面向未來的聯(lián)網(wǎng)解決方案,為制造運(yùn)營掃除網(wǎng)絡(luò)威脅
概述
2022 年,在全球主要行業(yè)中,制造業(yè)是最頻繁遭受網(wǎng)絡(luò)攻擊的領(lǐng)域。主要原因在于工業(yè)控制系統(tǒng) (ICS) 與互聯(lián)網(wǎng)之間的物理間隔被消除,操作技術(shù) (OT) 與信息技術(shù) (IT) 實(shí)現(xiàn)融合,OT 基礎(chǔ)網(wǎng)隨之暴露于不斷出現(xiàn)的網(wǎng)絡(luò)威脅之下。然而,現(xiàn)代制造業(yè)想保持競爭力就不能與世隔絕。下文將圍繞兩大智能制造應(yīng)用探討關(guān)鍵挑戰(zhàn),即 (1) 新設(shè)備大規(guī)?;ヂ?lián),實(shí)現(xiàn)實(shí)時(shí)廠務(wù)監(jiān)控,(2) 集成多個(gè)網(wǎng)絡(luò),實(shí)現(xiàn)最優(yōu)管理。文章還將就如何保護(hù)應(yīng)用運(yùn)行免遭網(wǎng)絡(luò)威脅提出實(shí)用建議。
針對智能制造系統(tǒng)的全新威脅
隨著智能制造(工業(yè) 4.0)興起,工業(yè)領(lǐng)域網(wǎng)絡(luò)威脅日益增多,這是 OT/IT 融合帶來的“副作用”。雖然 OT/IT 基礎(chǔ)網(wǎng)融合能提高效率、創(chuàng)造更多價(jià)值,但也使以往處于隔離狀態(tài)的 OT 系統(tǒng)面臨各種網(wǎng)絡(luò)攻擊。當(dāng)前網(wǎng)絡(luò)威脅日益嚴(yán)峻,而制造企業(yè)往往無法承受停機(jī)的代價(jià),因此成為網(wǎng)絡(luò)攻擊的首要目標(biāo)。如前所述,2022 年,制造業(yè)遭受的網(wǎng)絡(luò)攻擊次數(shù)高于任何其他行業(yè)。
因此,需深入分析易受攻擊的工業(yè)應(yīng)用類型,了解普遍挑戰(zhàn)以及哪些地方需要改進(jìn)。下面我們通過兩個(gè)工業(yè)應(yīng)用實(shí)例來看看,網(wǎng)絡(luò)威脅如何產(chǎn)生影響及如何降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
應(yīng)用 1:實(shí)時(shí)廠務(wù)監(jiān)控系統(tǒng)
負(fù)責(zé)實(shí)時(shí)監(jiān)控大規(guī)模工業(yè)網(wǎng)絡(luò)的應(yīng)用越來越容易受到網(wǎng)絡(luò)威脅。這些應(yīng)用通常需大規(guī)模部署各類互聯(lián)設(shè)備,采集海量現(xiàn)場數(shù)據(jù)并發(fā)送至控制中心進(jìn)行分析。要考慮的網(wǎng)絡(luò)安全問題如下:
需將數(shù)百個(gè)邊緣可編程邏輯控制器 (PLC) 和傳感器接入網(wǎng)絡(luò),采集反映生產(chǎn)設(shè)施狀況的數(shù)據(jù),優(yōu)化能源使用。每臺設(shè)備即是一個(gè)新的節(jié)點(diǎn),均可能成為未授權(quán)訪問、惡意攻擊等網(wǎng)絡(luò)安全攻擊的對象。
網(wǎng)絡(luò)不斷擴(kuò)展,大量邊緣設(shè)備集成至分布層,安全漏洞隨之?dāng)U大。如果網(wǎng)絡(luò)沒有適度分區(qū),只要一個(gè)節(jié)點(diǎn)失守整個(gè)網(wǎng)絡(luò)便會遭受崩潰風(fēng)險(xiǎn)。
