在物联网热潮延烧下,接续繁衍工业4.0、Bank 3.0、金融科技(FinTech)与零售4.0等崭新的产业浪潮;若以物联网信息安全议题而论,尤其以工业4.0跳跃幅度最大,只因制造业过往采用封闭的序列通讯协议,尚可忽视安全课题无妨,如今走向IP通讯化,即需面对从零分到满分的快速进化需求。
不可讳言,从以往各自独立运作的系统,迈入万物皆可互联的物联网时代,其间转变确实相当剧烈,而且这般的变革,对于不论是企业竞争力、人类生活质量,都可谓美事一桩,此乃由于,经由物联网设备所产生数据的分析探勘,可望从中挖掘宝贵的信息,一旦加以善用,将能提升企业组织运作效率,连带强化运营竞争力,同时有助于促使人类生活更趋精采多姿。
随着工厂设备向IP通信,它有助于开发诸如远程调试、维护等先进的预测性智能应用,而且还通过防火墙与网络接触,抵御恶意攻击、网络安全行业。
虽然过去的仓(仓)(系统架构意味着独立封闭),在万物互联的新局,可能会引发无限的好处,但在转型过程中,也面临严峻的挑战,最重要的挑战,无疑是信息安全,主要得益于独特的通信协议,在过去的筒仓,很少与外界沟通,黑客一无所知这些封闭的语言,所以没有办法做任何安全威胁的IP通信设备厂的今天,不再是孤立的孤岛,这种情况出现急剧的逆转。
在4个行业当前的热点问题为例,制造业在工业网络,蜷在里面的设备不同的筒仓,在试图工业标准语言的帮助下,与外界沟通,交流的对象不仅包括异构设备,制造执行系统(MES),在同一时间有更上层的ERP、大数据云平台,旨在满足远程监控和预防性维护的需要;但在创新和追求突破之际,安全风险现在开放的熊。
筒仓开放的安全挑战
有设备主管说,与工厂的设备,如启动网络、电机故障意外插曲似乎也跟着增加,虽然增加的幅度似乎不太可能,由停机时间造成的不长,但连续高效的制造企业生产线的运转,已经非常严重,因为停机时间一旦数量增加,就会影响产能,利用率低,而在报废的过程中,让火原料,遭受了巨大的经济损失,甚至造成交货延迟,商誉的影响,后果真的不应该被低估;深究其原因,是由病毒感染或恶意软件造成的由设备故障引起的案例,更让人恐惧的是,如果反复出现这样的现象,合理怀疑黑客是否侵入了门一步,企业就需要警惕,看有没有泄漏有机智能?。
为了消除这些不利因素,负责企业技术的操作(操作技术;OT)的人,它负责信息技术(IT)事务需要铜仁线,认真考虑安全防护设备的部署,从防火墙设置为启动;大家都知道的防火墙不是新技术发展至今,已超过20年,和保护的力度越来越强,但问题是,厂家一般商业VPN防火墙保护系统显然是不适用于工业控制网络。
业内人士解释常见的防火墙,守卫在网络服务器、个人计算机和其他计算节点,这些节点将是唯一的入口门到互联网,因为进口的流量,所以防火墙不能停下来仔细检查每包一个接一个,只有数据包的来源和目的地验证其合法性和合理性;在工业控制网络中,与网络有很大的不同,一个相对有限数量的设备包括,数据量小,但单一的包中包含的价值远远低于内网流量很多,所以只有通过防火墙的数据包的地址和目的地的模式,肯定没有足够的需求,工业用地必须进口的防火墙,如EtherCAD,PRofinet和其他工业识别协议,机器设备的常规通信方式的不同理解,因此,深入分析和数据业务的仔细检查,以便实时检测异常。
使用工业协议防火墙有助于防止黑客入侵
例如,在工厂里使用的机械臂的假设,根据要求完成常识工作的步骤,以包括A,B,C,D,E和其他五个程序,如果有盗号现象,通过恶意软件阵容,意在控制机械臂将步为A和B,C,D,F,等于一个改变的过程;这一变化,防火墙应该很难发现,因为这类系统的工业通信协议识别能力不足,工业防火墙,能在第一时间断然制止,等一个人改变规则不允许控制。
事实上,有几个商业防火墙,在开始的时候,他发誓要跳出简单的TCP / IP协议,开发解析所有网络流量内容的力量,现在关闭向4工业网络安全,安全和其他领域,如帕洛阿尔托网就是一个例子。如果帕洛阿尔托制造企业网络的网关设备的部署,工业控制网络,即使在“Modbus只读“脸(只允许读取Modbus信息,是不允许写端)的规则和条件,同时也要确定和实施,独自一人,能力和一般的防火墙产品是不一样的。
另一方面,帕洛阿尔托网面保护任务的工业控制网络,无论守护的对象是工业计算机,SCADA和ICS(工业控制系统),以信赖原则为零,不安全的假设,所有的内部用户,由于每个铜仁的转会,必须充分遵守既定的行为规范,不允许有任何错误,所以如果有任何用户节点,小心黑客的恶意软件,超出标准的行为意图,只要迈出了第一步,必须立即通过帕洛阿尔托网络控制系统。
用单向网关实现实体网络隔离
英特尔安全(原McAfee)是一个非常早期的脚网络安全行业白名单是标榜为控制基础,和零信任结构颇有异曲同工的本质;所谓的白名单,主要是通过一套锁定原软件的网络设备动态白名单设置机制。为了避免下水道设备没有权限执行未经授权的代码,以确保设备安全;这样做的原因,原因很简单,因为没有安全的解决方案,解决100%的现在和未来都在面对风险的发展,方兴未艾的网络应用程序,妥善管理这种不确定性,“强限制访问”无疑是最理想的方式。
此外,像发电厂,现在开始走过去的封闭路线网络(基于智能电网调度)的关键基础设施,关键是非同小可,不让黑客完成一点点的,所以保护措施必须更加严格;在此基础上,该行业开始调用瀑布单向网络安全网关解决方案,形成“实体”的网络隔离的要求。
据报道,在现阶段,面对关键业务数据的实时交换要求,企业通常采用两种方法来防止网络攻击。一个是通过防火墙,网络区域划分为一个独立的网络环境,然后使用防火墙规则来限制访问的行为,但这种做法是怀疑,和非隔离的物理层网络隔离仍然是连接,如果防火墙规则的疏漏,还可能导致两网络环境之间的边界趋于模糊。另一种方法是直接的物理隔离,切断了智能网络通信部分,但它会在外部网络的数据交换构成障碍,那么企业就便携式存储设备以满足交流的需要,而导致跟踪审计是不容易的,获得更大的风险。
通过单向网络安全网关,迫使任何数据只能从网关到网关碳RX TX,完全消除任何反向传播的可能性,黑客使用传统的三次握手机制为突破口的搜索盲区,将返回Shayu。