在這個飛速發(fā)展的時代，各種機械設(shè)備通過網(wǎng)絡(luò)連接在一起，兩化融合已勢不可擋，工業(yè)控制系統(tǒng)也在利用最新的技術(shù)來提供控制系統(tǒng)間的集成、互聯(lián)、以及信息化管理水平。為了提高生產(chǎn)效率因應(yīng)「少量多樣」的生產(chǎn)型態(tài)，工業(yè)網(wǎng)絡(luò)的應(yīng)用會更加的開放與廣泛，但這同時也給工業(yè)網(wǎng)絡(luò)的安全性帶來了新的挑戰(zhàn)，最近頻頻發(fā)生的工業(yè)網(wǎng)絡(luò)安全事件就是最好的印證。那么究竟應(yīng)該如何提高工業(yè)網(wǎng)絡(luò)的安全性呢?
　　對此，來自Moxa的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品處產(chǎn)品經(jīng)理暨安全響應(yīng)小組組長彭立先先生在接受CONTROL ENGINEER China記者采訪的時候談了自己的看法以及應(yīng)對措施。

Moxa工業(yè)網(wǎng)絡(luò)安全產(chǎn)品處產(chǎn)品經(jīng)理暨安全響應(yīng)小組組長 彭立先

　　各取所長，優(yōu)勢互補
　　"企業(yè)現(xiàn)在最急需解決的工業(yè)網(wǎng)絡(luò)安全問題是促進IT咨詢?nèi)藛T與控制工程師的知識互補，補充相互之間的專業(yè)知識欠缺，這樣才能提出一個由上往下的工業(yè)網(wǎng)絡(luò)安全整體解決方案，提高工業(yè)網(wǎng)絡(luò)的安全性，" 彭立先指出，一個企業(yè)中，對企業(yè)網(wǎng)絡(luò)安全性最熟悉的往往不是控制工程師，而是企業(yè)的IT人員，但是他們對于工控網(wǎng)絡(luò)安全的需求缺乏了解，難以為企業(yè)提出一個合適的解決方案。而對于控制工程師，他們對于工業(yè)控制系統(tǒng)的安全需求十分清楚，但是對于工業(yè)網(wǎng)絡(luò)安全性缺乏全面性的思考，很難對兩化融合后的網(wǎng)絡(luò)做出整體的安全性評估。只有兩者相互結(jié)合，各取所長，才能優(yōu)勢互補，提出合適的工業(yè)網(wǎng)絡(luò)安全解決方案。
　　至于怎么樣有效的加強互補，彭立先表示："應(yīng)該從兩方面著手，第一，參照相關(guān)的網(wǎng)絡(luò)安全標準，建立專業(yè)的人員培訓(xùn)機制，譬如IEC-62443；第二、由流程、人員管理到系統(tǒng)面，建立企業(yè)自身的全面評估模式。"
　　縱向過濾，橫向隔離
　　在面對來自外部的攻擊時，企業(yè)應(yīng)該如何應(yīng)對呢？彭立先提出了8字方針的縱深防御理念，即「縱向過濾，橫向隔離」：縱向從企業(yè)網(wǎng)絡(luò)一直到控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部的設(shè)備，每一個網(wǎng)絡(luò)環(huán)節(jié)都必須經(jīng)過過濾，不屬于工控網(wǎng)絡(luò)系統(tǒng)的信息都必須排除在外；橫向是指，每一整個工控系統(tǒng)都會有很多的子系統(tǒng)和設(shè)備，但是他們都是獨立運行的，當他們連接到同一個網(wǎng)絡(luò)之后，必須維持它們互不干擾的獨立操作的特性。
　　"隨著工業(yè)互聯(lián)網(wǎng)的迅速發(fā)展，用戶對于工業(yè)網(wǎng)絡(luò)安全越來越重視，具體表現(xiàn)在兩個方面：1、對于工控產(chǎn)品的安全性要求提高了，用戶更加注重產(chǎn)品或網(wǎng)絡(luò)發(fā)生故障之后還能保持運行的性能；2、針對工業(yè)網(wǎng)絡(luò)設(shè)計的防火墻，一方面能夠針對工業(yè)的協(xié)議做一個深度的過濾跟檢查，另一方面能夠提供符合工業(yè)網(wǎng)絡(luò)架構(gòu) (如: 環(huán)網(wǎng)) 所設(shè)計的網(wǎng)絡(luò)安全產(chǎn)品，"彭立先重點介紹道。
