業內首部丨《下一代工業防火墻白皮書》連載之二
第2章 什么是下一代工業防火墻
下一代工業防火墻,對應英文翻譯為Next Industry Firewall,簡寫為NIFW。下面從技術要求、核心功能、擴展功能和成熟度評估四個方面定義下一代工業防火墻。
01.技術要求
下一代工業防火墻必須具備下列技術要求:
1、軟件定義安全域
(1)安全域定義維度
支持基于物理端口、邏輯接口、VLAN、會話、設備來劃分安全區域。
(2)安全域定義方式
支持軟件定義安全域,比如在人機交互界面上以拖拽方式按照某個維度劃分安全域;下一代工業防火墻虛擬化成虛機形態或者容器形態,被作為虛擬安全組件參與服務鏈,從而虛擬的下一代工業防火墻成為某個安全域的邊界。
2、多維度的訪問控制策略
支持基于設備、網絡邊界、工業應用、網絡行為、操作指令等制定網絡訪問控制策略。
3、適應OT/IT融合趨勢
按照ISA 95模型,OT與IT的范疇如圖2-1所示。
圖2-1 ISA 95模型OT與IT的范疇示意圖
ISA 95模型將1到3層定義為OT層,4到5層定義為IT層。且將OT層中的3層定義為工業IT層,1和2層定義為工業自動化層。
圖2-2 NIST 800-82 DMZ區示意圖
NIST SP 800-82在ISA 95模型基礎上增加了DMZ區,如圖 2 2所示,企業IT層,工業IT層、工業自動化層的范疇有少許變化。
OT專注于管理和控制物理世界中存在和運行的物理設備。隨著時間的推移,電子和數字技術的引入也在操作控制系統中得到了廣泛的應用,如計算機數控加工系統。OT傳統上與制造和工業環境相關,包括工業控制系統,如監控和數據采集。
IT關注的是數據和通信,而OT關注的是行為和結果。工業和制造裝置中使用的大多數控制系統都沒有聯網,因此無法通信或共享信息。這意味著人工操作員的任務是對每件設備的物理操作進行編程或管理。即使提供集中控制的設備也使用封閉或專有協議。IT包括使用計算機、存儲、網絡設備和其他物理設備、基礎設施和流程來創建、處理、存儲、保護和交換所有形式的電子數據。
(1)適應下一代工業網絡
能夠應用到TSN、工業以太網、IPv6、5G等工業網絡中。
能夠適應工業網絡的扁平化、無線化、軟件定義化。
(2)能夠更高效地解決OT/IT融合后的XIoT(Extended Internet Of Things)系統所面臨的安全風險與挑戰
相對上一代工業防火墻只能部署應用在封閉的OT網絡邊界,下一代工業防火墻要能夠部署在OT/IT融合后的XIoT系統,則面臨下面三大安全風險與挑戰:
第一,XIoT系統的計算與網絡環境不再穩定不變,因此不能只是采用白名單防護技術
第二,XIoT系統的風險暴露面被放大,被入侵攻擊的可能性呈指數級增加
第三,XIoT系統內的網絡交互行為不再“有章可循”,正常與異常行為難以區分
下一代工業防火墻要能夠防范和應對上述三大安全風險與挑戰,且要更高效,則必須做到下面三點:
① OT/IT防護引擎一體化
下一代網絡防火墻NGFW之所以效率要比統一威脅管理系統UTM高,核心是NGFW實現了報文解析引擎的一體化,一次解析,多業務模塊使用。同理下一代工業防火墻NIFW也需要實現OT防護引擎與IT防護引擎的一體化,才能夠滿足OT/IT融合系統XIoT的四高特性要求:高可用性、高確定性、高可靠性和高安全性。
② OT/IT防護知識庫一體化
