信息系统防火墙存在哪些安全问题

信息系统防火墙存在以下安全问题：

• 信息系统防火墙无法分析工业控制协议及其漏洞威胁

  信息系统常见的协议有HTTP、FTP、SMTP、Telnet等，而工业系统却有其特定的工业控制协议，如OPC、Modbus、IEC104、DNP3.0、S7等。因为这些应用协议的不同，导致防火墙对协议的识别、解析、漏洞分析、威胁检测等方面的能力要求也不同，从而带来的防护手段也不同。

• 信息系统防火墙无法适用工业现场物理环境

  传统的信息系统通常设置在恒温、恒湿、无尘的环境下，而工业控制系统的现场物理环境却差异很大，相对信息系统环境要恶劣得多（如高低温、粉尘、潮湿、酸碱等），即使有独立的工业设备机架，其温度、湿度、粉尘情况也与信息系统环境相差甚远。这就要求防火墙硬件产品需要按照工业现场环境要求，做到全封闭、无风扇，支持-40℃～70℃，以及支持现场DIN导轨式部署等。

• 信息系统防火墙无法满足工业控制系统对可用性的要求

  工业控制系统以“可用性”为第一安全需求，设备使用年限一般在10年以上，不轻易做工业环境改造。一旦出现异常，首先要确保生产不停机。而信息系统以“保密性”为第一安全需求，设备使用年限一般为3～5年，要求快速迭代、性能冗余，一旦出现异常，要求确保信息不泄露。因此，两者对异常处理的目标不一样。

• 信息系统防火墙无法满足工业网络运维的要求

  为保证工业生产的稳定性和持续性，工业场景的设备不能频繁升级，不能频繁调试，不能为生产带来时延抖动等影响。而信息系统要求快 速迭代、频繁升级维护。因此在信息系统环境下需要对防火墙特征库、病毒库等经常升级才能保证防护效果；在工业环境下，这些条件基本无法满足，必须换一种方法进行产品的设计和运维。由于工业环境与信息系统环境的固有差异性，因此工业网络需要更有针对性、更为专业的工业防火墙。