1. 背景

制造业是国民经济的主体，是立国之本、兴国之器、强国之基。推进信息化与工业化深度融合是我国实施制造强国战略第一个十年行动纲领《中国制造2025》的战略任务和重点之一，而智能制造则是两化深度融合的主攻方向。工业控制系统作为智能制造的重要组成部分，作用和影响巨大，其信息安全正面临着严峻的挑战。

工业控制系统广泛应用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

工业防火墙是一款应用于工控网络安全的防护产品，用于解析、识别与控制所有通过工业控制网络的数据流量，以抵御来自内外网对工控设备的攻击。同时可以监控各种工控协议，对工控系统中的攻击及时做出反应，实现工业控制系统纵向层级之间的安全控制。并对流通在工控网络中的所有数据进行全方位的解析、判断和控制，有效保障客户正常生产数据的传输，完全杜绝非法数据和病毒在客户工控网络中的分散和传播，最大程度上保证了客户生产的长期稳定运行。

2016年10 月，工业和信息化部印发《工业控制系统信息安全防护指南》，明确提出利用工控边界防护设备对OT网与IT网或互联网之间的边界进行安全防护，禁止OT网直接与IT网或互联网连接。一个小小的病毒、一个网络的漏洞就可以导致大型工业系统、大型基础设施运转出现巨大的经济损失。因此，打造工业互联网安全产业生态链，持续提升保障体系迫在眉睫。

1.1 安全攻击事件频发

2010年，“震网”蠕虫通过外围设备U 盘，侵入控制网络，更改PLC 中的程序和数据，对伊朗的核设施造成了严重的破坏；2014年，黑客集团Dragonfly 制造“超级电厂”病毒，能够阻断电力供应或破坏、劫持工业控制设备，全球上千座发电站遭到攻击；2016年，乌克兰电力公司的网络系统遭到黑客攻击，导致大规模的停电，成千上万的家庭在黑暗中度过。

信息化和工业化融合过程中，信息安全保障薄弱，但针对工业控制系统的攻击技术却呈现出日新月异的发展趋势，主要体现在：
一、攻击工具层出不穷，针对工业控制系统的攻击工具，被黑客制作并散布在互联网上，使得攻击成本越来越低。
二、攻击范围迅速扩大，早期针对部署在关键基础设施的工业控制系统进行攻击，需要较强的攻击能力；但随着工业控制系统信息安全问题公众化后，许多黑客开始利用互联网上轻易得到的攻击工具，瞄准很多基本不具备信息安全防护能力的行业或企业进行攻击，虽然没有严重的恶性事件，却造成严重经济损失。
三、攻击频率不断增加，越来越多的黑客开始借助工具，对工业控制系统进行持续攻击，严重影响了生产效率。
四、攻击后果愈发严重，早期针对工业控制系统的攻击以窃取资料为多，但随着黑客攻击的普及化，为追求“轰动效益”，很多攻击就演变为破坏工业控制系统，直接导致停产甚至是生产线损毁，给企业造成重大经济损失，例如有企业因为蠕虫攻击导致损失3000万元。

1.2 信息安全基础匮乏

工控系统在建设之初较少考虑信息安全问题，主要关注的是功能安全，系统的稳定性及可靠性方面。工控协议基本都是采用明文方式传输，并且缺少身份认证的支持，这在现代化IT领域是绝对无法接受的。同时较早建立的工控系统很少有与外网进行信息交互的需求，因此主要采用物理隔离的方式部署，即使存在一些问题，也没有暴露出来。随着互联网的发展，“两化融合”、“互联网+”、“工业4.0”、 “等保2.0”、 “关基”等概念的推进，工控系统与互联网的信息交互变得十分必要且频繁，这就把系统中隐藏的风险、漏洞暴露出来，同时也会引入新的风险。

工控系统逐渐与其他系统广泛互联导致其直接暴露在互联网上的风险不断增加，系统运行环境存在大量漏洞和隐患，设备外联缺乏风险评估和安全保障措施，系统体系架构缺乏最基本的安全保障。

