无码人妻一区二区三区免费看,日韩中文字幕国产,91精品国产综合久久久久久久

【應(yīng)用案例】用施耐德電氣ConneXium多芬諾防火墻，讓SCADA安全更簡(jiǎn)單

2013/10/9 15:03:30

用施耐德ConneXium多芬諾防火墻，使SCADA安全更簡(jiǎn)單

“在缺乏充足IT預(yù)算的情況下，自動(dòng)化系統(tǒng)仍需要網(wǎng)絡(luò)安全保障，且只應(yīng)包含盡可能少的人工干預(yù)?！?/span>

對(duì)此我非常同意。以上論述引自Pike Research公司Bob Lockhart在今天的新產(chǎn)品ConneXium多芬諾防火墻新聞發(fā)布會(huì)上的發(fā)言。ConneXium多芬諾防火墻是我們與施耐德電氣合作研發(fā)的新產(chǎn)品。它充分體現(xiàn)了我的核心理念，那就是為保證SCADA和ICS網(wǎng)絡(luò)安全的有效性，我們需要使產(chǎn)品易于配置、組態(tài)和維護(hù)。

自我在BCIT實(shí)驗(yàn)室¹工作以來(lái)，這一理念就是多芬諾工業(yè)安全解決方案基礎(chǔ)設(shè)計(jì)的重要組成部分。這款施耐德電氣與多芬諾安全公司合力推出的新產(chǎn)品通過(guò)加入一系列超級(jí)簡(jiǎn)便的使用特性讓我們的核心理念進(jìn)一步實(shí)現(xiàn)。

施耐德電氣ConneXium多芬諾防火墻介紹

上周我談到了當(dāng)前要解決SCADA漏洞的需求的是什么，同時(shí)將安全設(shè)計(jì)理念融入到未來(lái)的控制系統(tǒng)產(chǎn)品中。
感謝施耐德電氣為改善客戶(hù)網(wǎng)絡(luò)安全而在很多方面做出的諸多努力。比如，他們?cè)谄渌兄饕淖詣?dòng)化產(chǎn)品上進(jìn)行詳細(xì)的安全性分析，這是復(fù)雜且花費(fèi)昂貴的舉措。另一項(xiàng)舉措則是與我們共同研發(fā)connexium多芬諾防火墻。

需要補(bǔ)充說(shuō)明的是，ConneXium是施耐德電氣網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)品系列，可以與施耐德公司的自動(dòng)化產(chǎn)品交互操作。ConneXium多芬諾解決方案是強(qiáng)化工業(yè)系統(tǒng)避免網(wǎng)絡(luò)事故和攻擊的新產(chǎn)品。

可供配置與組態(tài)的多種防護(hù)插件

如我之前所述，使用的便利性是我們兩個(gè)團(tuán)隊(duì)合作本項(xiàng)目的核心目標(biāo)。首先，我們努力使ConneXium Tofino解決方案能夠擴(kuò)大應(yīng)用范圍。比如，包含配置工具的用戶(hù)界面（叫做ConneXium Tofino 組態(tài)器）的設(shè)計(jì)在視覺(jué)上和感覺(jué)上都很像Windows瀏覽器，一款所有人都用于管理電腦文件的工具。

還有一點(diǎn)你很快也會(huì)注意到，就是當(dāng)你打開(kāi)組態(tài)器時(shí)能看到“資產(chǎn)管理模板”。這些是為主要施耐德自動(dòng)化產(chǎn)品的預(yù)設(shè)模板。無(wú)需是安全領(lǐng)域的專(zhuān)家，工程師們直接選擇他們工廠中正在使用的施耐德產(chǎn)品的型號(hào)就可以了。當(dāng)他們確定好哪些設(shè)備是允許通信的以后，適用于那些產(chǎn)品的規(guī)則就會(huì)自動(dòng)生成。最后，新專(zhuān)家技術(shù)會(huì)在防火墻編程中檢查規(guī)則里的常見(jiàn)錯(cuò)誤并提出可行的改善建議。

ConneXium Tofino組態(tài)器的設(shè)計(jì)看起來(lái)和使用起來(lái)都和Windows瀏覽器一樣。在這里你可以看到在Project Explorer導(dǎo)航窗下選取了Tofino “FS_TSA_001”規(guī)則。在規(guī)則詳細(xì)設(shè)置中選擇“只讀”選項(xiàng)，從而配置防火墻只允許只讀數(shù)據(jù)的Modbus指令通過(guò)。所有的寫(xiě)數(shù)據(jù)和編程指令都會(huì)被阻止。

Modbus TCP消息的深度包檢測(cè)

