随着工业互联网的发展,越来越多的企业从封闭系统走向互联开发,数据传输从LAN到WAN。如何解决日益增长的从边缘设备到云端的数据传输需求?如何应对数据传输中的安全挑战?这些问题也随着工业互联网的发展成为热议的议题。
5月24日举行的首届中国工业信息安全大会发布的《中国工业信息安全产业发展白皮书》显示当前工业信息安全的“三大传统威胁”呈现增势。
一是大规模、高强度工业信息安全事件频发,工业领域成为网络攻击“重灾区”。公开数据显示,2017年工业信息安全事件席卷了全球150多个国家1万多个组织机构;二是工控安全漏洞层出不穷,高危漏洞占比近六成,且大量集中于装备制造、交通、能源、智能楼宇等重要领域,严重威胁国家信息基础设施安全;三是工控系统及设备大量暴露于互联网,已经成为世界各国工业信息安全的软肋。据国家工业信息安全发展研究中心监测,截至2017年12月份,全球超过10万个工控系统及设备暴露于互联网,比2016年增加了42.9%,其中我国位居第五,并且超过全球增幅,使得黑客发现攻击目标的难度大大降低。
对于企业所有者而言,部署从LAN到WAN具有许多益处,但也伴随着诸多挑战。在寻找可用解决方案之前,需将如下三大策略考虑在内。
1.带宽充足、可用性高的网络能够避免网络中断、停机和故障
与传统网络相比,IIoT网络中的设备更多,因此提高IIoT网络的可靠性显得更为重要。虽然将多个网络融合成单一 IIoT网络会带来诸多益处,但对于企业所有者而言,网络中断、停机或故障都是特别棘手的问题,因为这意味着整个系统都将停止运行,而融合之前只有一小部分系统无法正常运行。
提高IIoT网络可靠性的一种方法是确保网络可用性并提高带宽。高可用性意味着网络设计支持冗余功能,能够防止单点故障,确保网络持续正常运行。此外,这种冗余网络设计还可以最大限度地缩短修复网络问题所需的停机时间。随着加入IIoT网络的设备越来越多,务必确保这些设备和应用运行时不会发生延时,不会使网络过载从而导致网络崩溃。
网络带宽:对于使用无线技术的IIoT网络,802.11ac和4G LTE标准提供的吞吐量和传输速度明显优于先前的标准,因此这些标准非常适合用于融合工业网络。为确保可用带宽充足,强烈建议有线以太网网络使用10G带宽。尽管在大多数情况下5G带宽可能足够,但发生网络停机的可能性会高很多。就整个网络生命周期而言,选择5G网络的成本几乎必然高于选择10G网络的成本。
网络冗余:随着网络扩展,其中包含的设备和应用越来越多,网络冗余会被频繁应用,这是因为网络冗余能够在发生单点故障时,避免数据包丢失。网络冗余能够确保在网络中发生单点故障时,通过当前处于活动状态的点重新路由数据,从而避免数据丢失和网络停机。
总而言之,企业所有者应部署支持充足带宽和智能冗余的网络,确保网络不会发生任何中断、停机和故障,从而使网络满足未来发展需求。
2.确保目前及未来的网络安全
许多系统操作员都表示,采用纵深防御安全架构是确保网络免受网络攻击的最佳方式,这种架构的设计能够保护各个独立的区域和单元。对于需要跨这些区域或单元进行的通信,必须通过防火墙或VPN 完成。部署这种架构能够降低整个网络因遭受攻击而出现故障的可能性,因为每一层都能够应对不同的安全威胁。此外,这种架构还能降低整个网络的风险;如果网络的某一部分发生问题,该问题很可能只保留在该层,而不会向其他层蔓延。
解决网络安全问题后,需要考虑的下一步是如何避免用户无意或有意地对设置作出产生不良后果的更改。操作和管理网络的用户、第三方系统集成商以及要求执行网络维护操作的承包商都可能造成这种问题。
保护网络免受这种威胁的最佳方式是增强网络设备的网络安全,确保它们的设置不会以危及设备或网络安全的方式进行更改。许多网络安全专家将IEC 62443标准视为对如何保护工业网络中的设备具有重大意义的出版物。此标准中包含一系列指南、报告和其他相关文件,定义了实施电子安全IACS(工业自动化与控制系统)网络的相关程序。
在自动化系统的整个生命周期中,都需要由当地工程师或系统集成商执行维护。随着网络,特别是IIoT网络的不断发展和变化,需要对网络及其中的所有设备进行持续监视,确保它们受到适当保护,能够抵御网络安全威胁。
由于负责监视和维护网络中不同设备的维修人员往往人数众多,让所有维修人员基于自身的知识或经验执行安全设置并不妥当。因此,应制定良好的标准操作程序,明确定义如何配置设备设置,而所有维修人员应始终遵循这种程序。采用用户友好型安全管理工具可帮助操作员设置众多网络设备的安全级别,并快速、轻松地监控安全状态。
3.远程访问的安全通信隧道
如果您正在考虑通过云服务设置远程访问,那么远程连接解决方案完整套件应包括:用于现场部署的安全网关、兼容云服务的安全远程访问平台和安装在用户的设备上可实现简单、安全的远程连接的客户端软件。
IIoT 网络通常需要多个网关,因此支持远程监视至关重要,如果出现问题后可以远程纠正,则无需到现场解决。为防止存储在网关中的数据遭到篡改,应使用TPM(可信平台模块)等文件保护系统加以保护。对于远程连接,应采用VPN(虚拟专用网络)连接控制中心与网关。
目前,我国工业信息安全仍存在诸多隐患。如何让工业互联网更好“赋能”实体经济,既保证效率,又保障质量是通信人亟待解决的问题。Moxa作为引领工业互联(IIoT)的通信品牌,顺应IIoT趋势,在过去几年间开发出了边缘到云端连网解决方案支持全面工业连网,帮助企业所有者轻松、快速且智能地部署IIoT应用。
(转载)
