构建安全边界,提升工业网络安全
供稿:摩莎科技(上海)有限公司
- 关键词:摩莎,工业网络安全,安全路由器
- 摘要:随着企业不断追求更高运营效率而改变运营模式,操作技术 (OT) 系统和信息技术 (IT) 系统日益互联。
随着企业不断追求更高运营效率而改变运营模式,操作技术 (OT) 系统和信息技术 (IT) 系统日益互联。例如,沿石油管道部署的 SCADA 网络现在可以收集石油输出数据,这些数据对计费和定价系统至关重要。新增数据收集功能使公司不仅可以更准确地预测石油产量和输出量,还可以测算预期收入。然而,值得注意的是,这些相互关联的系统有利有弊。一大缺点是,OT 系统面临网络安全威胁的可能性显著增加。正因如此,报纸标题和文章经常提到,IT 系统如遭受攻击,将对 OT 系统造成巨大负面影响。IDC 台湾区总经理在教育视频安全对话第三集中介绍,勒索软件攻击现象越来越严重,使原本就十分复杂的问题变得更加棘手。这类恶意软件利用 Windows 漏洞,攻击防护薄弱的系统。
面对越来越多针对 OT 系统的网络安全事件,企业主和监管机构迫切寻求提高工业网络安全、保证企业正常运行的解决方案。在本文中,我们将介绍“深度防御”概念,助力企业利用现有网络基础设施和投资,构建网络防御的第一道防线。之后,我们将讨论工业入侵防御系统如何进一步保护 OT 系统,以及此类防御系统的好处和优势。
安全边界
什么是安全边界?
要增强网络安全,您必须先了解您的工业系统如何在不同系统间交换数据,以及它们如何连接到 IT 级系统。在最理想的情况下,当数据流量跨越不同系统时,系统之间应存在边界,确保流量的安全性。即使已经过身份验证和授权的访问也会再度被核准。然而,在所有系统之间建立边界十分困难,往往也很难实现,因为这涉及到大量开支,而且很可能不利于网络通信效率。因此,我们强烈建议将 OT 系统划分为不同的数字单元和区域,并建立边界,在支出成本和适宜风险水平之间找到平衡。
示意图:建立安全边界,确保发生网络安全事件时生产线不会相互影响
由 IEC 6244 3 网络安全标准委员会推荐的“深度防御”方法已广泛应用于各个行业,在帮助建立多层保护、满足运营需求方面成效显著。在下图中,关键资产和生产运营处于最重要的位置。由于它们对企业至关重要,必须采取额外的安全防范措施,比如增加多层保护,进一步确保它们的安全。了解关于网络安全不同层级的更多信息,请下载信息图。
示意图:深度防御安全概念基于多层安全机制,有助于提高整个系统的安全性
如何建立安全边界
网络分区
物理层分区
当两个网络在物理上隔离时,即形成气隙。如果一个系统的操作和安全需要独立维护,建立气隙是可行解决方案。但是,如前所述,由于业务和操作需求,以这种方式设置网络已变得越来越困难。
数据链路/二层、三层网络分区
工业控制系统很可能已有几十年的历史。充分利用现有基础设施,同时保障工业控制系统安全无虞,这不仅是企业的关键挑战之一,也是网络管理员的主要诉求。借助 VLAN(虚拟局域网)分隔不同网络分区的流量是常用方法,也是网管型以太网交换机的功能之一。一些以太网交换机具备端口层访问控制列表 (ACL),由于数据首先进入交换机,有助于提高 VLAN 的安全性。另一种方法是部署防火墙来保护工业应用和数据,这在处理二层、三层网络流量时格外有效。
四至七层网络分区
通过深层数据包检测 (DPI) 技术可进一步分区,提供更精细的网络流量控制,帮助您根据应用需求选择工业协议。从理论上说,如果多个设备接入同一网络,便能互相通信。然而,在具体情况下,控制器 A 可能只需要与机械臂 A 通信,这时 DPI 技术就能帮助工程师决定由哪个控制器执行读写命令,甚至决定流量传输方向。
网络微分区
有时,关键资产需要额外保护。入侵防御系统 (IPS) 能实行网络微分区,让关键资产安全无虞。由于微分区将网络划分为更小的子网络,大幅加固工业网络安全。这种方式的好处在于,IPS 系统的虚拟补丁功能可以降低已知漏洞被攻击的风险。例如,一些系统可能需要在 Windows XP 中运行,但微软已停止对这款操作系统的更新支持。因此,即使是已知的漏洞,安全升级也并非易事。观看视频了解 IPS 虚拟补丁的运行原理。
安全远程访问
网络安全专家认为,远程桌面协议有时会被攻击者利用,用于散播恶意软件或进行未授权活动。为提高运行效率、快速排除故障,远程连接日益普遍。因此,对在两个现场之间建立安全边界这一话题的讨论越来越多。长远看来,使用软件搭建远程连接很容易导致漏洞。因此,建立 VPN 隧道、确保访问控制机制有效运作是更合适的手段。
典型场景
制造业
互联互通的工厂网络需要合理分区,加固工业网络安全壁垒。此外,网络冗余也是保障工业控制系统随时可用的必要一环。
安全变电站监控
规模庞大的电网需要 IEC 61850 标准认证的 VPN 解决方案,监控每一个偏远变电站中的智能电子设备 (IED)。
由于气隙网络不再具备足够的优势和安全性,企业主和工程师应通过网络分区、微分区、安全远程访问等方式加强安全边界。每种方式满足不同网络需求,助力网络安全,不仅形成周边防线,还能阻止未授权的横向移动流量。Moxa 全新发布的 EDR-G9010 系列集防火墙、NAT、VPN、交换机、路由器于一身,能提高网络安全,充分发挥现有网络基础设施的作用,让企业主的投资得以经受时间的考验。了解安全路由器的更多信息,请访微网站。