【专家博客】使用适当的工具来保护工业网络安全
你可能面临着提高工业网络信息安全的挑战。
一方面,制造流程可能需要PLC和DCS等设备在设计上更注重可靠性和功能安全而非信息安全。另一方面,工业网络已经或者即将和企业网、互联网相连。
在考虑如何降低网络风险、保护资产时,寻找专门针对工厂而设计的技术解决方案是很重要的。
工厂网络和办公网络的区别主要体现以下几个方面:
- 环境不同 — 工业网络通常处在恶劣的自然环境中
- 员工技能不同 – 你可能擅长于制造产品或PLC编程,但设计网络安全解决方案并不是你的强项。
- 优先级不同 – 工厂操作人员更关心可靠性和功能安全,而办公室IT人员通常将保密性视为最高的优先级
- 协议不同 – 工厂网络需要支持工业协议来保持设备运行。这些协议的安全防护较难实现
考虑到以上因素,这里给出了保护工业网络安全的6个建议。
1. 选择工业组件
首先,要确保所有的网络组件,包括电缆、机柜和设备等,都达到工业级要求,并且拥有较高的MTBF(平均无故障时间)评级。众所周知,工厂的要求比典型IT环境下的要求要严厉苛刻得多,其设备也要达到相应的要求。
IT网络系统的核心通常是气候控制良好的、安全的数据中心,其设备一般都是标准的,并且使用时间往往在10年以下。相比之下,工厂里的工业网络通常处于危险环境中,设备的平均寿命都超过了10年。照片承蒙Good Health Group提供。
2. 寻求冗余和健壮性
容易被破坏的设备为攻击者的工作带来便捷,同时也增加了支持人员工作的难度。网络中的组件,如交换机和路由器,需要支持工业冗余技术。这样的话如果部分系统遭受恶意软件攻击或者受到网络事件的影响,依然能保证正常运行。
这方面有许多首字母缩写词和专用术语,如“zero-failover”,并行冗余协议PRP(Parallel Redundancy Protocol)以及高可靠无缝冗余HSR(High-availability Seamless Redundancy)。重要的一点是确保网络设备支持生产需求所要求的冗余等级。
3. 寻求与工业网络管理系统相结合的技术
融入工业管理系统对支持工作和安全事件监控至关重要。使用这样的系统有助于检测网络中的异常活动。
如果一台远程的只读操作站突然试图对PLC进行编程,应当立即向工厂人员发出警告。等到第二天早上IT团队再来分析事件,一切就太迟了。
4.部署可以保护工业协议安全的防火墙
防火墙应当优化保护Modbus和OPC这样的SCADA协议的安全,而不是email和web通讯。Web和email消息在工厂系统中没有容身之处,检测这些协议的产品只会增加安全解决方案的成本和复杂度。
5. 采用区域级安全来实施纵深防御
实施纵深防御的最佳实践,信息安全不应以工厂网络的边界防火墙为终点。相反,应依据ISA IEC 62443标准对生产网络分区。每个区域都有专门的工业防火墙来保护,这些防火墙应当可以部署在工厂网络中,同时不会对业务操作造成任何风险。
6. 集中精力
有些资产如果遭受攻击的话,将会对生产、安全或环境造成严重的影响,每套控制系统中都有一个或多个这样的资产。比如炼油厂中的SIS(安全集成系统)、水过滤厂中控制氯含量的PLC以及变电所的RTU。工厂人员清楚哪些真正地关系到操作。如果这些资产都能被积极地保护,发生真正严重的网络事件的机会将会大大减小。
采用专为工业而设计的解决方案来保护工业网络安全
如果对如何提高工厂的网络安全态势没有把握,遵循上述建议将缩短进行改善所需的时间。
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南