隨著企業(yè)不斷追求更高運(yùn)營(yíng)效率而改變運(yùn)營(yíng)模式,操作技術(shù) (OT) 系統(tǒng)和信息技術(shù) (IT) 系統(tǒng)日益互聯(lián)。例如,沿石油管道部署的 SCADA 網(wǎng)絡(luò)現(xiàn)在可以收集石油輸出數(shù)據(jù),這些數(shù)據(jù)對(duì)計(jì)費(fèi)和定價(jià)系統(tǒng)至關(guān)重要。新增數(shù)據(jù)收集功能使公司不僅可以更準(zhǔn)確地預(yù)測(cè)石油產(chǎn)量和輸出量,還可以測(cè)算預(yù)期收入。然而,值得注意的是,這些相互關(guān)聯(lián)的系統(tǒng)有利有弊。一大缺點(diǎn)是,OT 系統(tǒng)面臨網(wǎng)絡(luò)安全威脅的可能性顯著增加。正因如此,報(bào)紙標(biāo)題和文章經(jīng)常提到,IT 系統(tǒng)如遭受攻擊,將對(duì) OT 系統(tǒng)造成巨大負(fù)面影響。IDC 臺(tái)灣區(qū)總經(jīng)理在教育視頻安全對(duì)話第三集中介紹,勒索軟件攻擊現(xiàn)象越來(lái)越嚴(yán)重,使原本就十分復(fù)雜的問(wèn)題變得更加棘手。這類惡意軟件利用 Windows 漏洞,攻擊防護(hù)薄弱的系統(tǒng)。
面對(duì)越來(lái)越多針對(duì) OT 系統(tǒng)的網(wǎng)絡(luò)安全事件,企業(yè)主和監(jiān)管機(jī)構(gòu)迫切尋求提高工業(yè)網(wǎng)絡(luò)安全、保證企業(yè)正常運(yùn)行的解決方案。在本文中,我們將介紹“深度防御”概念,助力企業(yè)利用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施和投資,構(gòu)建網(wǎng)絡(luò)防御的第一道防線。之后,我們將討論工業(yè)入侵防御系統(tǒng)如何進(jìn)一步保護(hù) OT 系統(tǒng),以及此類防御系統(tǒng)的好處和優(yōu)勢(shì)。
安全邊界
什么是安全邊界?
要增強(qiáng)網(wǎng)絡(luò)安全,您必須先了解您的工業(yè)系統(tǒng)如何在不同系統(tǒng)間交換數(shù)據(jù),以及它們?nèi)绾芜B接到 IT 級(jí)系統(tǒng)。在最理想的情況下,當(dāng)數(shù)據(jù)流量跨越不同系統(tǒng)時(shí),系統(tǒng)之間應(yīng)存在邊界,確保流量的安全性。即使已經(jīng)過(guò)身份驗(yàn)證和授權(quán)的訪問(wèn)也會(huì)再度被核準(zhǔn)。然而,在所有系統(tǒng)之間建立邊界十分困難,往往也很難實(shí)現(xiàn),因?yàn)檫@涉及到大量開(kāi)支,而且很可能不利于網(wǎng)絡(luò)通信效率。因此,我們強(qiáng)烈建議將 OT 系統(tǒng)劃分為不同的數(shù)字單元和區(qū)域,并建立邊界,在支出成本和適宜風(fēng)險(xiǎn)水平之間找到平衡。
示意圖:建立安全邊界,確保發(fā)生網(wǎng)絡(luò)安全事件時(shí)生產(chǎn)線不會(huì)相互影響
由 IEC 6244 3 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)委員會(huì)推薦的“深度防御”方法已廣泛應(yīng)用于各個(gè)行業(yè),在幫助建立多層保護(hù)、滿足運(yùn)營(yíng)需求方面成效顯著。在下圖中,關(guān)鍵資產(chǎn)和生產(chǎn)運(yùn)營(yíng)處于最重要的位置。由于它們對(duì)企業(yè)至關(guān)重要,必須采取額外的安全防范措施,比如增加多層保護(hù),進(jìn)一步確保它們的安全。了解關(guān)于網(wǎng)絡(luò)安全不同層級(jí)的更多信息,請(qǐng)下載信息圖。
示意圖:深度防御安全概念基于多層安全機(jī)制,有助于提高整個(gè)系統(tǒng)的安全性
如何建立安全邊界
● 網(wǎng)絡(luò)分區(qū)
● 物理層分區(qū)
當(dāng)兩個(gè)網(wǎng)絡(luò)在物理上隔離時(shí),即形成氣隙。如果一個(gè)系統(tǒng)的操作和安全需要獨(dú)立維護(hù),建立氣隙是可行解決方案。但是,如前所述,由于業(yè)務(wù)和操作需求,以這種方式設(shè)置網(wǎng)絡(luò)已變得越來(lái)越困難。
● 數(shù)據(jù)鏈路/二層、三層網(wǎng)絡(luò)分區(qū)
