前言:
回顾以往www.cechina.cn,仅有企业区域网络(LAN)管理者,需费心思索资讯安全防御,至于产业机台、装置因不具连线能力CONTROL ENGINEERING China版权所有,或采用封闭式网络,因此多无资讯安全顾虑。然今随着各行各业纷纷走向IP通讯化、物联网化,导致资讯安全威胁骤增,如何为产业网络做好资讯安全风险管控已是不容忽视的重要课题。
随着工业4.0、智慧工厂或工业物联网等趋势浪潮席卷,过去大量“与世隔绝”的机台设备,开始向IP通讯靠拢。新汉网络通讯事业群协理刘宏益指出,因远端监控与预防保养需求,制造业者串联工控网络与网际网络,让资讯安全风险急剧增高。
又例如医疗产业希望藉于移动、远距医疗照护,提高服务水准的同时,亦需将资料安全纳入考量,确保病患隐私。各产业已开始留意资讯安全议題,着手导入产业防火墙,一来确保远端连线安全控制工程网版权所有,二来顺势扼阻可疑的资讯交换。
IDS/IPS智能分析 与防火墙相辅相成
防火墙是发展历程超过20年的老技术,它仅能依据IP 或MAC位址等基本资讯,简单比对来者是否名列黑名单,如果是便加以阻拦,如果不是就予以放行;恶意人士相当娴熟防火墙运作原理,也不断研究如何以正常外表包覆恶意软体的方式控制工程网版权所有,借此蒙混过关。故针对防火墙日志(Log)再做进一步检查与分析,补防火墙之不足,方能阻止有心人士乘虚而入。
例如整合具有入侵侦测/防御(IDS/IPS)进阶功能的资讯安全设备,借助智能控制与比对引擎,自动滤除掉防火墙难以辨识的恶意封包,甚至还能结合产业用特殊协定或惯性行为模式比对,进一步阻断可疑连线,使其无法潜入产业网络与位于网络底层的终端设备。
分散式架构严控资讯安全风险 防制灾情、遏制扩散
企业网络将安全机制集中部署在网络出口,即为內外资料进出的闸道,但产业网络的重点保护对象是机台、装置www.cechina.cn,故应将资讯安全设备分散部署在产业网络下每个子网域的出入口,就近提供防护。如此一来,即使某个子网域中已有机台受到恶意软体感染,但当恶意软体隐藏在资讯中企图潜越,IDS/IPS一经察觉问题资讯,即可丟弃封包、或切断该网络对外连线,进而将恶意软体限缩在子网域內,不致让病毒扩散至整个产业网络。
曾有制造业主管透露,过去一些跳电或故障停机事件,乍看之下似有合理解释,但若深入剖析,会发现机台中毒恐怕才是问题症结。对于高度倚重生产线持续高效率运作的制造业者而言,病毒或恶意程式引发的机台设备故障,轻则造成生产作业短暂中断、影响产能,重则酿成制程报废、原物料尽付东流,乃至于冲击交期,损失可谓不轻。
有鉴于此,新汉推出的产业型防火墙,兼具VPN、防火墙与IDS/IPS功能,提供整合型防御措施,一次解決产业网络的各种安全威胁。刘宏益表示,新汉提供的IDS/IPS引擎,拥有丰富的特征资料库可供比对,可以透过日志分析、安全性资讯和事件管理(SIEM)关联分析等途径,深入挖掘出埋藏在正常表象之中的异常程式或档案。且即便工厂內部的机台采用浮动IP,搭配虚拟私有网络(VPN)穿透层层限制,总部仍能在远端监看现场。
当业者励精图治,借由设备走向IP通讯化、物联网化来提升管理、营运效率的同时,对于产业网络的资讯安全风险也不能等闲视之。故应导入VPN、防火墙与IDS/IPS等整合式防御机制,将病毒、恶意程式屏蔽在产业网络外,借以保护位于产业网络底层的终端装置www.cechina.cn,消弥干扰机台设备正常运作的潜在风险,更可防堵骇客入侵,杜绝机密智财、隐私外泄。