当前,关键基础设施网络攻击事件频发,不再像从前那样引起轰动。然而,由于变电站、智能运输、水处理等关键基础设施与我们的日常生活息息相关,这类网络攻击仍会对市民和企业造成严重影响。
为减轻网络攻击带来的损害,各国政府纷纷颁布实施相关法律法规,增强关键基础设施网络安全。例如,到 2024 年 10 月,欧盟成员国必须将 NIS2 指令纳入本国法律,以提高关键基础设施网络安全水平。因此,工业企业需采用综合性网络安全框架和稳固型解决方案,从而达到相关网络安全标准和法规要求。
深度防御策略
工业网络安全标准和法规通常建议采取深度防御策略,即实施多层保护,最大限度降低企业安全风险。工业运营商往往专注于强化网络边界及建立安全分区,尽可能减少来自外部访问的潜在威胁。然而,由于未经保护的内部设备可能危及整个网络,应对内部威胁同样关键。例如,插入一个含有恶意软件的便携式存储设备或将使网络受到他人控制,造成损失。因此,防御内部和外部网络威胁至关重要。工业防火墙可有效过滤流量,防范来自内部和外部访问的潜在威胁。不过,为关键资产 LAN 网络部署工业防火墙时,工业运营商往往担心网络性能会因此受影响。
本文将详细阐述资产所有者、首席信息安全官 (CISO)、系统集成商、OT 网络管理员、工业网络设计专家等利益相关方在实施防火墙解决方案时面临的四大挑战,并重点介绍下一代工业 LAN 防火墙如何应对这些挑战,有效增强网络安全,确保网络持续稳定运行。
实施防火墙解决方案时面临的四大挑战
尽管实施防火墙解决方案可以提高工业运营的安全水平,但可能对您当前的运营产生影响。要想平衡网络安全和性能,却面临诸多挑战。继续阅读,深入了解下述四大挑战如何推动工业运营商寻找更优解决方案。
挑战 1:增添新设备需要改变现有网络设计
在现有网络中部署工业防火墙或将导致网络拓扑发生重大变化。为此,工业工程师需投入大量精力和时间重新设计拓扑结构及重新配置 IP 子网。这对于无法承受任何网络故障停机的关键应用而言尤为困难。因此,工业运营商亟需不必改变现有网络配置的防火墙解决方案。
挑战 2:增添新设备影响网络性能和服务
系统无缝运行离不开顺畅的网络通信。为提高网络安全增添新设备时,最令人担忧的是这些设备是否符合现有网络的性能标准,如启动时间、网络延迟和运行环境要求等。此外,增添新设备还可能增加因维护或设备故障而造成的网络中断风险。因此,防火墙解决方案必须优先考虑网络性能,降低因单点故障导致的系统全面宕机风险。
挑战 3:保护现场大量既有设备困难重重
IEC 62443 等标准和 NIS2 等框架要求关键资产具有防范 DoS 攻击的能力,并能在意外事件发生时持续记录事件日志。然而,工业应用中的许多关键资产都是既有设备,通常使用旧版操作系统,无法立即更新换代来满足网络安全要求。为保护既有设备免受日益增多的威胁影响,需采用不必频繁更新系统的防火墙解决方案。此外,现场既有设备的数量庞大,为满足不同应用需求而使用的工业通信协议种类繁多。为增强通信安全,防火墙解决方案必须同时支持这些通信协议,并能详细分析工业控制网络生成的数据。
挑战 4:监测网络和网络威胁并非易事
为保护您的网络,持续监管网络安全至关重要。网络管理员需花费大量时间和精力关注网络状态,确保在网络发生错误或安全事件时收到实时通知。如果防火墙解决方案缺少有效监测机制,就会导致网络错误通知和安全事件警报延迟,进而拖长网络停机时间、影响运营绩效。
下一代 LAN 防火墙最大限度保障工业网络安全和正常运行时间
Moxa EDF-G1002-BP 系列工业 LAN 防火墙助力工业运营商应对联网挑战,完美兼顾网络安全和正常运行时间。LAN 防火墙采用透明防火墙模式,优先保护您的关键资产,增进 LAN 东西向安全通信。
您知道什么类型的防火墙解决方案最适配您目前的应用场景吗?下载 Moxa 信息图表,了解如何选择契合不同应用场景的最佳工业防火墙解决方案。
易于安装
LAN 防火墙无需重新配置 IP 子网即可部署,非常适合不便改变现有网络拓扑的关键应用。为简化安装,Moxa 2 口 LAN 防火墙支持线路插件式安装。工程师只需将这些 LAN 防火墙直接联入关键资产所在网络,无需重新配置 IP 子网。这样,LAN 防火墙对现有配置的干扰就可降至最低,而增强网络安全的功能不减。
延长网络正常运行时间
Moxa LAN 防火墙只需 30 秒即可启动。如此快速的启动反应能确保在断电和供电恢复期间,不会错误触发控制中心和终端 PLC 设备之间的异常检测机制。同时,这些防火墙还具备 LAN 旁路功能,可防止任何硬件或软件异常造成防火墙中断服务。这两种机制均旨在保障整个系统持续稳定运行。
保护既有设备
Moxa LAN 防火墙的核心任务是助您轻松保护既有设备。它们专为工业用途而设计,采用 IPS 和 DPI 技术增强网络安全。工业级 IPS 设计保障 PLC、HMI 等既有设备的安全。IPS 功能可利用虚拟补丁和针对现有威胁模式的保护措施,助您的既有设备抵御威胁,为您赢得更多时间来更新系统。DPI 技术则能帮助您加强对工业通信安全的把控。为保持数据完整性,您可以自定义规则。例如,将 Modbus 设备访问权限设定为只读。您还可以借助 DPI 技术支持多种工业协议和高级流量过滤功能,轻松保护使用不同协议的既有设备。
简化网络管理
如果您使用 Moxa LAN 防火墙保护网络和既有设备,您还能通过 MXview One 网络管理软件和 MXsecurity 网络安全管理软件简化网络监测和安全管理。MXview One 软件提供网络安全状态的整体视图,并在发生网络错误时及时发送通知。而 MXsecurity 软件能协助有效管理防火墙,实时监测安全事件。在这样的集中平台实施防火墙策略,可最大限度减少各个设备配置中的手动错误。此外,我们的软件还能在安全事件发生时即刻通知您,助您快速响应,降低风险。
EDF-G1002-BP 系列高级 LAN 防火墙为提高工业网络安全而生,为您的应用构筑稳固防护线。