工業(yè)控制系統(tǒng)很可能已有幾十年的歷史。充分利用現(xiàn)有基礎(chǔ)設(shè)施,同時(shí)保障工業(yè)控制系統(tǒng)安全無(wú)虞,這不僅是企業(yè)的關(guān)鍵挑戰(zhàn)之一,也是網(wǎng)絡(luò)管理員的主要訴求。借助 VLAN(虛擬局域網(wǎng))分隔不同網(wǎng)絡(luò)分區(qū)的流量是常用方法,也是網(wǎng)管型以太網(wǎng)交換機(jī)的功能之一。一些以太網(wǎng)交換機(jī)具備端口層訪問(wèn)控制列表 (ACL),由于數(shù)據(jù)首先進(jìn)入交換機(jī),有助于提高 VLAN 的安全性。另一種方法是部署防火墻來(lái)保護(hù)工業(yè)應(yīng)用和數(shù)據(jù),這在處理二層、三層網(wǎng)絡(luò)流量時(shí)格外有效。
● 四至七層網(wǎng)絡(luò)分區(qū)
通過(guò)深層數(shù)據(jù)包檢測(cè) (DPI) 技術(shù)可進(jìn)一步分區(qū),提供更精細(xì)的網(wǎng)絡(luò)流量控制,幫助您根據(jù)應(yīng)用需求選擇工業(yè)協(xié)議。從理論上說(shuō),如果多個(gè)設(shè)備接入同一網(wǎng)絡(luò),便能互相通信。然而,在具體情況下,控制器 A 可能只需要與機(jī)械臂 A 通信,這時(shí) DPI 技術(shù)就能幫助工程師決定由哪個(gè)控制器執(zhí)行讀寫命令,甚至決定流量傳輸方向。
● 網(wǎng)絡(luò)微分區(qū)
有時(shí),關(guān)鍵資產(chǎn)需要額外保護(hù)。入侵防御系統(tǒng) (IPS) 能實(shí)行網(wǎng)絡(luò)微分區(qū),讓關(guān)鍵資產(chǎn)安全無(wú)虞。由于微分區(qū)將網(wǎng)絡(luò)劃分為更小的子網(wǎng)絡(luò),大幅加固工業(yè)網(wǎng)絡(luò)安全。這種方式的好處在于,IPS 系統(tǒng)的虛擬補(bǔ)丁功能可以降低已知漏洞被攻擊的風(fēng)險(xiǎn)。例如,一些系統(tǒng)可能需要在 Windows XP 中運(yùn)行,但微軟已停止對(duì)這款操作系統(tǒng)的更新支持。因此,即使是已知的漏洞,安全升級(jí)也并非易事。觀看視頻了解 IPS 虛擬補(bǔ)丁的運(yùn)行原理。
● 安全遠(yuǎn)程訪問(wèn)
網(wǎng)絡(luò)安全專家認(rèn)為,遠(yuǎn)程桌面協(xié)議有時(shí)會(huì)被攻擊者利用,用于散播惡意軟件或進(jìn)行未授權(quán)活動(dòng)。為提高運(yùn)行效率、快速排除故障,遠(yuǎn)程連接日益普遍。因此,對(duì)在兩個(gè)現(xiàn)場(chǎng)之間建立安全邊界這一話題的討論越來(lái)越多。長(zhǎng)遠(yuǎn)看來(lái),使用軟件搭建遠(yuǎn)程連接很容易導(dǎo)致漏洞。因此,建立 VPN 隧道、確保訪問(wèn)控制機(jī)制有效運(yùn)作是更合適的手段。
典型場(chǎng)景
● 制造業(yè)
互聯(lián)互通的工廠網(wǎng)絡(luò)需要合理分區(qū),加固工業(yè)網(wǎng)絡(luò)安全壁壘。此外,網(wǎng)絡(luò)冗余也是保障工業(yè)控制系統(tǒng)隨時(shí)可用的必要一環(huán)。
● 安全變電站監(jiān)控
規(guī)模龐大的電網(wǎng)需要 IEC 61850 標(biāo)準(zhǔn)認(rèn)證的 VPN 解決方案,監(jiān)控每一個(gè)偏遠(yuǎn)變電站中的智能電子設(shè)備 (IED)。
由于氣隙網(wǎng)絡(luò)不再具備足夠的優(yōu)勢(shì)和安全性,企業(yè)主和工程師應(yīng)通過(guò)網(wǎng)絡(luò)分區(qū)、微分區(qū)、安全遠(yuǎn)程訪問(wèn)等方式加強(qiáng)安全邊界。每種方式滿足不同網(wǎng)絡(luò)需求,助力網(wǎng)絡(luò)安全,不僅形成周邊防線,還能阻止未授權(quán)的橫向移動(dòng)流量。Moxa 全新發(fā)布的 EDR-G9010 系列集防火墻、NAT、VPN、交換機(jī)、路由器于一身,能提高網(wǎng)絡(luò)安全,充分發(fā)揮現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的作用,讓企業(yè)主的投資得以經(jīng)受時(shí)間的考驗(yàn)。