随着工业互联的概念越发的深入和大规模应用,多地点、多种不同的装备、机器人、传感器、数据采集单元模块和计算机构建的生产网络将被搭建起来。与此同时,数据信息汇总等集成信息化平台,使传统封闭网络与上层管理网络MES、ERP和Internet的连接变得非常容易。最终,生产链条中各要素相互交换数据,从而检索设备和各部件的工作状态,优化了工作流程,带来更高效的工业管理。
工业网络具备了良好的开放性和兼容性,但是安全风险也随之俱增,可能会出现针对生产网络的新型恶意病毒和黑客攻击。病毒可以秘密监视生产系统的参数,远程操控不够安全的机器,攻击控制系统,甚至影响企业级网络,最终造成工业生产的停滞,从而带来巨大的经济损失,甚至危害人员生命、造成环境污染。
对此,来自威力工业网络产品经理杜宗扬先生在接受CONTROL ENGINEERING China记者采访的时候表示:"企业需要树立正确构建'工业网络安全'的概念,为企业的安全生产提供保障。"杜宗扬强调:"我们不仅要看到工业互联带来的巨大便利性,同时更要清楚的认识到这种便利性带来的巨大风险。"随着两化融合进程的加速进行,工业控制系统直接暴露在互联网上的风险正在不断增加,工业网络安全必将成为我国未来几年改革转型过程中的一个聚焦点。
威力工业网络产品经理杜宗扬
网络安全漏洞的5大来源
"在这种制造业改革转型的关键时刻,企业该如何正确的构建'工业网络安全'体系呢,"杜宗扬指出,工业企业在构建自己的工业网络安全体系的时候,首先要明确网络的漏洞在哪,这样才能有针对性的构建正确的"工业网络安全"体系,而一般的网络安全漏洞主要来自以下几个方面:
原有设备的安全问题:如元器件的老化、设计不合理、安装方式、环境安全性等因素都可能带来设备层的硬件安全问题。而以美国ICS-CERT(工业控制系统应急响应小组)所出具的报告表明,工控设备的漏洞数量正在逐年增加CONTROL ENGINEERING China版权所有,其中数量最多的漏洞为明文传输的通信流量数据、缓存溢出、拒绝服务等高危漏洞。
后门问题:由于工业现场多为偏远地区,为提供更便捷的远程管理,工业设备制造商会采用远程管理运维的方式。因此,工业用户默认将工控设备内置的调试后门打开,这同时也给了恶意攻击者可乘之机。
工业网络病毒:工业控制网络基本采用一定的隔离手段,因而针对工控网络的攻击在隐蔽性、传播性上相较于普通病毒都大幅度的提升。
高级持续性威胁:APT(高级持续性威胁)以其巨大的危害以及难以被察觉的特点渐渐成为各网络攻击团体采用的主要攻击方式。
无线技术风险:无线技术的发展为工控系统带来了远程通信的便利与低成本。而随着无线技术的广泛应用控制工程网版权所有,无线信号干扰、信道的选择都成工业通讯的无线化技术已成为近年来研究的方向。
ORing 工业网络安全套件
"而ORing作为一家提供工业以太网解决方案的领导品牌,始终把网络安全的研究作为产品的研发重中之重,陆续推出了一些网络安全标准技术,能够帮助工业企业正确的构建自己的'工业网络安全'体系,为工业以太网的安全提供最有力安全保障",杜宗扬自豪的介绍道。
1.基于IP/MAC设备绑定功能
ORing交换机支持基于IP/MAC地址绑定功能,只有当连接设备的IP和MAC地址都匹配,才允许设备连接交换机,其中任何一个参数不正确都会被拒绝连接到交换机,防止未经授权的设备连接到网络,影响网络通讯。
2.DoS/DDoS攻击自动防御:
ORing交换机支持DOS/DDos攻击自动防御功能CONTROL ENGINEERING China版权所有,当交换机检测到某个IP设备流突然间升高CONTROL ENGINEERING China版权所有,交换机会自动锁定改数据流的源IP地址,保护网络免遭受外部攻击。由于是基于硬件设计的防御,可以防御大规模DDos网络攻击。
3.802.1x协议
ORing支持IEEE 802.1x,确保网络连接的安全性。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。认证通过以后,正常的数据可以顺利地通过以太网端口。
4.SSL VPN远程安全连接
SSL VPN是采用SSL(Security Socket Layer)协议来实现远程介入的一种新型VPN技术。SSL内嵌在浏览器中,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件,任何安装浏览器的机器都来可以使用SSL VPN,简单实现信息远程连接。同样对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。ORing VPN路由器支持SSL VPN远程连接,保证数据通讯安全。
ORing网络安全产品的实际应用
杜宗扬表示:"ORing的网络安全产品性能并非是自吹自擂,而是有实际的应用。在2012年至2015年参与到美国洛杉矶的平安城市项目。该项目主要是在洛杉矶建立街区的安防视频监控系统,从而保障居民的生活和出行安全及利益,预防打击犯罪,并建立应急响应。"
整个街区布满了摄像头进行视频数据采集和监控,为了要将这些视频数据实时可靠地传送安全控制中心,ORing为这个项目构建了一套安全可靠的基于以太网的通讯架构。IGS-9084GP系列全千兆导轨式以太网交换机就近连接监控摄像头,并相互连接组成环形网络,支持ORing私有的网络容易技术O-Ring,可以实现在10ms内快速的网络自愈,从而确保网络的可靠性。控制中心采用RGS-PR9000系列模块化全千兆机架式交换机,作为汇聚层交换机将视频数据传传送至控制中心,并在中心显示屏上进行显示。
由于视频数据的重要性,整个网络必须提供高度的安全性,抵抗网络黑客攻击。因此,ORing交换机支持DoS/DDoS自动防御、基于IP和MAC地址绑定的访问控制机制、RADIUS安全认证、SNMPv3加密认证和连接安全等,可最大化防御黑客攻击。
"此外,为了使用恶劣的现场环境,ORing交换机支持-40~70℃宽温,且通过了多项安规认证控制工程网版权所有,以确保产品在恶劣环境下,仍能保持可靠的网络通讯。ORing的端口汇聚功能还能在监控网络流量发生浪涌时增大带宽。不仅如此,可视化网管软件Open-Vision使得ORing交换机的配置和网络拓扑生成变得更为简单",杜宗扬补充道。