工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用讓越來越多的設(shè)備連上網(wǎng)，工業(yè)廠商迫切地希望享受數(shù)字自動化帶來的益處，然而也面臨著隨之增加的風(fēng)險。連接設(shè)備增多，導(dǎo)致受攻擊面增加，網(wǎng)絡(luò)更易遭受網(wǎng)絡(luò)攻擊和未授權(quán)訪問的侵襲。

工業(yè)網(wǎng)絡(luò)安全都面臨哪些挑戰(zhàn)？

OT操作人員缺乏加固網(wǎng)絡(luò)設(shè)備安全的指導(dǎo)

業(yè)界普遍存在誤解，認為只要部署防火墻，就能降低所有網(wǎng)絡(luò)安全風(fēng)險。但事實是網(wǎng)絡(luò)設(shè)備的安全性在構(gòu)建縱深防御安全架構(gòu)中也發(fā)揮著關(guān)鍵作用。OT操作人員沒有部署加固網(wǎng)絡(luò)設(shè)備的經(jīng)驗，也沒有明確的指南，這對網(wǎng)絡(luò)安全解決方案的實施造成重重阻礙。

設(shè)計網(wǎng)絡(luò)架構(gòu)時缺乏網(wǎng)絡(luò)安全意識

如今，越來越多的設(shè)備接入網(wǎng)絡(luò)，但大多數(shù)OT操作人員在設(shè)計網(wǎng)絡(luò)構(gòu)架時并未意識到網(wǎng)絡(luò)安全防御的必要性。從每年關(guān)鍵制造業(yè)大量發(fā)生的網(wǎng)絡(luò)攻擊事件不難看出ICS網(wǎng)絡(luò)所面臨的風(fēng)險。

缺乏安全管理原則和監(jiān)控工具

據(jù)報道，人為錯誤是網(wǎng)絡(luò)遭受攻擊的主要原因(37%)；其通常原因在于未遵守安全管理原則。為此，OT操作人員必須持續(xù)監(jiān)控網(wǎng)絡(luò)。但持續(xù)地監(jiān)控動作需要投入具有專業(yè)知識的人員和時間精力，十分麻煩。

工業(yè)級網(wǎng)絡(luò)縱深防御方案

單一的作戰(zhàn)方案顯然不足以應(yīng)對上述挑戰(zhàn)，必須從設(shè)備、網(wǎng)絡(luò)和管理層面全面部署，構(gòu)建工業(yè)級網(wǎng)絡(luò)縱深防御方案。

明確的政策和安全管理

Moxa產(chǎn)品開發(fā)圍繞安全管理的四大基本方面：訪問及身份管理、設(shè)備管理、系統(tǒng)管理以及配置管理。此外，還為有線和無線網(wǎng)絡(luò)提供MXview和MXconfig管理軟件。

工業(yè)自動化控制系統(tǒng)網(wǎng)絡(luò)縱深防御網(wǎng)絡(luò)安全方案

Moxa提供由多種網(wǎng)絡(luò)安全模塊組成的縱深防御框架，包括工業(yè)級安全路由器、VPN和專為工業(yè)級自動化量身定制的遠程訪問解決方案。Moxa幫助系統(tǒng)集成商部署符合縱深防御原則的網(wǎng)絡(luò)安全解決方案。

內(nèi)置安全功能的加固設(shè)備

Moxa為旗下所有產(chǎn)品提供固件升級服務(wù)，包括以太網(wǎng)交換機、無線設(shè)備、設(shè)備服務(wù)器、協(xié)議網(wǎng)關(guān)和遠程I/O，以加強工業(yè)自動化和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。

縱深防御安全架構(gòu)

網(wǎng)絡(luò)分區(qū)，保障各區(qū)域及單元安全。

縱深防御安全架構(gòu)將ICS網(wǎng)絡(luò)劃分為多個獨立且受保護的區(qū)域和單元。每個區(qū)域或單元內(nèi)的通訊均設(shè)置防火墻保護，從而降低整個工業(yè)控制系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險。

