在這個(gè)飛速發(fā)展的時(shí)代，各種機(jī)械設(shè)備通過網(wǎng)絡(luò)連接在一起，兩化融合已勢(shì)不可擋，工業(yè)控制系統(tǒng)也在利用最新的技術(shù)來提供控制系統(tǒng)間的集成、互聯(lián)、以及信息化管理水平。為了提高生產(chǎn)效率因應(yīng)「少量多樣」的生產(chǎn)型態(tài)，工業(yè)網(wǎng)絡(luò)的應(yīng)用會(huì)更加的開放與廣泛，但這同時(shí)也給工業(yè)網(wǎng)絡(luò)的安全性帶來了新的挑戰(zhàn)，最近頻頻發(fā)生的工業(yè)網(wǎng)絡(luò)安全事件就是最好的印證。那么究竟應(yīng)該如何提高工業(yè)網(wǎng)絡(luò)的安全性呢?
　　對(duì)此，來自Moxa的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品處產(chǎn)品經(jīng)理暨安全響應(yīng)小組組長彭立先先生在接受CONTROL ENGINEER China記者采訪的時(shí)候談了自己的看法以及應(yīng)對(duì)措施。

Moxa工業(yè)網(wǎng)絡(luò)安全產(chǎn)品處產(chǎn)品經(jīng)理暨安全響應(yīng)小組組長 彭立先

　　各取所長，優(yōu)勢(shì)互補(bǔ)
　　"企業(yè)現(xiàn)在最急需解決的工業(yè)網(wǎng)絡(luò)安全問題是促進(jìn)IT咨詢?nèi)藛T與控制工程師的知識(shí)互補(bǔ)，補(bǔ)充相互之間的專業(yè)知識(shí)欠缺，這樣才能提出一個(gè)由上往下的工業(yè)網(wǎng)絡(luò)安全整體解決方案，提高工業(yè)網(wǎng)絡(luò)的安全性，" 彭立先指出，一個(gè)企業(yè)中，對(duì)企業(yè)網(wǎng)絡(luò)安全性最熟悉的往往不是控制工程師，而是企業(yè)的IT人員，但是他們對(duì)于工控網(wǎng)絡(luò)安全的需求缺乏了解，難以為企業(yè)提出一個(gè)合適的解決方案。而對(duì)于控制工程師，他們對(duì)于工業(yè)控制系統(tǒng)的安全需求十分清楚，但是對(duì)于工業(yè)網(wǎng)絡(luò)安全性缺乏全面性的思考，很難對(duì)兩化融合后的網(wǎng)絡(luò)做出整體的安全性評(píng)估。只有兩者相互結(jié)合，各取所長，才能優(yōu)勢(shì)互補(bǔ)，提出合適的工業(yè)網(wǎng)絡(luò)安全解決方案。
　　至于怎么樣有效的加強(qiáng)互補(bǔ)，彭立先表示："應(yīng)該從兩方面著手，第一，參照相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，建立專業(yè)的人員培訓(xùn)機(jī)制，譬如IEC-62443；第二、由流程、人員管理到系統(tǒng)面，建立企業(yè)自身的全面評(píng)估模式。"
　　縱向過濾，橫向隔離
　　在面對(duì)來自外部的攻擊時(shí)，企業(yè)應(yīng)該如何應(yīng)對(duì)呢？彭立先提出了8字方針的縱深防御理念，即「縱向過濾，橫向隔離」：縱向從企業(yè)網(wǎng)絡(luò)一直到控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部的設(shè)備，每一個(gè)網(wǎng)絡(luò)環(huán)節(jié)都必須經(jīng)過過濾，不屬于工控網(wǎng)絡(luò)系統(tǒng)的信息都必須排除在外；橫向是指，每一整個(gè)工控系統(tǒng)都會(huì)有很多的子系統(tǒng)和設(shè)備，但是他們都是獨(dú)立運(yùn)行的，當(dāng)他們連接到同一個(gè)網(wǎng)絡(luò)之后，必須維持它們互不干擾的獨(dú)立操作的特性。
　　"隨著工業(yè)互聯(lián)網(wǎng)的迅速發(fā)展，用戶對(duì)于工業(yè)網(wǎng)絡(luò)安全越來越重視，具體表現(xiàn)在兩個(gè)方面：1、對(duì)于工控產(chǎn)品的安全性要求提高了，用戶更加注重產(chǎn)品或網(wǎng)絡(luò)發(fā)生故障之后還能保持運(yùn)行的性能；2、針對(duì)工業(yè)網(wǎng)絡(luò)設(shè)計(jì)的防火墻，一方面能夠針對(duì)工業(yè)的協(xié)議做一個(gè)深度的過濾跟檢查，另一方面能夠提供符合工業(yè)網(wǎng)絡(luò)架構(gòu) (如: 環(huán)網(wǎng)) 所設(shè)計(jì)的網(wǎng)絡(luò)安全產(chǎn)品，"彭立先重點(diǎn)介紹道。