2. 解决方案

工控安全解决方案是面向工业控制网络而研发的涵盖传统防火墙、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品，支持灵活的安全区域隔离和丰富的安全策略控制功能。在实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平，更好的适应未来工控网络高带宽、大流量的发展方向。

工控防火墙是针对工业控制系统环境设计开发的边界隔离和安全防护产品，产品基于工业级多核处理器芯片的硬件架构和自主知识产权的智能工控安全操作系统，基于优化的软硬件架构提高报文的处理能力，对主流工业协议进行深度报文解析，保证只有可信任的流量可以在网络上传输，为工控网络和外部网络互联、工控网络内部区域之间的网络连接提供安全保障。同时监控各种工控协议，对工控系统中的攻击及时做出反应，实现工业控制系统纵向层级之间的安全控制。

工控防火墙的主要功能包括工业协议深度解析、安全防护、运维管理、高适应性等。

2.1 工业协议解析

工控防火墙支持多种主流工控协议，可识别工控协议并解析协议里传输的控制指令，并能对各类数据包进行快速有针对性的捕获和深度解析。

2.1.1 精准的工业协议识别分析能力

工控防火墙能够检测出100多种工业协议，能够对OPC、Modbus、IEC60870-5-104、IEC61850MMS、SiemensS7、Ethernet/IP(CIP)等主流工控协议做深度报文解析，识别报文中的有效内容特征、负载和可用匹配信息，如恶意软件、具体指令和应用程序类型，对工控协议特征做到试试解析和精确的识别。

2.1.2 细粒度指令级访问控制

基于工业协议的精确识别能力，工控防火墙不仅可以实现传统基于安全域、ip、MAC 、时间段、服务、执行动作等多个维度的访问控制策略，对OPC、Modbus TCP等十余种主流工控协议支持超过1000种的功能码识别，可以做到指令级甚至值域级更精细控制粒度。

2.1.3 流量控制

支持流量统计分析，可全面掌握当前网络的协议数据传输以及资源占用情况，为网络带宽管理、协议数据管理提供数据支持，同时支持多类协议流量排行功能，可对当前网络的主机、设备等通信流量进行统计，快速定位网络资源占用“大户”，提高网络利用效率，保障网络带宽的合理、有序使用。

在多个层面使用多种方式保障关键业务的带宽，限制低安全级别的带宽使用，如：限制某段IP共享带宽、限制每个IP最大带宽、通过策略配置实现流量控制。

2.2 安全防护

工控防火墙采用标准化Restful API接口，实现了与安全分析平台、网管平台、威胁情报云平台、策略可视化产品、入侵检测系统、EDR终端软件等等一系列云管端产品联动，形成能力互补，加强安全防护效果。安全分析平台是基于机器学习技术，搭建独立于防火墙产品的分析平台，充足的计算性能和呈现能力，分析从防火墙采集的安全日志、网络资产信息等。实现基于人工智能的安全分析和报表呈现。弥补防火墙本身算力有限的问题。

2.2.1 漏洞防护

工控防火墙预置8000+IPS防护规则，防护规则中涵盖CVE、CNVD、CNVVD编号的物联网的漏洞，涵盖厂商零日漏洞库。防护规则每两周更新，关注业界最新发现的安全漏洞和接收全球用户反馈的攻击特征，并在第一时间做出响应和提供更新，实时完善攻击特征库，提供最及时、最全面的入侵防御。针对能对各种物联网设备、智能硬件系统的各种漏洞进行监测。

工控防火墙提供虚拟补丁管理，管理员无需在IPC和其他终端中安装升级组件补丁，于防火墙中部署配置安全防护规则即可规避漏洞风险。

2.2.2 威胁情报

随着攻击的复杂性、多元化不断提升，传统安全设备不断受到挑战；新一代的攻击者常常向企业和组织发起针对性的网络攻击，也就是高级持续攻击（APT）。攻击者不断改变现有的攻击方式，开发新的方法。传统的规则匹配已经无法防御这样的攻击。视频防火墙通过自研威胁情报云平台，整合对接60余家商业、开源威胁情报，包括微步在线、IBM安全、VirusTotal、天际友盟、PluseDive等等。提供全网威胁情报查询功能，支持对可疑IP、域名、文件Hash进行搜索，并查看关联分析。