防護知識庫包括但不限于網絡入侵特征庫、病毒庫、應用識別特征庫、工控協議解讀庫、指紋識別庫、安全漏洞庫、威脅情報庫。鑒于工業信息安全發展的歷程導致這些知識庫是按照IT、OT分別積累的,但當前OT/IT融合后的XIoT系統是一個混雜的系統,攻擊者采用的攻擊技術和方式很難清晰的歸為IT或OT模式,所以,防護技術也不能將OT防護知識庫和IT防護知識庫割裂開使用,否則防護很容易被繞過,攻擊逃逸現象很嚴重。因此必須要將之前積累和不斷更新的OT防護知識庫和IT防護知識庫進行融合,實現一體化,才能夠實現更有效的防護效果。
③ OT/IT防護功能一體化
同理,鑒于工業信息安全發展的進程導致IT網絡防火墻和OT工業防火墻的發展也是割裂的,IT網絡防火墻主要解決傳統IT網絡邊界隔離和訪問控制,OT工業防火墻主要解決OT工業網絡邊界隔離和訪問控制。在OT/IT融合的趨勢下,出現了如圖 2 3所示的9種網絡互聯的邊界:機器與控制系統垂直互聯、在制品與機器、在制品與工業信息系統/云平臺、機器與機器之間橫向互聯、控制系統與信息系統/云平臺、信息系統/云平臺與用戶、信息系統/云平臺與外部協作企業、控制系統與外部協作企業、智能產品與工廠。
圖2-3 9種網絡互聯的邊界示意圖
在如此多的網絡邊界,既有IT流量,也有OT流量,還有IoT流量,因此下一代工業防火墻所提供的邊界隔離、流量監測、網絡行為分析、流量管控的防護功能必然不能再區分IT與OT,必須是融合的,一體化的。
(3)滿足OT/IT融合系統XIoT的“四高”特性
? 高可用性:7*24小時不間斷的安全防護;
? 高確定性:低于30us的通信時延,低于1us的通信抖動;
? 高可靠性:0丟包,0亂序;
? 高安全性:可用性、完整性、保密性。
4、安全防護具有一定的智能化程度
下一代工業防火墻所提供的網絡安全防護需要具備一定的智能化程度:
(1)能夠檢測未知威脅,包括0 Day漏洞利用和未知的已知漏洞利用行為;
(2)能夠檢測不斷變種的威脅;
(3)能夠從已經發生的安全事件中自動學習并提煉為安全知識或安全策略。
02.核心功能
下一代工業防火墻應具備下列核心功能:
1、網絡防火墻的核心功能
傳統網絡防火墻的核心功能指網絡邊界隔離、網絡流量監測、網絡行為分析和網絡流量管控。
下一代工業防火墻核心功能也包括傳統網絡防火墻的四大核心功能,只是會面對新的網絡邊界、成分更復雜的網絡流量、更難解析和理解的網絡行為。
2、工業應用安全
NGFW提供IT類的應用軟件識別、控制、可視與審計等防護功能,下一代工業防火墻則還需要提供工業類應用軟件識別、控制、可視與審計等防護功能。
工業應用的分類當前還未有統一的標準。工信部運行局將工業應用分為產品研發設計類、生產控制類、業務管理類;國標將工業應用分為工業總線、工業仿真、計算機輔助設計CAD、計算機輔助制造CAM、可編程邏輯控制器PLC、產品生命周期管理PLM、產品數據管理PDM、計算機集成制造系統、其他工業軟件;基于產品生命周期聚類分為研發設計類、生產制造類、經營管理類、運維服務類;基于工業軟件基本功能分為工研軟件、工制軟件、工采軟件、工管軟件、工維軟件、工量軟件、工試軟件、工標軟件、工控軟件、工鏈軟件、工互軟件、工應軟件、工材軟件、工安軟件、工數軟件、工智軟件;基于企業經營活動特性分為操作、過程、執行等大類;其他分類如原材料行業軟件、能源行業軟件、采掘行業軟件、制造行業軟件、工業IT軟件、工業OT軟件、人工智能算法軟件等。
3、工控操作安全
