使用適當的工具來保護工業網絡安全
你可能面臨著提高工業網絡信息安全的挑戰。
一方面,制造流程可能需要PLC和DCS等設備在設計上更注重可靠性和功能安全而非信息安全。另一方面,工業網絡已經或者即將和企業網、互聯網相連。
在考慮如何降低網絡風險、保護資產時,尋找專門針對工廠而設計的技術解決方案是很重要的。
工廠網絡和辦公網絡的區別主要體現以下幾個方面:
環境不同 — 工業網絡通常處在惡劣的自然環境中
員工技能不同 – 你可能擅長于制造產品或PLC編程,但設計網絡安全解決方案并不是你的強項。
優先級不同 – 工廠操作人員更關心可靠性和功能安全,而辦公室IT人員通常將保密性視為最高的優先級
協議不同 – 工廠網絡需要支持工業協議來保持設備運行。這些協議的安全防護較難實現
考慮到以上因素,這里給出了保護工業網絡安全的6個建議:
1. 選擇工業組件 首先,要確保所有的網絡組件,包括電纜、機柜和設備等,都達到工業級要求,并且擁有較高的MTBF(平均無故障時間)評級。眾所周知,工廠的要求比典型IT環境下的要求要嚴厲苛刻得多,其設備也要達到相應的要求。
IT網絡系統的核心通常是氣候控制良好的、安全的數據中心,其設備一般都是標準的,并且使用時間往往在10年以下。相比之下,工廠里的工業網絡通常處于危險環境中,設備的平均壽命都超過了10年。照片承蒙Good Health Group提供。
2.尋求冗余和健壯性 容易被破壞的設備為攻擊者的工作帶來便捷,同時也增加了支持人員工作的難度。網絡中的組件,如交換機和路由器,需要支持工業冗余技術。這樣的話如果部分系統遭受惡意軟件攻擊或者受到網絡事件的影響,依然能保證正常運行。
這方面有許多首字母縮寫詞和專用術語,如“zero-failover”,并行冗余協議PRP(Parallel Redundancy Protocol)以及高可靠無縫冗余HSR(High-availability Seamless Redundancy)。重要的一點是確保網絡設備支持生產需求所要求的冗余等級。
3.尋求與工業網絡管理系統相結合的技術 融入工業管理系統對支持工作和安全事件監控至關重要。使用這樣的系統有助于檢測網絡中的異常活動。
如果一臺遠程的只讀操作站突然試圖對PLC進行編程,應當立即向工廠人員發出警告。等到第二天早上IT團隊再來分析事件,一切就太遲了。
4.部署可以保護工業協議安全的防火墻 防火墻應當優化保護Modbus和OPC這樣的SCADA協議的安全,而不是email和web通訊。Web和email消息在工廠系統中沒有容身之處,檢測這些協議的產品只會增加安全解決方案的成本和復雜度。
5.采用區域級安全來實施縱深防御 實施縱深防御的最佳實踐,信息安全不應以工廠網絡的邊界防火墻為終點。相反,應依據ISA IEC 62443標準對生產網絡分區。每個區域都有專門的工業防火墻來保護,這些防火墻應當可以部署在工廠網絡中,同時不會對業務操作造成任何風險。
6.集中精力 有些資產如果遭受攻擊的話,將會對生產、安全或環境造成嚴重的影響,每套控制系統中都有一個或多個這樣的資產。比如煉油廠中的SIS(安全集成系統)、水過濾廠中控制氯含量的PLC以及變電所的RTU。工廠人員清楚哪些真正地關系到操作。如果這些資產都能被積極地保護,發生真正嚴重的網絡事件的機會將會大大減小。
采用專為工業而設計的解決方案來保護工業網絡安全。如果對如何提高工廠的網絡安全態勢沒有把握,遵循上述建議將縮短進行改善所需的時間。

提交
新大陸自動識別精彩亮相2024華南國際工業博覽會
派拓網絡被Forrester評為XDR領域領導者
智能工控,存儲強基 | 海康威視帶來精彩主題演講
展會|Lubeworks路博流體供料系統精彩亮相AMTS展會
中國聯通首個量子通信產品“量子密信”亮相!