和合规性。在内网侧,数据经过处理和审核后,通过内网接口单元进入内网,在内网内部经过必要的处理后,再通过内网交换文件缓冲区传输至相应的内网资源或用户;外网同理。
工业网闸的基本特性
网闸设备的基本特性主要包括无完整网络连接,单向传输,数据格式认证三个方面,工业网闸也不例外。正是具备以上特性,网闸才可以杜绝两端网络建立任何TCP/IP网络连接,保证物理隔离的同时,还能达到传输特定数据的目的。
无完整网络连接是指通过网闸的摆渡控制,让数据交换区与内外网在任意时刻不能同时连接,该设计中断了内外网的直接连接,使得内外网达到物理隔离效果。一般的网络应用包括病毒,木马等都无法经过网闸建立所需的网络连接。
单向传输是指网闸硬件与软件之间采用特定的私有协议,保证与预设方向相反的方向无法传输数据,HTTP,FTP,SMTP等协议均无法通过。如果内外网需要数据交互,一般需要部署正向反向两套网闸,采用不同的策略,通过内外网不同的节点机分别执行数据发送。
数据格式认证是指不支持协议解析,不透传业务应用,只对认证后的特定文件格式的数据文件进行摆渡,从而确保数据的安全和完整性,防止恶意代码和攻击者入侵,保护内部网络资源;该特性有助于提高企业网络的安全性和稳定性,降低安全风险。
工业网闸的功能
工业网闸主要用于实现工业控制系统与其他网络(如办公网络、互联网等)之间的安全隔离和数据交换,它可以实现内外部网络的安全隔离,确保工业控制系统的稳定运行,同时满足生产过程中对数据交换的需求。其功能主要有以下八点:
物理隔离:工业网闸通过物理连接实现工业控制系统与其他网络的隔离,确保工业控制系统的安全性。
数据交换:工业网闸能够在隔离的网络之间进行数据交换,实现信息的传输。例如,办公网络需要与工业控制网络交换数据时,可以通过工业网闸进行安全的数据传输。
协议解析:工业网闸能够解析不同网络之间的协议,如工业控制系统的Modbus、Profinet等协议,以及办公网络的HTTP、SMTP等协议。
负载均衡:工业网闸可以实现网络负载的均衡,确保工业控制系统不会因为外部网络的冲击而受到影响。
冗余备份:工业网闸支持冗余备份,当一台网闸出现故障时,另一台网闸可以立即接管其工作,确保系统的连续稳定运行。
集成管理:工业网闸可以与其他安全设备(如防火墙、入侵检测系统等)进行集成管理,方便用户对整个工业控制系统进行统一的安全管控。
图8工业网闸的功能
工业网闸与工业防火墙对比
什么是工业防火墙
传统的防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙可以看作是一个位于计算机与所连接网络之间的软件或硬件,计算机流入流出的所有网络通信和数据包均需经过防火墙。
相较于传统的防火墙,除了具备安全防护功能外,工业防火墙还内置了针对工控协议的解析与过滤的模块,该模块能够识别和提取数据包的特征集,利用智能算法和机器学习技术,如支持向量机等功能,通过白名单机制来阻止异常指令和拦截非工控协议,从而为工控网络提供了更为精准和深入的安全保护,确保了工业操作的稳定性和安全性。
与工业防火墙对比
工业网闸和工业防火墙在保护工业控制网络方面都有重要作用,但它们在安全防护层次、工作原理和应用场景上存在一些区别。
在安全防护层次上,工业网闸应用于工控网络与信息网络之间的边界,主要是为了隔离和控制两个网络之间的数据流,确保工业控制系统的安全运行。而工业防火墙通常部署在工控网络与企业网络之间的边界,或者是工控网络内部的关键节点上,以监控和控制进出工控网络的数据流。
在工作原理上,工业网闸主要利用物理隔离和专用硬件控制实现两个网络之间的安全数据交换,它通常在两个独立主机系统之间建立物理隔离,确保内外网之间不存在通信的物理连接、逻辑连接、信息传输命令和信息传输。工业防火墙则通过检测和过滤工业协议中的恶意指令,实现对工业控制系统的保护,它可以识别和阻止恶意流量,从而保护工业控制系统免受网络攻击。
在应用场景方面,工业网闸主要应用于工业生产控制系统与信息系统之间的安全数据采集和物理隔离。它可以确保工业控制系统在各个层面的安全,适用于对工业控制系统安全要求极高的场景,如关键基础设施、核设施等。而工业防火墙可以有效防止网络攻击和数据泄露,适用于对工业控制系统安全要求较高的场景,如石油、化工、电力等。
表1工业防火墙与工业网闸对比
结语
工业网闸作为一种不同安全域之间的安全隔离产品,在工业领域备受关注,应用范围广,前景非常广阔。本文简单介绍了工业网闸的概念、发展历程、技术原理和功能等,帮助读者更加清楚的了解什么是工业网闸。随着信息安全的快速发展,虚拟化技术的普及,新一代的网闸将向虚拟化和软件化方向发展;同时,为保障网闸自身绝对安全、自主可控,新一代网闸还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式,从而实现向全国产化方向发展的目标。
审核编辑:黄飞
评论
查看更多