-
解决方案
2021-01-04浅析|工业网闸产品“新国标”一、标准发展历程随着工业化和信息化的深度融合,通用网络安全隔离与信息交换系统(以下简称传统网闸)在面对工业控制系统的安全防护时显得力不从心,例如极端恶劣工业环境中对安全设备的硬件要求极高,包括低功耗、宽温宽压、抗电磁干扰性,IP防护等级要求等,软件系统方面则需要满足正常稳定无误的运行,保障生产连续性。因此需要一种能应用于工业控制环境的网络安全隔离与信息交换系统(以下简称工业网闸)。实现对管理网和生产网进行安全隔离及适度的工业信息交换。
2020年3月1日,由公安部第三研究所起草,全国信息安全标准化技术委员会归口管理的《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》(GB/T 37934-2019)标准正式实施。安小盟将针对"新国标"的工业网闸标准范围、网闸定义、部署范围内容进行解读。二、工业网闸标准范围标准原文:"本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求、自身安全要求和安全保障要求。本标准适用于工业控制网络安全隔离与信息交换系统的设计、开发及测试。"安小盟浅析:工业网闸技术要求主要面向两类群体,一类为工业网闸制造厂商,要求其自身产品设计、开发和内部测试过程中需要遵循标准相关技术要求;另一类为产品测试机构和产品使用企业,使用该标准作为工业网闸的测试依据,例如,作为在产品的销售许可测试、政府或企业采购设备的准入测试、不同需求单位的招标选型测试的测试依据等。三、工业网闸定义标准原文:"工业控制网络安全隔离与信息交换系统部署于工业控制网络中不同的安全域之间,采用协议隔离技术实现两个安全域之间访问控制、协议转换、内容过滤和信息交换等功能的产品。"安小盟浅析:工业网闸可以部署在工业控制网络的不同安全域,例如生产网和管理网之间,生产网内不同区域之间等,起到域间边界隔离的功能。其次在功能上需要具备传统网闸基本的访问控制和应用层过滤防护功能,并且支持工业控制协议深度解析,能够实现规约合法性检查和深度功能码、操作码过滤功能。四、工业网闸部署位置标准原文:"工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界,保护的资产为工业控制网络;或者部署在生产管理层与过程监控层之间,保护的资产为过程监控层网络及现场控制层网络。"安小盟浅析:当工业网闸部署的位置是在工业控制网络边界,防护对象为整个工业控制网络。当工业网闸部署在工业控制网络的生产管理层和过程监控层,防护对象为过程监控层和现场控制层网络。关于层次模型,我们需要先了解,等保2.0中参考标准IEC 62264-1的层次结构模型划分,将工业控制系统分为5个层级,从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。
因此这里所说的工业网闸部署位置,就是指工业网闸可以部署在企业资源层和生产管理层之间(也就是通常说的管理网和生产网之间,防护对象为整个生产网)。那么也可以部署在生产网中的生产管理层和过程监控层之间(也就是生产网内不同安全域之间,防护对象为工程师站、操作员站及现场工控设备等)。需要注意的是上图为工业控制系统经典层次模型,但随着工业4.0、信息物理系统的发展,已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并,所以我们在客户实际环境中工业控制系统并不一定是严格按照这五个层次划分。与OSI七层模型与事实上的标准TCP/IP模型之间的关系类似。五、小结安盟华御工业安全隔离装置作为安盟信息自主研发的核心产品,在国内边界安全隔离市场出货量稳定。凭借十五余年安全隔离产品技术与应用的钻研和沉淀,安盟华御工业安全隔离装置可满足两化融合应用场景下《工控网络安全防护指南》、《GB/T22239-2019信息安全技术网络安全等级保护基本要求》相关的工控系统扩展防护要求。安盟华御工业安全隔离装置(简称工业网闸)基于工业级ARM芯片设计,具有高性价比、高可靠性、低能耗、无风扇全封闭设计等优势,能够良好的适应工控现场的恶劣物理环境。被广泛应用于智能制造、轨道交通、石油石化、电力、军工、航天、冶金、化工等高安全需求行业,并得到广大用户认可与好评。相关新闻
-
2025-04-28
-
2025-04-17
-
2025-04-17
-
2025-04-17
-
2025-04-17
-