　　對(duì)此，Moxa針對(duì)工業(yè)網(wǎng)絡(luò)安全制訂了3大策略；1、快速回應(yīng)，成立網(wǎng)絡(luò)安全回應(yīng)小組，在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞時(shí)，以最快的速度回應(yīng)，協(xié)助客戶的產(chǎn)品保持在最佳的安全狀態(tài)；2、提升產(chǎn)品的安全性，依照國際規(guī)范設(shè)計(jì)產(chǎn)品，加強(qiáng)產(chǎn)品本身的強(qiáng)固性；3、縱深防御的防火墻解決方案，針對(duì)工控網(wǎng)絡(luò)架構(gòu)所設(shè)計(jì)的網(wǎng)絡(luò)安全產(chǎn)品，給客戶提供縱深防御的工業(yè)級(jí)防火墻解決方案。
　　縱深防御的工業(yè)級(jí)防火墻解決方案
　　"Moxa的縱深防御策略包括工業(yè)防火墻以及VPN解決方案，"彭立先驕傲的介紹道，Moxa提供一系列的千兆安全路由器來保護(hù)通過公共網(wǎng)絡(luò)對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行遠(yuǎn)程的訪問，并為自動(dòng)化網(wǎng)絡(luò)提供多層次的深度保護(hù)。EDR系列擁有最高150 Mbps VPN吞吐量和500 Mbps防火墻吞吐量，為遠(yuǎn)程訪問以及關(guān)鍵設(shè)備提供安全保護(hù)。此外，EDR-810防火墻/NAT/VPN路由器增加了二層保護(hù)功能，利用了路由器/交換機(jī)二合一解決方案，客戶可以在不增加成本的情況下大大增強(qiáng)整體網(wǎng)絡(luò)的安全性，并且輕松實(shí)現(xiàn)：　　　　　　
　　關(guān)鍵設(shè)備的保護(hù)：EDR系列支持多種工業(yè)協(xié)議，為諸如PLC、RTU以及DCS等提供防火墻保護(hù)。
　　安全遠(yuǎn)程訪問：EDR-810使用IPSec和L2TP技術(shù)及最新的OpenVPN，可在工業(yè)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備之間創(chuàng)建加密的VPN通道，并支持第二層網(wǎng)絡(luò)透通 (如: 組播及VLAN的透通)，兼容于各種工業(yè)協(xié)議，適合用于多項(xiàng)遠(yuǎn)程監(jiān)控應(yīng)用如水處理、油氣、電力以及智能交通等工業(yè)網(wǎng)絡(luò)。
　　工業(yè)協(xié)議數(shù)據(jù)包檢測(cè)：所有的EDR路由器都支持PacketGuard檢測(cè)工具，除了一般的網(wǎng)絡(luò)協(xié)議 (如: TCP, UDP, MAC) 之外，用戶可以輕易地通過一次點(diǎn)擊來進(jìn)行深度的Modbus TCP協(xié)議檢測(cè)以及自動(dòng)化網(wǎng)絡(luò)數(shù)據(jù)過濾，確保SCADA系統(tǒng)在采集數(shù)據(jù)過程中的「只讀性」，避免非法的控制命令進(jìn)入PLC/RTU。
　　Moxa提供一整套完整的網(wǎng)絡(luò)安全解決方案來部署多層次的安全設(shè)施，全面性提高不同區(qū)段的自動(dòng)化網(wǎng)絡(luò)安全性。"Moxa縱深防御的工業(yè)級(jí)防火墻解決方案提供不同等級(jí)的安全保護(hù)，客戶對(duì)我們的解決方案非常滿意。"彭立先總結(jié)道，一方面Moxa的安全路由器是根據(jù)自動(dòng)化工程師的使用習(xí)慣而設(shè)計(jì)的，能夠提供圖像化的引導(dǎo)配置，使得工程師很容易將安全產(chǎn)品融入到工業(yè)控制系統(tǒng)；另一方面，Moxa的產(chǎn)品可以針對(duì)工業(yè)控制系統(tǒng)作深度的分析和過濾，避免不必要的系統(tǒng)停機(jī)和故障；此外，Moxa的All-in-one一體化防火墻解決方案為客戶的網(wǎng)絡(luò)安全部署提供了極大的便利性，不僅讓客戶在布署更高層次的工控系統(tǒng)網(wǎng)絡(luò)安全上不需付出更多的成本，同時(shí)也增強(qiáng)了整體網(wǎng)絡(luò)在匯聚后的安全性及穩(wěn)定性，大大提升了控制系統(tǒng)的生產(chǎn)率。