針對上述問題,運(yùn)維人員應(yīng)考慮采用深度防御方案,具體舉措包括選擇安全設(shè)備、構(gòu)建穩(wěn)固網(wǎng)絡(luò)防御層、確定網(wǎng)絡(luò)狀態(tài)等,確保網(wǎng)絡(luò)安全可用。當(dāng)增加網(wǎng)絡(luò)節(jié)點(diǎn)時(shí),選擇通過國際安全認(rèn)證或安全功能符合 IEC 62443、NERC CIP 等國際認(rèn)可標(biāo)準(zhǔn)的安全加固型設(shè)備,有利于奠定堅(jiān)實(shí)網(wǎng)絡(luò)基礎(chǔ)。網(wǎng)絡(luò)分區(qū)和威脅預(yù)防措施可提供另一層攻擊防護(hù),且有助于防止非法入侵和威脅擴(kuò)大至其他網(wǎng)絡(luò)節(jié)點(diǎn)。最后,持續(xù)監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的安全狀態(tài)可及時(shí)發(fā)現(xiàn)并響應(yīng)各類問題或異常情況。
應(yīng)用 2:工業(yè)機(jī)器集成
另一大容易遭受網(wǎng)絡(luò)安全威脅的制造應(yīng)用場景是,出于優(yōu)化管理目的將工業(yè)機(jī)器集成至網(wǎng)絡(luò)。過去,工業(yè)工程師會建立一個(gè)封閉網(wǎng)絡(luò)環(huán)境,采用相似模式為機(jī)器分配 IP 地址。
然而,要想遠(yuǎn)程管控工業(yè)機(jī)器就必須將工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連。如需把傳統(tǒng)隔離的機(jī)器連接至集中管理系統(tǒng),使用同一模式為所有機(jī)器生成 IP 地址將產(chǎn)生 IP 沖突,甚至可能導(dǎo)致網(wǎng)絡(luò)故障。因此,所有機(jī)器都必須重置 IP,這是一項(xiàng)費(fèi)時(shí)費(fèi)力的任務(wù)且易造成安全漏洞。此外,機(jī)器一旦與公共的互聯(lián)網(wǎng)連接,便面臨各種前所未有的網(wǎng)絡(luò)威脅。特別是可預(yù)測的 IP 地址很快成為網(wǎng)絡(luò)攻擊的目標(biāo)。
簡化管理與增強(qiáng)安全對解決漏洞大有幫助。例如,系統(tǒng)集成商可利用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 技術(shù)保護(hù) IP 地址免遭覬覦,同時(shí)簡化設(shè)備集成。最新硬件解決方案還提供嵌入式智能威脅預(yù)防機(jī)制,可自動攔截來自未授權(quán) IP 地址的數(shù)據(jù)。這些措施構(gòu)建起另一層穩(wěn)固壁壘,共同守護(hù)機(jī)器網(wǎng)絡(luò)安全。
克服 OT 聯(lián)網(wǎng)障礙,擁抱智能數(shù)字化未來
面向數(shù)字化未來進(jìn)行 OT/IT 網(wǎng)絡(luò)融合時(shí),網(wǎng)絡(luò)安全必須相應(yīng)升級才能應(yīng)對不斷涌現(xiàn)的全新網(wǎng)絡(luò)威脅。定期監(jiān)控網(wǎng)絡(luò)基礎(chǔ)設(shè)施并及時(shí)更新保護(hù)機(jī)制是動態(tài)安全策略的重要組成部分,可有效保護(hù)互聯(lián)系統(tǒng)、減少損失巨大的故障停機(jī)。然而,OT 工程師可能由于缺乏最新 IT 知識或經(jīng)驗(yàn),在承擔(dān)智能系統(tǒng)安全防護(hù)工作時(shí)“心有余而力不足”。
面對網(wǎng)絡(luò)威脅,系統(tǒng)集成商和工業(yè)運(yùn)營商應(yīng)采用集成工業(yè)聯(lián)網(wǎng)解決方案和專為 OT 工程師設(shè)計(jì)的深度防御系統(tǒng),讓制造網(wǎng)絡(luò)不懼未來考驗(yàn)。
提交
TSN 技術(shù)助力家電制造自動化
喜訊!MGate 5123 榮獲 “數(shù)字化創(chuàng)新獎(jiǎng)”
協(xié)議網(wǎng)關(guān)如何實(shí)現(xiàn)智能電網(wǎng)數(shù)位轉(zhuǎn)型
跨界融合的力量:BESS 如何實(shí)現(xiàn)電力流與數(shù)據(jù)流的完美相融
Moxa 喜獲全球首個(gè) IEC 62443-4-2 工業(yè)安全路由器認(rèn)證