物联网|万物联网时代来临 打破封闭内网提升网络安全( 三 )
本文插图
图 5:检视网络流量 , 降低内网恶意攻击行为
提高网络威胁能见度(图 6)
主要有三点:
(1) 揭露隐藏的风险
加强对高风险活动、可疑流量和进阶型威胁的可见度 。
(2) 阻止未知威胁
透过大数据分析、学习和系统漏洞补防 , 保护企业组织网络安全 。
(3) 隔离受感染的系统
自动隔离网络中已经遭骇的系统 , 并阻止威胁扩散 。
本文插图
图 6:检测加密、非加密网络联机是否有恶意行为
管制 port 的建立联机机制
开越多的对外服务 Port , 代表把自己暴露在外的风险因素增加 , 所以对于已知的联机对象 , 不管对方是使用动态或是固定 IP 地址 , 都可以利用防火墙普遍有的 IPSec VPN , 建立安全的 VPN 信道传递信息(图 7) , 而不需要开 Port 的方式达成联机的需求 。
本文插图
图 7:透由 VPN 强化安全联机
建立白名单管理机制
由于恶意软件的变种速度太快 , 如果靠黑名单来做把关可能没那么可靠 , 所以对 IOT 设备的软件管理权限 , 应该都用白名单机制来进行控管 。 在 IOT 场域里具有极少变动的特性 , 通常系统在安装后 , 应用程序即维持不变 。 管理者可以决定哪些程序是允许被执行 , 其余的程序将被阻挡 。 当所有程序被允许执行时 , 应用程序白名单可以过滤内容或限定其带宽使用量 。
本文插图
图 8:ShareTech OTS 提供白名单防护机制
只允许特定的协议通过 , 避免非必要的数据泄出
在工控环境系统 , 有些单位为了远程管理的便利性 , 使用 SSH、Telnet、网页登入联机模式 , 如果没有采取任何安全管理措施 , 例如:只限定某些特定 IP 才能存取 , 或者必须经过身分认证后才能使用服务(图 9) , 否则让黑客轻易入侵系统管控设备 , 容易引起大灾难 。 SharTech OTS 防护设备可以与 AD/POP3/Radius 做认证授权机制 , 可协助管理人员与监控企业内部所有使用者账号 , 在确认使用者的 ID 的有效授权之后 , 才能允许其使用网络 , 让企业可以有效管理网络使用资源 。
本文插图
图 9 ShareTech OTS 防护设备提供身分识别机制
支持工业网络协议
ShareTech OTS 防护的设备要能支持常用的工业控制协议(图 10) , 例如 , EtherCAT 使用 TCP/UDP 34980、EtherNet /IP 使用 TCP 44818 UDP 2222 , 管理者只要选取这一些协议名称 , 会自动对应出应该开放的 Port 号 , 至于其他的通讯 PORT 全部被关闭 。以计算机组装线为例 , 若封包夹带可疑的参数 , 要求机械手臂执行标准以外动作 , ShareTech OT 防护设备在接获数据封包后 , 将进行封包分析、阻挡 , 降低计算机厂商蒙受巨额财物损失 。
本文插图
【物联网|万物联网时代来临 打破封闭内网提升网络安全】
图 10:ShareTech OTS 支持工业协议埠
专属 OPC 入侵防御机制
导入 OPC 入侵防御机制(图 11) , 收集所有 IT、IOT 网络的封包与讯号 , 并且采用深度封包检测(DPI)的方式进行比对 , 分析通讯协议当中的每个层级 , 掌握出现异常数据的行为 。 让管理者可以在与关键工控设备连接的网络路径上 , 及时侦测到攻击事件的发生、并依照管理员的设定 , 中止或阻绝入侵行为 , 包括自动拦截弃置攻击封包 , 并依据设定 , 留下攻击的记录即通知管理者等连续的应变措施 。
推荐阅读
- 威海晶合数字矿山|智能传感器是物联网的关键吗?
- 行业互联网|华为在法国成立第六家研究所,将会继续提升研发能力
- 行业互联网|大华股份与浙江高信签署战略合作协议 共建智慧交通
- 行业互联网|常程跳槽判决来了,支付525亿“违约金”!结果依然有望反转?
- 行业互联网|华为为何在法国就设立了6家研发中心?
- 行业互联网|2020走进华为西安研究所成功举办,探索“5G+云+AI”
- 行业互联网|华为 | 车载以太网物理层及TSN发展现状 与技术趋势
- 互联网乱侃秀|家里洗衣机噪音太大?这些原因你都排查了吗
- 行业互联网|移远通信携手中国移动举办5G行业终端扬帆计划闭门会
- 行业互联网|【富士康出售63万股阿里巴巴ADS,再获利1.2亿美元】