网闸的由来
网闸(全称:安全隔离与信息交换系统)是从安全隔离的概念演变而来。上世纪90年代中期俄罗斯人Ry Jones提出“Air Gap”安全隔离概念,接着,以色列研制成功物理隔离卡,实现网络之间的安全隔离;后来,美国和以色列又先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在安全隔离的情况下,进行数据安全交换。
我国的安全隔离技术的发展也经历了类似过程,从最早的完全物理隔离,到物理隔离卡,再到随着技术发展,我国对于数据安全的要求和管理也逐渐规范化和标准化,政府机关、军工等涉及数据敏感的组织,到医院、生产制造业等单位,都会涉及到机密数据的维护,网络隔离也被广泛应用到日常中;但网络隔离是出于数据安全考虑,在正常的业务开展中,不同网络之间却客观存在数据交换的需求,企业的数据传递需求并不会因为网络的隔离而消失,因此,网闸应运而生。
网闸定义
网络隔离产品一般以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成。网络隔离产品用于连接两个不同的安全域,实现两个安全域之间应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。
网闸与防火墙的区别
网闸发展历史
网闸产品分类
传统网闸
典型部署
核心功能
1、安全访问:具备对网页、邮件、文件、数据库等应用进行跨区域安全访问。
2、文件同步:具备SMB、FTP、SFTP、NFS等多种文件协议,实现内网到外网、外网到内网、内外网双向的文件同步。
3、数据库同步:具备ORACLE、SQLSERVER、MYSQL、POSTGRESQL、DB2、Sybase等多种主流数据库单、双向数据同步。
工业网闸
应用场景
工业控制系统已广泛应用于我国水利、石化、交通运输以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。随着信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
此时,专门应用于工控系统的工业网闸应运而生。工业网闸在传统网闸的基础之上,加入了对OPC、Modbus/TCP等工业协议的深度解析能力,确保只有可信任的命令返回生产网络,保障生产控制系统中的数据安全有效的传递。
典型部署
核心功能
2、协议深度指令控制:具备对工业协议指令级控制,实现对功能码、线圈值、值域范围等参数的控制。
3、安全审计:实时监测和记录系统运行状态、网络流量情况、工业协议数据交换行为及用户操作记录。
单向光闸
应用场景
典型部署
核心功能
2、文件单向传输:具备基于FTP、SMB、NFS等协议的文件单向同步,确保文件只能从非涉密网向涉密网传输,中间不存在任何数据包反馈。
3、数据库单向同步:具备对SQLSERVER、MYSQL、POSTGRESQL等主流数据库单向同步。
电力专用单向隔离装置
应用场景
典型部署
核心功能
2、电力专用签名认证:正向或反向隔离装置接收数据后,需进行签名验证,并对数据进行内容过滤、有效性检查等处理。
3、实时报警:当发生非法入侵、装置异常、通信中断或丢失应用数据时,可立即输出报警信息。
网闸在数据采集场景的应用
应用场景
危险化学品风险监测预警系统用于监测化工企业的危险化学品储存及生产装置实时数据及预警、可燃有毒气体数据及预警、危险化工工艺、安全参数监测预警等信息,可以有效防范化解重大安全风险,有力保护人民群众生命财产安全。《危险化学品安全生产风险监测预警系统建设技术指导书》要求物联网采集设备采用内置或外接网闸,在电路上切断网络之间的链路层连接,从而使数据的单向传输,保证企业工控系统以及生产网的安全。
如何满足数采场景要求?
为了满足相关法规要求、保障内网和数据安全、准确采集上传的需求,目前主要有两种解决方案:第一种是采用数据采集器外接网闸,第二种是采用在工业网闸上集成数据采集功能的数采网闸。
1、数据采集器+网闸典型部署:
2、数采网闸典型部署:
结语
上文简要分析了网闸的概念、发展历史、产品分类,帮助大家更加清楚地了解网闸。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,网闸作为不同安全域之间的安全隔离产品,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统,网闸功能、特性也会根据不同行业需求得到进一步的发展。
1.向软件化、虚拟化方向发展。随着虚拟化技术的不断发展和普及,新一代网闸也要向虚拟化和软件化方向发展。
2.向国产化的方向发展。新一代网闸还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式,保障网闸自身绝对安全、自主可控。
威努特目前在安全隔离领域有多年积累,具备卓越的创新能力和丰富的技术储备,产品广泛应用于电力、轨交、智能制造、政府等行业。未来,威努特将继续深耕安全隔离领域,从芯片、操作系统等方面对网闸产品进行全国产化的改造,实现自主可控;并且将网闸、入侵检测产品、防病毒网关、下一代防火墙等边界类产品进行功能融合,实现边界防护能力的全面提升。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):什么是“网闸”?漫谈网闸的前世今生
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论