在这个飞速发展的时代,各种机械设备通过网络连接在一起,两化融合已势不可挡,工业控制系统也在利用最新的技术来提供控制系统间的集成、互联、以及信息化管理水平。为了提高生产效率因应「少量多样」的生产型态,工业网络的应用会更加的开放与广泛,但这同时也给工业网络的安全性带来了新的挑战,最近频频发生的工业网络安全事件就是最好的印证。那么究竟应该如何提高工业网络的安全性呢?
对此,来自Moxa的工业网络安全产品处产品经理暨安全响应小组组长彭立先先生在接受CONTROL ENGINEER China记者采访的时候谈了自己的看法以及应对措施。
Moxa工业网络安全产品处产品经理暨安全响应小组组长 彭立先
各取所长,优势互补
"企业现在最急需解决的工业网络安全问题是促进IT咨询人员与控制工程师的知识互补,补充相互之间的专业知识欠缺,这样才能提出一个由上往下的工业网络安全整体解决方案,提高工业网络的安全性," 彭立先指出,一个企业中,对企业网络安全性最熟悉的往往不是控制工程师,而是企业的IT人员,但是他们对于工控网络安全的需求缺乏了解,难以为企业提出一个合适的解决方案。而对于控制工程师,他们对于工业控制系统的安全需求十分清楚,但是对于工业网络安全性缺乏全面性的思考,很难对两化融合后的网络做出整体的安全性评估。只有两者相互结合,各取所长,才能优势互补,提出合适的工业网络安全解决方案。
至于怎么样有效的加强互补,彭立先表示:"应该从两方面着手,第一,参照相关的网络安全标准,建立专业的人员培训机制,譬如IEC-62443;第二、由流程、人员管理到系统面,建立企业自身的全面评估模式。"
纵向过滤,横向隔离
在面对来自外部的攻击时,企业应该如何应对呢?彭立先提出了8字方针的纵深防御理念,即「纵向过滤,横向隔离」:纵向从企业网络一直到控制系统网络内部的设备,每一个网络环节都必须经过过滤,不属于工控网络系统的信息都必须排除在外;横向是指,每一整个工控系统都会有很多的子系统和设备,但是他们都是独立运行的,当他们连接到同一个网络之后,必须维持它们互不干扰的独立操作的特性。
"随着工业互联网的迅速发展,用户对于工业网络安全越来越重视,具体表现在两个方面:1、对于工控产品的安全性要求提高了,用户更加注重产品或网络发生故障之后还能保持运行的性能;2、针对工业网络设计的防火墙,一方面能够针对工业的协议做一个深度的过滤跟检查,另一方面能够提供符合工业网络架构 (如: 环网) 所设计的网络安全产品,"彭立先重点介绍道。
对此,Moxa针对工业网络安全制订了3大策略;1、快速回应,成立网络安全回应小组,在发现网络安全漏洞时,以最快的速度回应,协助客户的产品保持在最佳的安全状态;2、提升产品的安全性,依照国际规范设计产品,加强产品本身的强固性;3、纵深防御的防火墙解决方案,针对工控网络架构所设计的网络安全产品,给客户提供纵深防御的工业级防火墙解决方案。
纵深防御的工业级防火墙解决方案
"Moxa的纵深防御策略包括工业防火墙以及VPN解决方案,"彭立先骄傲的介绍道,Moxa提供一系列的千兆安全路由器来保护通过公共网络对现场设备进行远程的访问,并为自动化网络提供多层次的深度保护。EDR系列拥有最高150 Mbps VPN吞吐量和500 Mbps防火墙吞吐量,为远程访问以及关键设备提供安全保护。此外,EDR-810防火墙/NAT/VPN路由器增加了二层保护功能,利用了路由器/交换机二合一解决方案,客户可以在不增加成本的情况下大大增强整体网络的安全性,并且轻松实现:
关键设备的保护:EDR系列支持多种工业协议,为诸如PLC、RTU以及DCS等提供防火墙保护。
安全远程访问:EDR-810使用IPSec和L2TP技术及最新的OpenVPN,可在工业网络和远程设备之间创建加密的VPN通道,并支持第二层网络透通 (如: 组播及VLAN的透通),兼容于各种工业协议,适合用于多项远程监控应用如水处理、油气、电力以及智能交通等工业网络。
工业协议数据包检测:所有的EDR路由器都支持PacketGuard检测工具,除了一般的网络协议 (如: TCP, UDP, MAC) 之外,用户可以轻易地通过一次点击来进行深度的Modbus TCP协议检测以及自动化网络数据过滤,确保SCADA系统在采集数据过程中的「只读性」,避免非法的控制命令进入PLC/RTU。
Moxa提供一整套完整的网络安全解决方案来部署多层次的安全设施,全面性提高不同区段的自动化网络安全性。"Moxa纵深防御的工业级防火墙解决方案提供不同等级的安全保护,客户对我们的解决方案非常满意。"彭立先总结道,一方面Moxa的安全路由器是根据自动化工程师的使用习惯而设计的,能够提供图像化的引导配置,使得工程师很容易将安全产品融入到工业控制系统;另一方面,Moxa的产品可以针对工业控制系统作深度的分析和过滤,避免不必要的系统停机和故障;此外,Moxa的All-in-one一体化防火墙解决方案为客户的网络安全部署提供了极大的便利性,不仅让客户在布署更高层次的工控系统网络安全上不需付出更多的成本,同时也增强了整体网络在汇聚后的安全性及稳定性,大大提升了控制系统的生产率。