以仅仅做到动态端口跟踪还无法保证基于OPC协议的工业控制系统的安全。所以对OPC协议的进一步解析,催生了指令级防护工业防火墙,这也是目前市面上主流的工业防火墙。OPC协议的深度解析要求也加入到了工业防火墙国家标准的草稿中(此标准尚未正式发布)。下图是指令级防护工业防火墙的典型部署:图4指令级防护工业防火墙部署图部署在企业管理网和生产控制网边界处的指令级工业防火墙,深度解析OPC协议到指令级别,不仅可以跟踪OPC服务器和OPC客户端之间协商的动态端口,最小化开放生产控制网的端口,还对OPC客户端与OPC服务器之间传输的指令请求进行实时检测,对于不符合安全要求的操作指令进行拦截和报警,极大提升了基于OPC协议的工业控制系统的网络安全。除了做到指令防护外,还有更人性化一点的工业防火墙内置只读模板,满足使用OPC协议的大部分业务场景,因为使用OPC协议的工业控制现场一般只是用来采集数据,使用只读模板来防护完全满足现场安全要求。工业防火墙内置的只读模板一键部署,安全、方便,降低管理员维护成本,有效保障工业控制系统数据不被恶意篡改。优缺点比较产品功能安全性实现难度内置只读备注传统防火墙无法深度解析OPC协议低低不支持基本不适合部署在工业生产网的边界端口防护工业防火墙只能跟踪OPC协议动态端口中中不支持指令防护工业防火墙深度解析OPC协议到指令级高高有些支持比较符合工业生产网边界防护的需求,结论随着国家网络安全法的颁布和国家“中国制造2025”战略的要求,逐渐打破物理隔离的工业生产网络对安全的需求越来越迫切。对于生产现场有OPC协议的企业来讲,综合自身实力选择适合自己的安全防护产品显得越来越重要。而对OPC协议的解析到指令级还不够,后续还需要深度解析到OPC协议操作指令所操作的对象是否在安全范围内,对操作对象的值进行安全检测,确保OPC协议发送的每一个字节都是可识别、可控制、安全无害的。
全文预览
