工控網首頁
>

應用設計

>

使用適當的工具來保護工業網絡安全

使用適當的工具來保護工業網絡安全

2016/8/11 9:38:41

  你可能面臨著提高工業網絡信息安全的挑戰。

  一方面,制造流程可能需要PLC和DCS等設備在設計上更注重可靠性和功能安全而非信息安全。另一方面,工業網絡已經或者即將和企業網、互聯網相連。

  在考慮如何降低網絡風險、保護資產時,尋找專門針對工廠而設計的技術解決方案是很重要的。

  工廠網絡和辦公網絡的區別主要體現以下幾個方面:

  • 環境不同 — 工業網絡通常處在惡劣的自然環境中 

  • 員工技能不同 – 你可能擅長于制造產品或PLC編程,但設計網絡安全解決方案并不是你的強項。 

  • 優先級不同 – 工廠操作人員更關心可靠性和功能安全,而辦公室IT人員通常將保密性視為最高的優先級 

  • 協議不同 – 工廠網絡需要支持工業協議來保持設備運行。這些協議的安全防護較難實現

  考慮到以上因素,這里給出了保護工業網絡安全的6個建議:

1. 選擇工業組件   首先,要確保所有的網絡組件,包括電纜、機柜和設備等,都達到工業級要求,并且擁有較高的MTBF(平均無故障時間)評級。眾所周知,工廠的要求比典型IT環境下的要求要嚴厲苛刻得多,其設備也要達到相應的要求。

IT網絡系統的核心.jpg

  IT網絡系統的核心通常是氣候控制良好的、安全的數據中心,其設備一般都是標準的,并且使用時間往往在10年以下。相比之下,工廠里的工業網絡通常處于危險環境中,設備的平均壽命都超過了10年。照片承蒙Good Health Group提供。

2.尋求冗余和健壯性   容易被破壞的設備為攻擊者的工作帶來便捷,同時也增加了支持人員工作的難度。網絡中的組件,如交換機和路由器,需要支持工業冗余技術。這樣的話如果部分系統遭受惡意軟件攻擊或者受到網絡事件的影響,依然能保證正常運行。

  這方面有許多首字母縮寫詞和專用術語,如“zero-failover”,并行冗余協議PRP(Parallel Redundancy Protocol)以及高可靠無縫冗余HSR(High-availability Seamless Redundancy)。重要的一點是確保網絡設備支持生產需求所要求的冗余等級。

3.尋求與工業網絡管理系統相結合的技術   融入工業管理系統對支持工作和安全事件監控至關重要。使用這樣的系統有助于檢測網絡中的異常活動。

  如果一臺遠程的只讀操作站突然試圖對PLC進行編程,應當立即向工廠人員發出警告。等到第二天早上IT團隊再來分析事件,一切就太遲了。

4.部署可以保護工業協議安全的防火墻   防火墻應當優化保護Modbus和OPC這樣的SCADA協議的安全,而不是email和web通訊。Web和email消息在工廠系統中沒有容身之處,檢測這些協議的產品只會增加安全解決方案的成本和復雜度。

5.采用區域級安全來實施縱深防御   實施縱深防御的最佳實踐,信息安全不應以工廠網絡的邊界防火墻為終點。相反,應依據ISA IEC 62443標準對生產網絡分區。每個區域都有專門的工業防火墻來保護,這些防火墻應當可以部署在工廠網絡中,同時不會對業務操作造成任何風險。

6.集中精力   有些資產如果遭受攻擊的話,將會對生產、安全或環境造成嚴重的影響,每套控制系統中都有一個或多個這樣的資產。比如煉油廠中的SIS(安全集成系統)、水過濾廠中控制氯含量的PLC以及變電所的RTU。工廠人員清楚哪些真正地關系到操作。如果這些資產都能被積極地保護,發生真正嚴重的網絡事件的機會將會大大減小。

  采用專為工業而設計的解決方案來保護工業網絡安全。如果對如何提高工廠的網絡安全態勢沒有把握,遵循上述建議將縮短進行改善所需的時間。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

新大陸自動識別精彩亮相2024華南國際工業博覽會

派拓網絡被Forrester評為XDR領域領導者

智能工控,存儲強基 | 海康威視帶來精彩主題演講

展會|Lubeworks路博流體供料系統精彩亮相AMTS展會

中國聯通首個量子通信產品“量子密信”亮相!