支持展示全球热门和新型的威胁事件，支持数据下钻查看该威胁事件的时间、威胁级别、描述、类型、应用措施和指示器等信息。支持针对威胁事件提供安全防护的配置向导，通过引导方式帮助用户完成安全加固，规避威胁风险；支持通过一键添加的方式，新增防护措施，减轻管理员的运维工作量。

2.2.3 智能“白名单”

基于“白名单”技术针对工控协议进行全方面的管控，通过白名单追加功能，对要运行新的程序、网络服务和主机外设设备时，可以将这些新的设置追加到白名单中。

通过“白名单+智能学习”技术建立数采通信及工控网络区域间通信模型，保证只有可信任的流量可以在网络上传输，为工控网络和外部网互联、工控网络内部区域之间的网络连接提供安全保障。

支持非法外联学习和防护特性，可定义外联白名单地址和端口；支持通过流量自学习能获得服务器合法的外联行为，检测流量中的异常访问流量，可以自动拦截。

2.3 运维管理

工控防火墙支持路由模式、透明桥接模式、混合模式以及旁路部署方式，灵活的部署在用户的网络中，并包含下一代防火墙中全部网络特性和运维特性。

2.3.1 VPN功能

支持IPsec、SSL、GRE等多种VPN模式，可实现远程安全接入和不同区域之间的加密通信。

IPsec VPN模块具有业界领先技术，在复杂网络环境下大大简化了管理员的维护工作量，配合集中管理和日志分析平台，可实现IPsec VPN快速零配置上线。快速对接模块式下，隧道接口感兴趣流等可无需配置自动协商，整个IPsec VPN网络全自动收敛，自适应多线路，完美的解决了分支运维能力弱的问题。而独创的主备切换0丢包技术，可实现TCP业务不中断，完美的解决HA切换业务中断的问题，可让管理员高枕无忧。

2.3.2 日志审计

工控防火墙支持详细、清晰、易用的日志特性，可以全面记录审计用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息，可满足公安部要求的上网日志留存6个月的要求；日志支持定制化过滤器，可根据IP地址、认证用户、访问应用、访问URL、发帖内容等要素进行搜索，让事后审计省时省力,可支持对HTTPS、邮箱类解密策略的配置。同时，视频防火墙产品提供丰富美观的报表，以柱状图、饼状图、百分比等形式最直观地体现网络运行状况，让网络管理规划有据可循、有的放矢。

2.3.3 丰富的统计报表

工控防火墙为满足广泛而复杂的需求场景，运用领先的设计理念设计出强大的审计报表功能。高度可配置的报表管理功能，方便用户进行报表的分类管理、在线查看、定时发布等。用户可自主添加新报表，及时满足大数据时代企业的快速业务变化和安全需求。针对中大型企业多人并发访问的场景，提供报表缓存，历史报表下载等功能，有效提高功能可用性。

统计报表可以定期将网络状况，用户行为，安全状况等汇报给相关管理人员，支持配置单次发送，周期性自动发送等，可将网络整体状况完整的呈现在管理人员面前。报表支持最常见的HTML，PDF等格式，可以跨设备无障碍浏览。

2.4 高适应性

工业防火墙相比传统防火墙具备更强的环境适应性、可靠性、稳定性和实时性。具备硬件BYPASS、冗余电源、双机热备等功能，满足工业级宽温、防尘、抗电磁、抗震、低功耗、防尘防潮、全封闭设计等要求。

结束语

伴随着工业互联网的蓬勃发展，IT和OT的融合不断深入，工业网络所面临的安全威胁与日俱增。而解决工业网络面临的诸多安全问题，提供从网络边界、区域到设备终端的完整防护体系也是企业所必需的。

本文依照智能制造中工控信息安全的需求，结合工控防火墙的功能和产品特性，实现工业控制系统信息安全的纵深防御，切实有效的保护工控系统远离蠕虫、黑客等各种威胁和攻击，保障企业生产安全稳定运行。