正如多數(shù)人了解的那樣，大多SCADA和ICS協(xié)議并不支持網(wǎng)絡(luò)消息的粒度檢測(cè)。在TCP/IP層，讀數(shù)據(jù)包看起來(lái)就和PLC固件升級(jí)包一樣。如果你允許讀數(shù)據(jù)包通過(guò)傳統(tǒng)防火墻，你也讓固件升級(jí)包通過(guò)了。這就是一個(gè)很?chē)?yán)重的問(wèn)題了。

ConneXium Tofino產(chǎn)品在自身每個(gè)單元中配置了我公司的Modbus TCP Enforcer模塊，就可以解決這個(gè)問(wèn)題。Modbus TCP Enforcer只允許被認(rèn)可的Modbus指令從被核準(zhǔn)的設(shè)備發(fā)出并通過(guò)防火墻。這被稱(chēng)為“深度包檢測(cè)”，這項(xiàng)技術(shù)阻止了不恰當(dāng)?shù)倪h(yuǎn)程編程或來(lái)自于惡意軟件和黑客的蓄意破壞消息等多種攻擊。類(lèi)似于這樣的技術(shù)在防火墻領(lǐng)域中是非常稀缺的。

再次說(shuō)明，使用的便利性對(duì)Modbus TCP Enforcer來(lái)說(shuō)非常關(guān)鍵。這就無(wú)需要求控制工程師們掌握應(yīng)用程序所使用的特定Modbus功能編碼，因?yàn)楹芏鄻?biāo)準(zhǔn)應(yīng)用場(chǎng)景已經(jīng)定義好了。比如，若你想讓ConneXium Tofino只允許讀數(shù)據(jù)指令在PLC和HMI之間傳送，那你可以直接選Read Only選項(xiàng)。

針對(duì)產(chǎn)品漏洞的多芬諾安全文件

在之前的一篇博客中我討論過(guò)需要在不停地打補(bǔ)丁這一措施之外尋找其他備選方案。ConneXium Tofino防火墻通過(guò)支持多芬諾安全文件實(shí)現(xiàn)了這一目標(biāo)。他們是定制規(guī)則，以及為抵御最新公開(kāi)的漏洞和惡意軟件所定義協(xié)議的集合。每個(gè)多芬諾安全文件都是已經(jīng)打包好的，因而能夠迅速配置且不會(huì)影響運(yùn)行，從而提供抵御新威脅的快速且有效的安全屏障。

例如，上周我發(fā)布了針對(duì)CoDeSys漏洞的安全文件。CoDeSys漏洞是影響上百個(gè)不同控制產(chǎn)品安全的威脅。由于CoDeSys公司還沒(méi)有提供產(chǎn)品補(bǔ)丁，因此我們與Joel Langill公司 (www.scadahacker.com)合作，即時(shí)發(fā)布了解決方案。

網(wǎng)絡(luò)安全防護(hù)是有效果的

如果你是本博客專(zhuān)欄的定期讀者的話(huà)，你會(huì)了解我們刊登的大部分文章旨在普及相關(guān)知識(shí)而非營(yíng)銷(xiāo)。不過(guò)這一篇的確是在“為自己宣傳”，因而非常感謝大家一如既往的支持！

然而更重要的是，我希望本篇博客能夠說(shuō)明科學(xué)技術(shù)能夠設(shè)計(jì)的讓工業(yè)網(wǎng)絡(luò)安全易于實(shí)現(xiàn)。不論你是否選擇使用多芬諾技術(shù)，我們都希望你能夠看到網(wǎng)絡(luò)安全技術(shù)是可以交付使用的，這樣控制器使用者們就能確保他們的系統(tǒng)是安全的——而且也就能夠?qū)Ｗ⒂诎踩煽康纳a(chǎn)活動(dòng)，做好本職工作。

我再?gòu)腂ob Lockhart在Pike Research上的發(fā)言中引用兩句作為本文的結(jié)尾：

“自動(dòng)化系統(tǒng)面臨著特殊的網(wǎng)絡(luò)安全挑戰(zhàn)，需要由了解這些系統(tǒng)如何運(yùn)行的企業(yè)提供安全防護(hù)……那些想要專(zhuān)注于他們的核心業(yè)務(wù)，而非技術(shù)的公司?！?/span>

1.2011年Eric成立了英屬哥倫比亞理工學(xué)院關(guān)鍵基礎(chǔ)設(shè)施安全中心。它隨后成為北美SCADA網(wǎng)絡(luò)安全研究領(lǐng)域領(lǐng)先的學(xué)術(shù)研究機(jī)構(gòu)。