工業控制操作的安全包括操作意圖是故意還是無意、操作過程監測、操作結果的管控等。
工業控制操作意圖的識別技術主要是基于上下文的操作行為基線建模和異常檢測。工業操作過程監測技術主要是基于工控協議規約,針對工控操作流量進行解析和解讀,以此來判斷是否存在破壞性、入侵性的操作。
工業控制操作結果管控技術主要是日志審計、告警、阻斷等。
4、工業數據安全
工業數據指工業生產過程中產生、傳輸、訪問、使用,甚至銷毀的數據。工業數據安全則是指工業數據全生命周期過程的安全防護。
下一代工業防火墻作為網絡邊界安全防護系統,主要圍繞工業數據傳輸和訪問這兩個環節提供防護。工業數據傳輸安全主要技術是虛擬隧道、加密,比如IPSec VPN提供虛擬數據傳輸通道,同時對傳輸的數據實施加密。
工業數據訪問安全主要技術是身份識別與訪問控制,下一代工業防火墻必須要能夠提供3A或4A的代理與增強認證策略。需要注意的是,下一代工業防火墻提供的是基于零信任思想的“增強認證”策略,不是上一代的認證策略。
03.擴展功能
下一代工業防火墻建議支持下列擴展功能:
1、工業安全可視
下一代工業防火墻要能夠圍繞工業設備或資產、網絡、流量、應用、指令、行為實現屬性與關系的可視化。
(1)工業設備或資產可視化
工業設備或資產可視化要實現三個層面的可視化:工業設備或資產屬性、工業設備或資產與其他設備或資產的網絡連接關系、工業設備或資產與其他設備或資產的網絡互訪行為。
工業設備或資產屬性包括名稱、廠商、類型、型號、外觀形態(導軌、機架、機箱等)、網絡屬性(MAC、IP、服務端口等)、固件版本、操作系統、應用進程、等。
工業設備或資產之間的連接關系分為物理連接、邏輯連接關系。邏輯連接關系的展示支持按照普渡模型、網絡拓撲、工程項目等方式。
工業設備或資產之間網絡互訪行為包括網絡連接、網絡會話、流量負載內容如工控操作功能碼等。工業設備或資產之間網絡互訪行為可視化方式支持基于時間維度的趨勢圖、時序圖;基于空間維度的流量成分分布圖、訪問關系圖。
(2)工業網絡可視化
工業網絡可視化要實現工業網絡邊界、工業網絡區域、工業網絡物理拓撲和邏輯拓撲的可視。在OT/IT融合趨勢下,工業網絡邊界和區域的劃分不再僅僅依靠物理連接、VLAN等,還會使用到軟件定義網絡邊界等技術,因此工業防火墻要實現的工業網絡可視化應該支持軟件定義的網絡邊界可視化技術,比如Overlay網絡(比如VXLAN網絡、NVGRE網絡)、VPN網絡、微分段、微分片等;應該支持TSN、IPv6、5G等新型網絡。
(3)工業流量可視化
工業流量可視化技術主要是工業流量的協議頭和載荷的深度解析與解讀,基于機器學習/深度學習的流量靜態特征和動態特征的分析統計。
下一代工業防火墻實現工業流量可視化至少包括基于空間的流量成分分布圖(比如工控操作指令類型分布圖、操作指令次數或頻率分布圖)、基于時間的流量大小、速率、成分的趨勢圖和時序圖(比如操作指令時序圖、操作指令頻次趨勢圖)。
特別注意的是,工控操作指令相關的分布圖,趨勢圖,時序圖一定要將工控操作指令從數字解讀到所代表的含義,否則這種可視化對安全運維是晦澀的,難以理解的,無法滿足工業現場的可維護性,易用性的要求。
鑒于當前90%以上的互聯網流量都進行了加密,因此針對加密流量的可視化是難點,也是迫切的需要。正是因為加密無法看到流量成分,就更需要對其可視。針對加密流量可視化技術主要是采用AI算法、大數據分析等,從會話連接、證書、加密套件信息、流量稀疏特征、流量吞吐和速率等維度進行展示。
