隨著工業互聯網的發展�,越來越多的企業從封閉系統走向互聯開發�,數據傳輸從LAN到WAN���。如何解決日益增長的從邊緣設備到云端的數據傳輸需求?如何應對數據傳輸中的安全挑戰?這些問題也隨著工業互聯網的發展成為熱議的議題�。
5月24日舉行的首屆中國工業信息安全大會發布的《中國工業信息安全產業發展白皮書》顯示當前工業信息安全的“三大傳統威脅”呈現增勢。
一是大規模�����、高強度工業信息安全事件頻發���,工業領域成為網絡攻擊“重災區”。公開數據顯示���,2017年工業信息安全事件席卷了全球150多個國家1萬多個組織機構;二是工控安全漏洞層出不窮,高危漏洞占比近六成���,且大量集中于裝備制造�、交通、能源�����、智能樓宇等重要領域�����,嚴重威脅國家信息基礎設施安全;三是工控系統及設備大量暴露于互聯網,已經成為世界各國工業信息安全的軟肋�。據國家工業信息安全發展研究中心監測�,截至2017年12月份�,全球超過10萬個工控系統及設備暴露于互聯網�,比2016年增加了42.9%�,其中我國位居第五�����,并且超過全球增幅,使得黑客發現攻擊目標的難度大大降低�����。
對于企業所有者而言�,部署從LAN到WAN具有許多益處�����,但也伴隨著諸多挑戰�。在尋找可用解決方案之前���,需將如下三大策略考慮在內�。
1.帶寬充足�、可用性高的網絡能夠避免網絡中斷�、停機和故障
與傳統網絡相比���,IIoT網絡中的設備更多,因此提高IIoT網絡的可靠性顯得更為重要。雖然將多個網絡融合成單一 IIoT網絡會帶來諸多益處�����,但對于企業所有者而言,網絡中斷�、停機或故障都是特別棘手的問題�����,因為這意味著整個系統都將停止運行,而融合之前只有一小部分系統無法正常運行。
提高IIoT網絡可靠性的一種方法是確保網絡可用性并提高帶寬���。高可用性意味著網絡設計支持冗余功能�����,能夠防止單點故障,確保網絡持續正常運行。此外,這種冗余網絡設計還可以最大限度地縮短修復網絡問題所需的停機時間。隨著加入IIoT網絡的設備越來越多,務必確保這些設備和應用運行時不會發生延時�,不會使網絡過載從而導致網絡崩潰�����。
網絡帶寬:對于使用無線技術的IIoT網絡,和4G LTE標準提供的吞吐量和傳輸速度明顯優于先前的標準���,因此這些標準非常適合用于融合工業網絡。為確??捎脦挸渥?��,強烈建議有線以太網網絡使用10G帶寬���。盡管在大多數情況下5G帶寬可能足夠���,但發生網絡停機的可能性會高很多���。就整個網絡生命周期而言�,選擇5G網絡的成本幾乎必然高于選擇10G網絡的成本�。
網絡冗余:隨著網絡擴展,其中包含的設備和應用越來越多�����,網絡冗余會被頻繁應用���,這是因為網絡冗余能夠在發生單點故障時�,避免數據包丟失。網絡冗余能夠確保在網絡中發生單點故障時���,通過當前處于活動狀態的點重新路由數據,從而避免數據丟失和網絡停機���。
總而言之,企業所有者應部署支持充足帶寬和智能冗余的網絡���,確保網絡不會發生任何中斷、停機和故障�����,從而使網絡滿足未來發展需求���。
2.確保目前及未來的網絡安全
許多系統操作員都表示���,采用縱深防御安全架構是確保網絡免受網絡攻擊的最佳方式���,這種架構的設計能夠保護各個獨立的區域和單元���。對于需要跨這些區域或單元進行的通信,必須通過防火墻或VPN 完成�����。部署這種架構能夠降低整個網絡因遭受攻擊而出現故障的可能性���,因為每一層都能夠應對不同的安全威脅�。此外�,這種架構還能降低整個網絡的風險;如果網絡的某一部分發生問題���,該問題很可能只保留在該層�,而不會向其他層蔓延�����。
解決網絡安全問題后���,需要考慮的下一步是如何避免用戶無意或有意地對設置作出產生不良后果的更改。操作和管理網絡的用戶���、第三方系統集成商以及要求執行網絡維護操作的承包商都可能造成這種問題。
保護網絡免受這種威脅的最佳方式是增強網絡設備的網絡安全,確保它們的設置不會以危及設備或網絡安全的方式進行更改���。許多網絡安全專家將IEC 62443標準視為對如何保護工業網絡中的設備具有重大意義的出版物。此標準中包含一系列指南、報告和其他相關文件���,定義了實施電子安全IACS(工業自動化與控制系統)網絡的相關程序。
在自動化系統的整個生命周期中,都需要由當地工程師或系統集成商執行維護���。隨著網絡,特別是IIoT網絡的不斷發展和變化,需要對網絡及其中的所有設備進行持續監視�����,確保它們受到適當保護�����,能夠抵御網絡安全威脅。
由于負責監視和維護網絡中不同設備的維修人員往往人數眾多,讓所有維修人員基于自身的知識或經驗執行安全設置并不妥當���。因此,應制定良好的標準操作程序,明確定義如何配置設備設置�����,而所有維修人員應始終遵循這種程序。采用用戶友好型安全管理工具可幫助操作員設置眾多網絡設備的安全級別�����,并快速�����、輕松地監控安全狀態�����。
3.遠程訪問的安全通信隧道
如果您正在考慮通過云服務設置遠程訪問,那么遠程連接解決方案完整套件應包括:用于現場部署的安全網關�、兼容云服務的安全遠程訪問平臺和安裝在用戶的設備上可實現簡單�����、安全的遠程連接的客戶端軟件。
IIoT 網絡通常需要多個網關,因此支持遠程監視至關重要�,如果出現問題后可以遠程糾正���,則無需到現場解決���。為防止存儲在網關中的數據遭到篡改,應使用TPM(可信平臺模塊)等文件保護系統加以保護���。對于遠程連接�����,應采用VPN(虛擬專用網絡)連接控制中心與網關。
目前�,我國工業信息安全仍存在諸多隱患���。如何讓工業互聯網更好“賦能”實體經濟���,既保證效率�����,又保障質量是通信人亟待解決的問題。Moxa作為引領工業互聯(IIoT)的通信品牌�,順應IIoT趨勢���,在過去幾年間開發出了邊緣到云端連網解決方案支持全面工業連網���,幫助企業所有者輕松���、快速且智能地部署IIoT應用���。
