在這個飛速發展的時代,各種機械設備通過網絡連接在一起,兩化融合已勢不可擋,工業控制系統也在利用最新的技術來提供控制系統間的集成、互聯、以及信息化管理水平。為了提高生產效率因應「少量多樣」的生產型態,工業網絡的應用會更加的開放與廣泛,但這同時也給工業網絡的安全性帶來了新的挑戰,最近頻頻發生的工業網絡安全事件就是最好的印證。那么究竟應該如何提高工業網絡的安全性呢?
對此,來自Moxa的工業網絡安全產品處產品經理暨安全響應小組組長彭立先先生在接受CONTROL ENGINEER China記者采訪的時候談了自己的看法以及應對措施。
Moxa工業網絡安全產品處產品經理暨安全響應小組組長 彭立先
各取所長,優勢互補
"企業現在最急需解決的工業網絡安全問題是促進IT咨詢人員與控制工程師的知識互補,補充相互之間的專業知識欠缺,這樣才能提出一個由上往下的工業網絡安全整體解決方案,提高工業網絡的安全性," 彭立先指出,一個企業中,對企業網絡安全性最熟悉的往往不是控制工程師,而是企業的IT人員,但是他們對于工控網絡安全的需求缺乏了解,難以為企業提出一個合適的解決方案。而對于控制工程師,他們對于工業控制系統的安全需求十分清楚,但是對于工業網絡安全性缺乏全面性的思考,很難對兩化融合后的網絡做出整體的安全性評估。只有兩者相互結合,各取所長,才能優勢互補,提出合適的工業網絡安全解決方案。
至于怎么樣有效的加強互補,彭立先表示:"應該從兩方面著手,第一,參照相關的網絡安全標準,建立專業的人員培訓機制,譬如IEC-62443;第二、由流程、人員管理到系統面,建立企業自身的全面評估模式。"
縱向過濾,橫向隔離
在面對來自外部的攻擊時,企業應該如何應對呢?彭立先提出了8字方針的縱深防御理念,即「縱向過濾,橫向隔離」:縱向從企業網絡一直到控制系統網絡內部的設備,每一個網絡環節都必須經過過濾,不屬于工控網絡系統的信息都必須排除在外;橫向是指,每一整個工控系統都會有很多的子系統和設備,但是他們都是獨立運行的,當他們連接到同一個網絡之后,必須維持它們互不干擾的獨立操作的特性。
"隨著工業互聯網的迅速發展,用戶對于工業網絡安全越來越重視,具體表現在兩個方面:1、對于工控產品的安全性要求提高了,用戶更加注重產品或網絡發生故障之后還能保持運行的性能;2、針對工業網絡設計的防火墻,一方面能夠針對工業的協議做一個深度的過濾跟檢查,另一方面能夠提供符合工業網絡架構 (如: 環網) 所設計的網絡安全產品,"彭立先重點介紹道。
對此,Moxa針對工業網絡安全制訂了3大策略;1、快速回應,成立網絡安全回應小組,在發現網絡安全漏洞時,以最快的速度回應,協助客戶的產品保持在最佳的安全狀態;2、提升產品的安全性,依照國際規范設計產品,加強產品本身的強固性;3、縱深防御的防火墻解決方案,針對工控網絡架構所設計的網絡安全產品,給客戶提供縱深防御的工業級防火墻解決方案。
縱深防御的工業級防火墻解決方案
"Moxa的縱深防御策略包括工業防火墻以及VPN解決方案,"彭立先驕傲的介紹道,Moxa提供一系列的千兆安全路由器來保護通過公共網絡對現場設備進行遠程的訪問,并為自動化網絡提供多層次的深度保護。EDR系列擁有最高150 Mbps VPN吞吐量和500 Mbps防火墻吞吐量,為遠程訪問以及關鍵設備提供安全保護。此外,EDR-810防火墻/NAT/VPN路由器增加了二層保護功能,利用了路由器/交換機二合一解決方案,客戶可以在不增加成本的情況下大大增強整體網絡的安全性,并且輕松實現:
關鍵設備的保護:EDR系列支持多種工業協議,為諸如PLC、RTU以及DCS等提供防火墻保護。
安全遠程訪問:EDR-810使用IPSec和L2TP技術及最新的OpenVPN,可在工業網絡和遠程設備之間創建加密的VPN通道,并支持第二層網絡透通 (如: 組播及VLAN的透通),兼容于各種工業協議,適合用于多項遠程監控應用如水處理、油氣、電力以及智能交通等工業網絡。
工業協議數據包檢測:所有的EDR路由器都支持PacketGuard檢測工具,除了一般的網絡協議 (如: TCP, UDP, MAC) 之外,用戶可以輕易地通過一次點擊來進行深度的Modbus TCP協議檢測以及自動化網絡數據過濾,確保SCADA系統在采集數據過程中的「只讀性」,避免非法的控制命令進入PLC/RTU。
Moxa提供一整套完整的網絡安全解決方案來部署多層次的安全設施,全面性提高不同區段的自動化網絡安全性。"Moxa縱深防御的工業級防火墻解決方案提供不同等級的安全保護,客戶對我們的解決方案非常滿意。"彭立先總結道,一方面Moxa的安全路由器是根據自動化工程師的使用習慣而設計的,能夠提供圖像化的引導配置,使得工程師很容易將安全產品融入到工業控制系統;另一方面,Moxa的產品可以針對工業控制系統作深度的分析和過濾,避免不必要的系統停機和故障;此外,Moxa的All-in-one一體化防火墻解決方案為客戶的網絡安全部署提供了極大的便利性,不僅讓客戶在布署更高層次的工控系統網絡安全上不需付出更多的成本,同時也增強了整體網絡在匯聚后的安全性及穩定性,大大提升了控制系統的生產率。