(4)工業應用可視化
工業應用可視化主要從工業應用的類別、發送或接收的流量、網絡互訪行為、是否帶來威脅等維度進行。
要實現工業應用可視化,首先要能夠對工業應用進行準確地識別。工業應用識別主要基于應用流量做被動識別。下一代工業防火墻僅僅依靠服務端口來識別工業應用會導致將大量的工業應用識別成IT應用,反之亦然。因此還需要依據工業應用流量靜態特征和網絡行為動態特征去識別OT應用、IT應用、IoT應用。
工業應用流量當前加密的還比較少,但OT/IT融合環境下混雜著OT與IT應用的流量,因此要想準確識別工業應用的前提是要能夠準確識別IT應用,而要準確識別IT應用,則必須要能夠做到基于加密流量的應用識別。
(5)工控指令可視化
工業控制操作指令在普渡模型的各個層級之間以及單層橫向之間都大量存在,但這些指令的發送或接收只有工業設備或工業應用所感知,其他系統或者運維人員對工控系統所進行的操作幾乎是“黑盒”,當業務系統指標異常或者出現故障時也難以回溯和審計。從安全運維和安全防御的角度,必須要能夠實時監測工控系統里面所發生的一切和全過程記錄,也就是要做到工控操作的全過程監測和記錄,才能夠做到及時的阻止和事后的安全審計。
工控指令可視化包括基于時間維度的工控指令發生頻率、發生次數的趨勢圖,基于空間維度的工控指令類別分布、工控指令發生頻率、次數的分布圖。
(6)網絡行為可視化
由于工業防火墻是部署在工業網絡邊界,因此下一代工業防火墻實現網絡行為可視化是針對進出網絡邊界的網絡行為,比如發起網絡通信建立、交互會話和停止通信。
對于下一代工業防火墻來說,更重要的是要實現網絡異常行為和入侵攻擊行為的檢測,因此至少要實現這些網絡行為的可視:網絡通信連接協商階段的交互行為、網絡通信會話階段隱藏在報文負載中的內容比如工控操作功能碼及操作對象。
2、工業安全審計
(1)工控協議合規性檢查與記錄
上一代工業防火墻核心功能即工控指令白名單,本質上是基于工控流量進行工控通信協議的合規性進行檢查,符合工控通信協議規約的報文則放行,阻止不符合的報文。
在當前OT/IT融合場景下,工控指令白名單更多用于安全審計,而不是安全防護。因為工控指令白名單在下面的情景下無法實現良好的防護效果:
① 針對工控系統發起的時序相關的入侵攻擊,比如DDoS攻擊、會話逃逸攻擊、操作邏輯攻擊等。
② 采用符合工控協議規約的敏感操作指令實施攻擊,比如編程環境下的固件程序下裝、PLC Stop等這些操作,在工業場景下雖然這些操作屬于敏感操作,但也是經常發生的,攻擊者利用這些操作指令實施破壞是完全可能的。
③ OT/IT融合系統XIoT是一個半開放或開放的網絡環境,很難只是允許符合工控指令白名單的報文同行,否則會給運維帶來加大的困惑和工作量,在這樣的場景采用白名單防護已經不現實了。
(2)安全告警事件、操作日志留存與查詢
安全告警事件與日志留存按照網絡安全法要求,至少保持半年,且操作日志不可更改,刪除。
(3)攻擊與異常流量留存與還原
為了能夠在遭受到攻擊后進行溯源取證,需要下一代工業防火墻在本地或遠程留存攻擊與異常流量,并且能夠在必要的時候還原攻擊活動。
需要說明的是,下一代工業防火墻的重點還是網絡區域隔離和訪問控制,對網絡通信的實時性要求較高,因此不太適合進行全流量的存儲。如果需要全流量存儲和還原,建議采用全流量威脅檢測類或全流量存儲類系統。
04.成熟度評估
1、成熟度模型