　　對此，Moxa針對工業(yè)網(wǎng)絡(luò)安全制訂了3大策略；1、快速回應(yīng)，成立網(wǎng)絡(luò)安全回應(yīng)小組，在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞時，以最快的速度回應(yīng)，協(xié)助客戶的產(chǎn)品保持在最佳的安全狀態(tài)；2、提升產(chǎn)品的安全性，依照國際規(guī)范設(shè)計產(chǎn)品，加強產(chǎn)品本身的強固性；3、縱深防御的防火墻解決方案，針對工控網(wǎng)絡(luò)架構(gòu)所設(shè)計的網(wǎng)絡(luò)安全產(chǎn)品，給客戶提供縱深防御的工業(yè)級防火墻解決方案。
　　縱深防御的工業(yè)級防火墻解決方案
　　"Moxa的縱深防御策略包括工業(yè)防火墻以及VPN解決方案，"彭立先驕傲的介紹道，Moxa提供一系列的千兆安全路由器來保護通過公共網(wǎng)絡(luò)對現(xiàn)場設(shè)備進行遠程的訪問，并為自動化網(wǎng)絡(luò)提供多層次的深度保護。EDR系列擁有最高150 Mbps VPN吞吐量和500 Mbps防火墻吞吐量，為遠程訪問以及關(guān)鍵設(shè)備提供安全保護。此外，EDR-810防火墻/NAT/VPN路由器增加了二層保護功能，利用了路由器/交換機二合一解決方案，客戶可以在不增加成本的情況下大大增強整體網(wǎng)絡(luò)的安全性，并且輕松實現(xiàn)：　　　　　　
　　關(guān)鍵設(shè)備的保護：EDR系列支持多種工業(yè)協(xié)議，為諸如PLC、RTU以及DCS等提供防火墻保護。
　　安全遠程訪問：EDR-810使用IPSec和L2TP技術(shù)及最新的OpenVPN，可在工業(yè)網(wǎng)絡(luò)和遠程設(shè)備之間創(chuàng)建加密的VPN通道，并支持第二層網(wǎng)絡(luò)透通 (如: 組播及VLAN的透通)，兼容于各種工業(yè)協(xié)議，適合用于多項遠程監(jiān)控應(yīng)用如水處理、油氣、電力以及智能交通等工業(yè)網(wǎng)絡(luò)。
　　工業(yè)協(xié)議數(shù)據(jù)包檢測：所有的EDR路由器都支持PacketGuard檢測工具，除了一般的網(wǎng)絡(luò)協(xié)議 (如: TCP, UDP, MAC) 之外，用戶可以輕易地通過一次點擊來進行深度的Modbus TCP協(xié)議檢測以及自動化網(wǎng)絡(luò)數(shù)據(jù)過濾，確保SCADA系統(tǒng)在采集數(shù)據(jù)過程中的「只讀性」，避免非法的控制命令進入PLC/RTU。
　　Moxa提供一整套完整的網(wǎng)絡(luò)安全解決方案來部署多層次的安全設(shè)施，全面性提高不同區(qū)段的自動化網(wǎng)絡(luò)安全性。"Moxa縱深防御的工業(yè)級防火墻解決方案提供不同等級的安全保護，客戶對我們的解決方案非常滿意。"彭立先總結(jié)道，一方面Moxa的安全路由器是根據(jù)自動化工程師的使用習(xí)慣而設(shè)計的，能夠提供圖像化的引導(dǎo)配置，使得工程師很容易將安全產(chǎn)品融入到工業(yè)控制系統(tǒng)；另一方面，Moxa的產(chǎn)品可以針對工業(yè)控制系統(tǒng)作深度的分析和過濾，避免不必要的系統(tǒng)停機和故障；此外，Moxa的All-in-one一體化防火墻解決方案為客戶的網(wǎng)絡(luò)安全部署提供了極大的便利性，不僅讓客戶在布署更高層次的工控系統(tǒng)網(wǎng)絡(luò)安全上不需付出更多的成本，同時也增強了整體網(wǎng)絡(luò)在匯聚后的安全性及穩(wěn)定性，大大提升了控制系統(tǒng)的生產(chǎn)率。