江苏龙网

  1. 首页 > 资讯 > 科技 > >

物联网|万物联网时代来临 打破封闭内网提升网络安全( 二 )


(6) 事件纪录跟搜寻:
现况 , 每一个设备都是独立运作 , 并各自保留记录 , 能记录的项目及时间就看设备本身的储存装置 , 当需要事后查询时 , 就需要进入每一个设备中 , 用他的方式去查询 , 费时耗力 。
(7) 过期设备系统安全更新:
设备厂商会对设备的操作系统进行例行的安全性更新 , 当设备厂商宣布设备停产或是倒闭后 , 就不会对设备进行安全性更新 , 例如 , Microsoft 对 Windows 7 就不会进行任何安全性更新 , 此时 Windows 7 的漏洞就暴露出来 , 让有心人士有机可趁 。
但是在工业环境中 , 因为整体系统软硬件一起运作的因素 , 设备更替的速度跟 IT 环境是不一样 , 往往 10-20 年的设备依旧在运作 , 没连网前没问题 , 一旦上因特网就有潜在的威胁 。
(8) 无专业维护人员:
多数 OT 管理者对 IT 维护不熟悉 , 很担心设备发生故障或出现问题时 , 无法实时处理而影响产线的运作 。
区隔 IT 与 OT 网络架构 , 保护 OT 内网安全胁
攻击的来源来自四面八方 , 在信息跟网络安全的考虑下 , 众至建议导入智慧联网工厂将目前的网络架构进行调整 , 每一个不同目的的网络区块 , 执行不同安全等级的信息安全防护 , 例如 , OT 网络联机的对象都是固定 , 所以在防火墙上就可以执行严格的白名单策略 , 非允许的 IP 地址都会被拒绝联机 。 将对外供应链的服务器、OT 网络跟内部网络进行实体网络的区隔 , 新的网络架构示意图(图 3)如下:

物联网|万物联网时代来临 打破封闭内网提升网络安全
本文插图

图 3:区隔 IT 与 OT 网络环境
面对传统制造业的升级转型 , 智能工厂中的 IT 与 OT 的整合也扩大了企业的攻击面 , 传统安全措施不太会充分考虑这些 , 例如 , 可能不适用于 OT 的区隔安全解决方案 。 正因如此 , 智慧工厂不仅容易受操作问题影响 , 也易受到 DDoS、勒索软件、网络钓鱼、系统漏洞、恶意软件、装置遭害等影响 。
IT 与 OT 的思维不同 , IT 要的是创新 , OT 要的是稳定 。 为了有效让 OT 环境维持稳定运作 , 除了区隔 IT 与 OT 网络环境外 , 建议在强化威胁情报信息通知 , 以达到【事前防范】、【事中阻挡】及【事后追踪】运作目标(图 4) , 减少被黑客、病毒入侵及攻击的机会让整个网络达到可控、可管的目标 , 就算被瘫痪 , 也能把损失控制在一个小区域 , 不会外散到整个网络环境 。

物联网|万物联网时代来临 打破封闭内网提升网络安全
本文插图

图 4:藉由端点防护设备、纵深防御、全面管控与威胁情报 , 打造内外网安全
ShareTech 智能工厂 OT 架构与解决方案
概念是把每一个运作的单元用防火墙区隔 , 要进出本区之外的网络都需要进行身分识别及留下存取纪录 , 并利用 VPN 的加密技术 , 把原本在网络上明码传递的信息加密 。 然后整体的 IT 网络跟 OT 网络也是用防火墙做切割 , 只有被允许的人才能存取另一边的网络 。 在这个架构下 , OT 层的网络防护的机制说明如下:
网关安全防护
具备防火墙的防护机制(图 5) , 能够阻挡黑客的恶意扫描及碎片攻击等 , 能够阻挡的项目包含封锁 IP、封锁 Land 攻击、封锁Smurf、封锁 Trace Route、封锁 Fraggle、封锁 Tear Drop 攻击、封锁 ICMP / SYN / PIN of Death 等攻击 。
保护后端的服务器或是 PLC 等工业连网设备 , 避免 ICMP / SYN(TCP) / UDP 等通讯协议的洪水攻击(DOS)跟分布式洪水攻击(DDOS) , 导致服务被中断或式瘫痪 , 针对每一个通讯协议可以设定保护的力道 。

物联网|万物联网时代来临 打破封闭内网提升网络安全


推荐阅读


上一篇:华为手机|9月iPhone12上市,买不起怎么办,换华为小米帮你参考下

下一篇:晓刚影视迷|华为无奈做出决定,高通也释放“信号”,手机行业将迎“变天”?