參照通用安全產品成熟度評價指標,結合工控系統信息安全防護需求與技術實踐,下一代工業防火墻成熟度模型如圖2-4所示。
圖2-4 下一代工業防火墻成熟度模型
2、安全能力指標
(一)核心能力指標
(1)網絡邊界隔離能力:應能夠將兩個網絡隔離;
(2)網絡流量監測能力:應能夠持續安全監測流經的網絡流量;
(3)網絡行為分析能力:應能夠分析兩個網絡之間的網絡活動;
(4)網絡流量管控能力:應能夠基于安全策略對網絡流量進行管控。
(二)通用能力指標
(1)功能性
① 至少要具備下一代工業防火墻的基礎功能和核心功能;
② 所提供的安全功能不對原有系統的功能和性能造成損失,比如網絡通信時延、抖動、時序、丟包率等。
(2)性能效率
① 為工業相關系統提供7*24小時不間斷的信息安全防護服務,包括但不限于可用性、完整性和保密性;
② 滿足工控系統高確定性要求:通信時延<=30us,抖動<=1us;
③ 滿足工控系統高可靠性要求:0丟包,0亂序;
(3)兼容性
① 支持各類工業現場網絡技術,包括但不限于TSN、工業以太網、5G等;
② 支持各類主流的工控協議識別、解析與解讀;
③ 支持各類主流工業應用軟件的識別、控制、審計;
④ 支持工業知識庫升級的前向兼容;
⑤ 支持系統升級的前向兼容。
(4)易用性
① 安全告警事件與日志要用OT語言進行描述;
② 人機交互要用OT易于理解的語言;
③ 人機交互要用OT習慣的方式;
注:下列方式屬于OT習慣的方式:
電子大屏;擬物化;屏幕觸摸;實物操作。
④ 支持0配置上線;
⑤ 支持集中管控。
(5)可靠性
① 不應采用無法適應工業環境的技術,比如散熱風扇、非寬溫支持器件等;
② 應采用高可靠的軟硬件設計,比如冗余、備份、抗干擾等;
③ 應具有在具備條件的情況下從拒絕服務狀態恢復到繼續提供服務的狀態;
④ 應能識別違反指定條件的輸入,并且不應作為許可的輸入加以處理;
⑤ 應具有從致命性錯誤中恢復的能力,并對用戶是明顯易懂的。
(6)安全性
① 應按照用戶文檔集中定義的安全性特征來運行;
② 應能防止對程序和數據的未授權訪問(不管是無意的還是故意的);
③ 應能識別出對結構數據庫或文件完整性產生損害的事件,且能阻止該事件,并通報給授權用戶;
④ 應能按照安全要求,對訪問權限進行管理;
⑤ 應能對保密數據進行保護,只允許授權用戶訪問;
⑥ 應通過技術脆弱性評估、漏洞掃描和滲透測試;
⑦ 應滿足國家網絡安全相關政策、法規和標準要求。
(7)可維護性
① 應符合工業行業信息安全相關法律法規、標準、協議;
② 應能識別出每一個基本組件的發布號、相關的質量特性、參數和數據模型;
③ 應能在任何時候都識別出每一個基本組件的發布號,包括安裝的版本,以及對產品特征產生的影響;
④ 設備布局上應盡量做到檢查或拆卸故障件時不必拆卸其他設備和機件;
⑤ 電氣上、機械上功能相同的組件及部件應能互換;
⑥ 在設計時采取避免或消除在使用操作和保養維修時造成的人為差錯的措施,即使發生差錯也應不危及人機安全,并能立即發覺和糾正;
⑦ 提供良好的診斷能力,包括診斷程序、修改規程和維修經驗數據、電子手冊等。
(8)智能化
① 提供的安全防護功能應具有一定程度的自動化、彈性擴展、自我修正調整能力;
(9)協同性
① 應能夠與其他系統協同完成特定的安全防護功能;
3、 產品化指標
(一)視覺
(1)應符合工業行業的視覺習慣,比如表達理性的、強烈對比的色系、耐用的金屬材質、線條、棱角等;
(2)應符合工業行業顏色使用的行業規范。
