工業網絡安全不再是某種奢侈的可選項,而成為企業必需采取的防護舉措。近期,工業關鍵基礎設施屢屢遭受網絡攻擊,愈發凸顯加固工業企業網絡安全的必要性。不管是什么行業,都面臨著種種潛在威脅。近年發生的網絡安全事件包括美國一條燃油管道因網絡攻擊被迫關停1,黑客索要數百萬美元的贖金;英國一家鐵路公司2遭勒索軟件攻擊,自助售票系統癱瘓。毫無疑問,此類網絡攻擊會給工業運營商和終端用戶造成巨大損失和種種不便。更為糟糕的是,人們幾乎無法預測下一次網絡攻擊將發生在何處,這意味著任何人或事物只要聯網,就有可能成為攻擊對象。
為了提高網絡安全性,企業可以更換原先設備,使用內置安全功能的新型產品。然而,更換設備的成本高昂,且部署安裝要耗費大量時間精力。此外,您原先的設備很可能仍然性能良好。更為現實的選擇是更新現有設備的安全補丁。不過,某些既有設備使用的仍然是陳舊的操作系統(如 Windows XP 系統),無法支持最新的安全補丁。在本文中,我們將討論工業企業面臨的挑戰,以及如何以最小代價提升網絡安全。
保護邊緣網絡挑戰重重
為提升運行效率,工業企業必須充分利用現代網絡的優勢,進行實時遠程監控。然而,這也意味任何現場設備都不再是孤立運行。企業面臨的首要挑戰是,要將使用 RS-232/422/485 串口通信的既有設備連接到使用以太網通信的局域網 (LAN) 或互聯網。根據您的應用需求,為實現透明傳輸或協議轉換選擇串口設備聯網服務器、協議網關等串口轉以太網設備,便能將串口設備接入以太網絡。不過,一旦既有設備聯網,種種安全隱患就會顯露;如果聯網設備沒有得到妥善保護,安全隱患將更為嚴峻。因此,在不更換既有串口設備的情況下,要想確保聯網安全性,關鍵在于找到安全的串口轉以太網設備。
如何選擇一款安全的串口設備聯網產品
如今,已有 IEC 62443、NERC CIP 等工業網絡安全標準,有助于保障工業網絡基礎設施的安全性。安全標準提供的指南能幫助用戶驗證聯網設備是否合格,零部件供應商是否擁有相應資質。根據這些指南可以輕松找到一款安全性好、符合工業安全標準的串口轉以太網設備。Moxa 是已獲 IEC 62443-4-1 標準認證的聯網方案提供商,遵循 IEC 62443-4-2 標準設計了多款串口設備聯網產品。這些產品擁有內置安全功能,提高了網絡安全性,減少未獲授權的訪問者通過這些產品入侵串口設備的幾率。閱讀相關文章,了解保護既有系統的更多安全建議。
真實案例:用 Moxa 解決方案提升網絡安全
Moxa 串口設備聯網服務器和協議網關安全性高,幫助客戶大幅增強了一系列工業應用的聯網安全性。為了展現 Moxa 助力客戶提升網絡安全的具體過程,我們選用兩個真實示例,展示 NPort 6150 串口設備聯網服務器和 MGate MB3000 協議網關如何加強能源行業的網絡安全。
提升數百個加油站的聯網安全
一家在美國擁有 600 多個加油站的運營商需要通過自動液位計實時監測油罐內液位高度(自動液位計通常使用串口),若遠程監測發現站點油量不足,便會安排補充庫存。加油站也需要將油泵處 POS 終端的數據發送回門店,進行交易處理和記錄。上述網絡連接對安全性要求很高。需保證油罐內液位信息高度安全,以防非法操縱;POS 數據包含消費者的機密信息,也需要加以保護。為加強聯網安全,必須保護加油站與門店內 IT 機房間的網絡連接。此外,為確保互聯設備在符合安全標準的條件下運行,IT 工作人員必須定期進行漏洞掃描,更新固件和安全補丁,保證通信系統安全無虞。
Moxa NPort 6150 串口設備聯網服務器具有基礎安全功能,如用戶身份認證和可訪問 IP 列表,通過控制設備訪問提高設備安全性。在運行時,Moxa 產品支持數據加密功能,能增強經由以太網傳輸串口數據的安全性。為了方便 IT 人員進行日常維護,NPort 6150 串口設備聯網服務器支持多種工具,讓配置和管理大量設備不再繁瑣。
增強數據中心的網絡安全
某數據中心服務提供商及其數據中心經常成為網絡入侵者的目標,在過去五年內多次遭受數據丟失,造成重大損失。為了降低遭遇黑客攻擊的風險,保障網絡安全已成為公司的重中之中。他們的安全風險評估不僅關注服務器機房中的漏洞,還將范圍擴大至所有網絡入口,包括為服務器機房供電的設備。
為了監測用電情況和電能質量,電源供應設備(包括開關設備、PDU 和 UPS)需要聯網,以便運維人員接收實時信息。Moxa MGate MB3000 協議網關在基于串口的 Modbus RTU 傳輸模式設備(如在電源供應設備內安裝的電表)與控制中心基于以太網的 SCADA 系統之間建立通信網橋。當公司 IT 人員需要進行漏洞掃描時,他們必須掃描數千個 MGate MB3000 協議網關,一旦發現漏洞,就能立即采取行動。
為了減輕 IT 人員的工作量,Moxa 也會定期進行漏洞掃描,并在必要時采取更新安全補丁和固件等措施,減少潛在威脅。此外,MGate MB3000 協議網關擁有一款方便易用的配置工具,支持 GUI 和 CLI 兩種顯示格式,幫助 OT 和 IT 用戶輕松處理大規模固件更新。該系列協議網關不僅讓客戶得以監控串口設備的用電情況,同時也減少了安全隱患,減輕了日常運維的工作量。
憑借30余年串口設備聯網方案開發經驗,我們致力于提供安全方案,將串口設備聯入以太網,滿足各類工業應用的未來需求。如果您需要串口設備安全聯網方案,請使用我們的產品選擇表。若想了解 Moxa 在串口通信領域的發展詳情,請訪問我們的微網站。
參考文獻:
1https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
2https://www.securityweek.com/ransomware-attack-uk-rail-system-spray-and-pray-or-targeted