MoxaEDR系列工業(yè)級安全路由器，使用透明防火墻，保護PLC和RTU等控制網(wǎng)絡(luò)和關(guān)鍵設(shè)備，阻止未授權(quán)訪問，從而幫助操作人員保護各獨立區(qū)域和單元。使用本解決方案，無需重新配置網(wǎng)絡(luò)設(shè)置，部署更加便捷。EDR-810系列支持Moxa的TurboRing冗余技術(shù)，令網(wǎng)絡(luò)分區(qū)更加靈活、經(jīng)濟。

此外，Moxa以太網(wǎng)交換機可創(chuàng)建虛擬局域網(wǎng)(VLAN)，將ICS網(wǎng)絡(luò)分解為更小的網(wǎng)絡(luò)，從而隔離其他VLAN流量傳輸。

監(jiān)控區(qū)域間的數(shù)據(jù)傳輸

為提高安全保障，必須對ICS網(wǎng)絡(luò)各區(qū)域間的數(shù)據(jù)傳輸進行篩查。篩查方式有多種，其中一種是通過DMZ交換數(shù)據(jù)，安全ICS網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)都可訪問數(shù)據(jù)服務(wù)器，且不會建立直接連接。

Moxa的EDR-G903系列可通過為用戶制定專門的防火墻規(guī)則，確保數(shù)據(jù)傳輸?shù)陌踩O(jiān)控。第二種方法是使用PacketGuard來監(jiān)控運轉(zhuǎn)情況，加強數(shù)據(jù)傳輸監(jiān)控，幫助EDR路由器進行ModbusTCP深度監(jiān)測。這種方法可簡化管理工作，防止網(wǎng)絡(luò)間不必要的數(shù)據(jù)傳輸。除防火墻外，還可使用訪問控制表，通過IP地址或本地IP過濾交換機的入口數(shù)據(jù)包，這使網(wǎng)絡(luò)管理員可通過監(jiān)控設(shè)備或部分網(wǎng)絡(luò)訪問確保網(wǎng)絡(luò)安全。

保障ICS網(wǎng)絡(luò)遠程訪問安全無虞

目前有兩種解決方案，可滿足安全遠程訪問應(yīng)用的主要要求。對于持續(xù)連接，建議使用標(biāo)準(zhǔn)VPN隧道。

MoxaEDR系列可使用IPsec、L2TPoverIPsec或OpenVPN，設(shè)置加密IPsecVPN隧道或OpenVPN客戶端。防止數(shù)據(jù)在傳輸過程中遭篡改，確保工業(yè)級網(wǎng)絡(luò)及遠程應(yīng)用間的訪問安全。如只需遠程訪問某些特定機器或敏感區(qū)域，則可使用管理所有遠程連接的管理平臺。

縱深防御安全相關(guān)產(chǎn)品

Moxa工業(yè)級防火墻/NAT/VPN安全路由器系列產(chǎn)品可在企業(yè)內(nèi)部形成一個可靠安全的網(wǎng)絡(luò)，來保護整個控制網(wǎng)絡(luò)和企業(yè)資產(chǎn)。

EDR系列工業(yè)安全路由器特點

●支持IPSec(服務(wù)&客戶模式)，L2TP和PPTP功能以提高VPN安全性

●集合防火墻、NAT、VPN、路由器功能于一體

●具有高性能千兆銅纜/光纖符合端口

●防火墻功能快速啟動Fieldbus協(xié)議(快速自動化配置)

●支持網(wǎng)址地址轉(zhuǎn)換(NAT)(N對1，1對1和端口轉(zhuǎn)發(fā))

●智能的PolicyCheck和SettingCheck功能

●工作溫度：-40~75℃(寬溫型號)

●符合NERCCIP

EDR-810系列

●8+2GSFP口

●集防火墻/VPN/路由器/交換機于一體

●符合ISA99/IEC62443/NERCCIP

●支持RSTP/TurboRing冗余協(xié)議

●支持透明防火墻

EDR-G902系列

●千兆WAN，LAN口通信

●吞吐量300M

EDR-G903系列

●全千兆通信，雙WAN口冗余

●吞吐量500M

●支持DMZ安全區(qū)域