(二)交互
(1)應符合工業行業的人機交互界面,比如電子大屏、觸摸屏、物理按鈕等;
(2)應符合工業行業的人機交互習慣,比如觸摸、物理操作、C/S、B/S等。
(三)價值
(1)硬件設計應滿足工業行業高壽命、運行環境苛刻復雜等特點,比如無風扇散熱設計、芯片支持-40℃~85℃;器件工作溫度支持-40℃~105℃;
(2)提供的產品功能應符合工業行業高效率、高性價比等要求,比如安全告警精準率高、安全事件自動按照優先級排序等。
4、成熟度評估等級
(一)CSMM1:基礎級。軟件功能基本滿足客戶業務需求,存在不超過3個需要升級版本的質量問題,硬件、外包裝、產品資料不影響客戶使用;產品性價比達到業界主流廠商水平。
(二)CSMM2:優化級。客戶對產品基本滿意,軟件功能基本滿足客戶業務需求,存在不超過1個需要升級版本的質量問題,在基礎級基礎上有了明顯優化,硬件、外包裝、產品資料視覺和交互均達到量化指標要求,產品性價比達到業界一流廠商水平。
(三)CSMM3:保證級。客戶對產品滿意,軟件功能滿足客戶業務需求,沒有需要升級版本的質量問題,產品從硬件、外包裝、產品資料到軟件功能及質量均能保證客戶場景應用需求,產品性價比達到國內頂尖水平。
(四)CSMM4:創新級。客戶對產品高度認可。軟件功能完全滿足客戶業務需求并有功能設計、交互上的創新,質量穩定可靠,硬件、外包裝、產品資料滿足保證級要求,產品性價比達到國際主流廠商水平。
(五)CSMM5:卓越級。客戶對產品超出預期的滿意,軟件功能不僅滿足客戶業務需求,且有業界開創級的功能設計和技術實現,質量零缺陷,硬件、外包裝、產品資料做工精良,性價比和競爭力達到國際一流廠商水平。
05.應用場景
下一代工業防火墻屬于網絡防火墻,部署應用在工業網絡邊界,充當網絡隔離器、采集器、分析器、控制器的作用。總結起來,下一代工業防火墻的應用場景主要有如下幾種:
(一) SCADA
圖2-5 SCADA系統示意圖
(二) DCS
圖2-6 DCS系統示意圖
(三) PLC
圖2-7 PLC控制系統示意圖
(四) BAS樓宇自動化系統
圖2-8 BAS樓宇自動化系統示意圖
(五) PAC(Physical Access System)安防控制系統
圖2-9 PAC安防控制系統示意圖
(六) SIS(Safety Instrumented System)安全保護系統
圖2-10 SIS安全保護系統示意圖
(七) IIoT(Industrial Internet of Things)物聯網
圖2-11 三層IIoT物聯網示意圖
在數字化轉型的大浪潮下,工業數字化轉型在如火如荼地進行之中。工業互聯網通過信息化和工業化深度融合、工業生產與互聯網模式有機融合、OT與IT主動融合等三大融合機制,成為工業數字化轉型的抓手。
工業互聯網讓3類企業、7大主體之間建立了9種方式的互聯,工業互聯網安全也在推動安全產品的更新換代。其中作為網絡隔離和訪問控制的安全防護產品即防火墻也必須適應這種發展趨勢。IT網絡防火墻從最初的包過濾防火墻,經歷狀態檢測防火墻、UTM發展到今天的下一代防火墻NGFW,面對今天的工業互聯網場景,工業防火墻也需要變革更新,以便于適應工業互聯網的三大融合所需要的安全防護需要。
因此,六方云結合對工業互聯網安全產業的思考和實踐,順應時代的發展,順勢推出下一代工業防火墻的概念,并盡可能準確地定義下一代工業防火墻,以供工業互聯網安全行業內的企業和專家參考。
