六方云工业防火墙行业典型应用之智能制造

2023-06-14 10:11 · 互联网　　　

随着工业化与信息化的深度融合，来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁。作为工业控制系统安全防护的关键产品，六方云工业防火墙已经在行业内处于*地位。并已广泛应用于智能制造、石油石化、电力、水利、钢铁等多个关基领域，与多家工业集团，大型企业级关基客户建立深度合作关系，为其工业控制系统的安全稳定运行提供有力保障。

下面，我们将介绍几种智能制造典型场景的解决方案，以展示智能制造安全防护的重要性和六方云工业防火墙的应用价值：

--------------------------钢铁行业解决方案--------------------------

随着互联网+、物联网和智能制造技术的发展，钢铁行业积极推进信息化建设，显著提升了钢铁行业的生产能力和管理水平。钢铁行业工控系统不断优化升级，这一发展过程中，工业控制系统的网络安全面临着重大挑战。在全球信息化飞速发展的新形势下，如何确保钢铁行业工控系统的信息安全，一直备受重视。

安全现状与风险

网络互连互通，缺少防护：工业互联网的发展打通了内外部数据的流量交互，各控制系统和区域边界缺乏有效的安全防护技术和机制，无法实时发现和应对来自系统内部和外部的非法访问和恶意攻击。

通信协议自身缺陷：工业通信协议设计之初对安全性考虑不足，存在现场数据、协议内容被篡改或利用的风险。

解决方案

鉴于当前钢铁行业工控系统安全现状，若要实现对工业网络的不同层级不同区域的纵深防护，需要对工业网络内部通信的各种数据采集协议和控制协议进行深度解析，对工控网络进行区域划分与隔离。

工业防火墙部署在各子车间与核心交换机之间，进行多域间业务逻辑隔离。

工业防火墙部署在OPC服务器与生产管理层之间，防护来自生产管理层和联网的恶意攻击。

部署监管平台系统，对现场所有防火墙进行集中管理。

客户价值

精细化访问控制：通过在域间部署工业防火墙产品，对各区域之间互访的流量进行精细化的控制，从而达到网络分区分域的目的。安全区域精细划分，满足客户复杂组网需求。

可信数据访问：保证生产管理层的可信任主机访问OPC服务器的合法数据，确保生产管理层和互联网的设备受到恶意攻击后，工控网络不会受到影响，保证工控网络正常运行。

指令级访问控制：基于指令级的访问控制，对各区域之间工业协议传输行为进行精细化的控制。识别工控协议中的指令是否合规，保障工控现场业务的正常进行。

运维成本降低：通过监管平台进行防火墙状态监控及策略下发，降低运维成本。

------------------------汽车制造行业解决方案------------------------

改革开放后，我国经过四十多年快速发展，已跃升为世界汽车产销第一大国，汽车产业成为国民经济重要的支柱产业。汽车制造工业控制系统通过网络技术与不同层级和系统间互联互通，在提高企业的生产效益的同时打破了传统工业领域相对封闭“孤立”的环境，这也带来了很多网络风险。

安全现状与风险

缺乏边界访问控制措施：管理网络与生产网络之间、生产网络生产区与控制区之间、各生产区域之间、远程接入、无线接入缺乏必要的隔离控制措施。

难以防范工控恶意攻击：窃取关键数据、配方、控制程序等，篡改关键控制参数与程序，难以基于工业协议识别恶意操作

解决方案

在各车间工业控制系统生产网和管理网边界部署工业防火墙，进行管理网和生产网的逻辑隔离，对两网间数据交换进行安全防护。

在重要PLC与工业交换机之间部署导轨式工业防火墙，利用工控漏洞特征库对PLC进行入侵防护，同时基于工业白名单对工业协议进行指令级的防护。

客户价值

避免由于信息安全问题导致的工控设备安全故障，确保生产工作的安全和稳定运行。

利用工业协议解析引擎，对工控数据进行“完整性”、“功能码”、“地址范围”、“工艺参数范围”四重深度解析和过滤，及时发现可疑指令和恶意数据，保障业务数据安全。

----------------------精密仪器制造行业解决方案----------------------

先进制造类的工控系统以高端数控机床、工业机器人、测试床等几类为主。机床一般有铣床、磨床、洗床、加工中心等，主体品牌有西门子、法兰克、马扎克等国外品牌,以及海天龙门、永进等国内品牌。伴随两化融合的实施，先进制造业生产制造中的信息安全问题显得越来越突出，一旦网络被攻陷，不仅会破坏精密机床设备，也会泄密企业的技术信息，一方面损坏企业形象，另一方面会对国家和社会造成严重不良影响。

安全风险与现状分析

缺乏工业控制网与办公网的隔离，办公网受到攻击可能会影响工控业务的正常运行。

工业控制网络区域间缺乏隔离、恶意代码和异常监测等防护措施，容易受到病毒和攻击的影响，甚至可能影响整个车间或公司的运作。

OPC通信协议漏洞无有效防护：OPC协议通信采用的是DCOM技术，其通信端口在1024~65535内不固定，导致使用传统基于端口或IP地址的常规IT类防火墙在这个层面难以有效隔离和防护，且无法不满足最小授权防护原则，OPC通讯协议的工业控制系统安全性和可靠性成为一个安全技术难题。

解决方案

在办公网与工业控制网络间部署IOT融合网关，阻止来自办公网的入侵攻击渗透到工业控制网络。

在各车间出口部署工业防火墙产品进行区域隔离，通过海量的工业漏洞攻击行为特征库，有效防御入侵攻击。

在关键工控设备前端部署导轨式工业防火墙，内置工业通讯协议深度解析引擎，支持多种工业协议识别及管控，能够针对OPC的动态端口、OPC读写控制、停止连接、OPC操作接口、操作码等指令的控制与防护。