将企业级 IT 和工厂级运营技术整合到一个通用基础架构可以为改善运营创造更多便利条件,但如果没有完善的网络安全措施,也可能会使工业控制系统设备遭受到更多的网络攻击。
一旦这种攻击成功实现,可能会对员工、环境和产品安全、知识产权、企业声誉及生产力产生严重影响。近年来,针对控制系统的网络攻击攻击逐年攀升。像 WannaCry 和 Petya 这样的全球肆虐的网络攻击为全世界数千个攻击目标和网络带来巨大损失。
知名的工业控制系统提供商对产品和应用程序不断进行测试和审查,以及时发现和修复产品中的漏洞。通过补丁和版本管理披露已修复的漏洞有助于防范网络攻击。
罗克韦尔自动化拥有合乎道德规范的全面的网络安全策略,进行漏洞披露是其中一个方面,这有助于客户检验网络安全和资产安全。实际上,这并非一个新话题,近年来对安全性的日益关注以及屡见不鲜的漏洞披露对某些人来说似乎出乎寻常。但 IT 领域的其他人来说,这似乎是顺理成章、意向所趋的事情。对所有人而言,这种对策的重点很明确,就是保障工业控制系统的安全,因此应受到所有人的支持。
通过网络隔离减少安全威胁
开放网络和未隔离网络是网络攻击击者绝对不会错失的攻击对象。一旦攻击者发现并利用最脆弱的攻击入口点,就可能像置身于糖果店的孩子一样,难以自持狂热的攻击欲望,让局面失去控制。他们可能会更加轻而易举地扩大网络入侵范围,甚至有可能破坏与其互联的任何系统 - 从产品设计或配方到机器控制,再到公司财务。
值得注意的是,对未隔离网络造成危害的不仅仅是外部威胁。如果不设置网络边界或访问限制,无论是心怀不满的员工的故意破坏,还是不合规的系统更改等人为错误,内部威胁所造成的破坏同样不可小觑。
因此,网络隔离应该成为每个公司工业安全策略的一部分。通过网络隔离,您的网络可以分隔成多个较小的网络,您也可以建立受信区域。这有助于阻止外部安全威胁的访问,并遏制它们造成的任何损害。这还可以使员工和业务伙伴仅访问他们所需的数据、资产或应用程序。
VLAN(虚拟局域网)通常与网络隔离紧密相关。VLAN 就是存在于交换机网络内的一个广播域。通过 VLAN 技术,您可以对网络进行逻辑隔离(例如按功能、应用或组织),而不是进行物理位置上的隔离。
VLAN 从两个方面保护设备和数据的安全。首先,您可以阻止某些 VLAN 中的设备与其他 VLAN 中的设备通信。其次,您可以使用具有安全和过滤功能的第三层交换机或路由器,对跨 VLAN 相互通信的设备进行保护。
尽量 VLAN 是隔离的重要手段,但它只是一种解决方案。您还可以在网络架构的不同级别使用其他隔离方法。
例如,您可以使用工业隔离区 (IDMZ)。它在企业区与制造区或工业区之间建立起一个屏障。两个区域间的所有流量都终止于此屏障,同时仍可以实现数据的安全共享。
您还可以考虑使用其他隔离方法,包括访问控制列表 (ACL)、防火墙、虚拟专用网络 (VPN)、单向流量限制器以及入侵防护和检测服务 (IPS/IDS)。