隨著企業不斷追求更高運營效率而改變運營模式,操作技術 (OT) 系統和信息技術 (IT) 系統日益互聯。例如,沿石油管道部署的 SCADA 網絡現在可以收集石油輸出數據,這些數據對計費和定價系統至關重要。新增數據收集功能使公司不僅可以更準確地預測石油產量和輸出量,還可以測算預期收入。然而,值得注意的是,這些相互關聯的系統有利有弊。一大缺點是,OT 系統面臨網絡安全威脅的可能性顯著增加。正因如此,報紙標題和文章經常提到,IT 系統如遭受攻擊,將對 OT 系統造成巨大負面影響。IDC 臺灣區總經理在教育視頻安全對話第三集中介紹,勒索軟件攻擊現象越來越嚴重,使原本就十分復雜的問題變得更加棘手。這類惡意軟件利用 Windows 漏洞,攻擊防護薄弱的系統。
面對越來越多針對 OT 系統的網絡安全事件,企業主和監管機構迫切尋求提高工業網絡安全、保證企業正常運行的解決方案。在本文中,我們將介紹“深度防御”概念,助力企業利用現有網絡基礎設施和投資,構建網絡防御的第一道防線。之后,我們將討論工業入侵防御系統如何進一步保護 OT 系統,以及此類防御系統的好處和優勢。
安全邊界
什么是安全邊界?
要增強網絡安全,您必須先了解您的工業系統如何在不同系統間交換數據,以及它們如何連接到 IT 級系統。在最理想的情況下,當數據流量跨越不同系統時,系統之間應存在邊界,確保流量的安全性。即使已經過身份驗證和授權的訪問也會再度被核準。然而,在所有系統之間建立邊界十分困難,往往也很難實現,因為這涉及到大量開支,而且很可能不利于網絡通信效率。因此,我們強烈建議將 OT 系統劃分為不同的數字單元和區域,并建立邊界,在支出成本和適宜風險水平之間找到平衡。
示意圖:建立安全邊界,確保發生網絡安全事件時生產線不會相互影響
由 IEC 6244 3 網絡安全標準委員會推薦的“深度防御”方法已廣泛應用于各個行業,在幫助建立多層保護、滿足運營需求方面成效顯著。在下圖中,關鍵資產和生產運營處于最重要的位置。由于它們對企業至關重要,必須采取額外的安全防范措施,比如增加多層保護,進一步確保它們的安全。了解關于網絡安全不同層級的更多信息,請下載信息圖。
示意圖:深度防御安全概念基于多層安全機制,有助于提高整個系統的安全性
如何建立安全邊界
● 網絡分區
● 物理層分區
當兩個網絡在物理上隔離時,即形成氣隙。如果一個系統的操作和安全需要獨立維護,建立氣隙是可行解決方案。但是,如前所述,由于業務和操作需求,以這種方式設置網絡已變得越來越困難。
● 數據鏈路/二層、三層網絡分區
工業控制系統很可能已有幾十年的歷史。充分利用現有基礎設施,同時保障工業控制系統安全無虞,這不僅是企業的關鍵挑戰之一,也是網絡管理員的主要訴求。借助 VLAN(虛擬局域網)分隔不同網絡分區的流量是常用方法,也是網管型以太網交換機的功能之一。一些以太網交換機具備端口層訪問控制列表 (ACL),由于數據首先進入交換機,有助于提高 VLAN 的安全性。另一種方法是部署防火墻來保護工業應用和數據,這在處理二層、三層網絡流量時格外有效。
● 四至七層網絡分區
通過深層數據包檢測 (DPI) 技術可進一步分區,提供更精細的網絡流量控制,幫助您根據應用需求選擇工業協議。從理論上說,如果多個設備接入同一網絡,便能互相通信。然而,在具體情況下,控制器 A 可能只需要與機械臂 A 通信,這時 DPI 技術就能幫助工程師決定由哪個控制器執行讀寫命令,甚至決定流量傳輸方向。
● 網絡微分區
有時,關鍵資產需要額外保護。入侵防御系統 (IPS) 能實行網絡微分區,讓關鍵資產安全無虞。由于微分區將網絡劃分為更小的子網絡,大幅加固工業網絡安全。這種方式的好處在于,IPS 系統的虛擬補丁功能可以降低已知漏洞被攻擊的風險。例如,一些系統可能需要在 Windows XP 中運行,但微軟已停止對這款操作系統的更新支持。因此,即使是已知的漏洞,安全升級也并非易事。觀看視頻了解 IPS 虛擬補丁的運行原理。
● 安全遠程訪問
網絡安全專家認為,遠程桌面協議有時會被攻擊者利用,用于散播惡意軟件或進行未授權活動。為提高運行效率、快速排除故障,遠程連接日益普遍。因此,對在兩個現場之間建立安全邊界這一話題的討論越來越多。長遠看來,使用軟件搭建遠程連接很容易導致漏洞。因此,建立 VPN 隧道、確保訪問控制機制有效運作是更合適的手段。
典型場景
● 制造業
互聯互通的工廠網絡需要合理分區,加固工業網絡安全壁壘。此外,網絡冗余也是保障工業控制系統隨時可用的必要一環。
● 安全變電站監控
規模龐大的電網需要 IEC 61850 標準認證的 VPN 解決方案,監控每一個偏遠變電站中的智能電子設備 (IED)。
由于氣隙網絡不再具備足夠的優勢和安全性,企業主和工程師應通過網絡分區、微分區、安全遠程訪問等方式加強安全邊界。每種方式滿足不同網絡需求,助力網絡安全,不僅形成周邊防線,還能阻止未授權的橫向移動流量。Moxa 全新發布的 EDR-G9010 系列集防火墻、NAT、VPN、交換機、路由器于一身,能提高網絡安全,充分發揮現有網絡基礎設施的作用,讓企業主的投資得以經受時間的考驗。