善用物聯(lián)網(wǎng)安全方案 讓黑客無(wú)機(jī)可乘
在物聯(lián)網(wǎng)熱潮延燒下,接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論,尤其以工業(yè)4.0跳躍幅度最大,只因制造業(yè)過(guò)往采用封閉的序列通訊協(xié)議,尚可忽視安全課題無(wú)妨,如今走向IP通訊化,即需面對(duì)從零分到滿分的快速進(jìn)化需求。
不可諱言,從以往各自獨(dú)立運(yùn)作的系統(tǒng),邁入萬(wàn)物皆可互聯(lián)的物聯(lián)網(wǎng)時(shí)代,其間轉(zhuǎn)變確實(shí)相當(dāng)劇烈,而且這般的變革,對(duì)于不論是企業(yè)競(jìng)爭(zhēng)力、人類生活質(zhì)量,都可謂美事一樁,此乃由于,經(jīng)由物聯(lián)網(wǎng)設(shè)備所產(chǎn)生數(shù)據(jù)的分析探勘,可望從中挖掘?qū)氋F的信息,一旦加以善用,將能提升企業(yè)組織運(yùn)作效率,連帶強(qiáng)化運(yùn)營(yíng)競(jìng)爭(zhēng)力,同時(shí)有助于促使人類生活更趨精采多姿。
隨著工廠設(shè)備向IP通信,它有助于開(kāi)發(fā)諸如遠(yuǎn)程調(diào)試、維護(hù)等先進(jìn)的預(yù)測(cè)性智能應(yīng)用,而且還通過(guò)防火墻與網(wǎng)絡(luò)接觸,抵御惡意攻擊、網(wǎng)絡(luò)安全行業(yè)。
雖然過(guò)去的倉(cāng)(倉(cāng))(系統(tǒng)架構(gòu)意味著獨(dú)立封閉),在萬(wàn)物互聯(lián)的新局,可能會(huì)引發(fā)無(wú)限的好處,但在轉(zhuǎn)型過(guò)程中,也面臨嚴(yán)峻的挑戰(zhàn),最重要的挑戰(zhàn),無(wú)疑是信息安全,主要得益于獨(dú)特的通信協(xié)議,在過(guò)去的筒倉(cāng),很少與外界溝通,黑客一無(wú)所知這些封閉的語(yǔ)言,所以沒(méi)有辦法做任何安全威脅的IP通信設(shè)備廠的今天,不再是孤立的孤島,這種情況出現(xiàn)急劇的逆轉(zhuǎn)。
在4個(gè)行業(yè)當(dāng)前的熱點(diǎn)問(wèn)題為例,制造業(yè)在工業(yè)網(wǎng)絡(luò),蜷在里面的設(shè)備不同的筒倉(cāng),在試圖工業(yè)標(biāo)準(zhǔn)語(yǔ)言的幫助下,與外界溝通,交流的對(duì)象不僅包括異構(gòu)設(shè)備,制造執(zhí)行系統(tǒng)(MES),在同一時(shí)間有更上層的ERP、大數(shù)據(jù)云平臺(tái),旨在滿足遠(yuǎn)程監(jiān)控和預(yù)防性維護(hù)的需要;但在創(chuàng)新和追求突破之際,安全風(fēng)險(xiǎn)現(xiàn)在開(kāi)放的熊。
筒倉(cāng)開(kāi)放的安全挑戰(zhàn)
有設(shè)備主管說(shuō),與工廠的設(shè)備,如啟動(dòng)網(wǎng)絡(luò)、電機(jī)故障意外插曲似乎也跟著增加,雖然增加的幅度似乎不太可能,由停機(jī)時(shí)間造成的不長(zhǎng),但連續(xù)高效的制造企業(yè)生產(chǎn)線的運(yùn)轉(zhuǎn),已經(jīng)非常嚴(yán)重,因?yàn)橥C(jī)時(shí)間一旦數(shù)量增加,就會(huì)影響產(chǎn)能,利用率低,而在報(bào)廢的過(guò)程中,讓火原料,遭受了巨大的經(jīng)濟(jì)損失,甚至造成交貨延遲,商譽(yù)的影響,后果真的不應(yīng)該被低估;深究其原因,是由病毒感染或惡意軟件造成的由設(shè)備故障引起的案例,更讓人恐懼的是,如果反復(fù)出現(xiàn)這樣的現(xiàn)象,合理懷疑黑客是否侵入了門一步,企業(yè)就需要警惕,看有沒(méi)有泄漏有機(jī)智能?。
為了消除這些不利因素,負(fù)責(zé)企業(yè)技術(shù)的操作(操作技術(shù);OT)的人,它負(fù)責(zé)信息技術(shù)(IT)事務(wù)需要銅仁線,認(rèn)真考慮安全防護(hù)設(shè)備的部署,從防火墻設(shè)置為啟動(dòng);大家都知道的防火墻不是新技術(shù)發(fā)展至今,已超過(guò)20年,和保護(hù)的力度越來(lái)越強(qiáng),但問(wèn)題是,廠家一般商業(yè)VPN防火墻保護(hù)系統(tǒng)顯然是不適用于工業(yè)控制網(wǎng)絡(luò)。
業(yè)內(nèi)人士解釋常見(jiàn)的防火墻,守衛(wèi)在網(wǎng)絡(luò)服務(wù)器、個(gè)人計(jì)算機(jī)和其他計(jì)算節(jié)點(diǎn),這些節(jié)點(diǎn)將是唯一的入口門到互聯(lián)網(wǎng),因?yàn)檫M(jìn)口的流量,所以防火墻不能停下來(lái)仔細(xì)檢查每包一個(gè)接一個(gè),只有數(shù)據(jù)包的來(lái)源和目的地驗(yàn)證其合法性和合理性;在工業(yè)控制網(wǎng)絡(luò)中,與網(wǎng)絡(luò)有很大的不同,一個(gè)相對(duì)有限數(shù)量的設(shè)備包括,數(shù)據(jù)量小,但單一的包中包含的價(jià)值遠(yuǎn)遠(yuǎn)低于內(nèi)網(wǎng)流量很多,所以只有通過(guò)防火墻的數(shù)據(jù)包的地址和目的地的模式,肯定沒(méi)有足夠的需求,工業(yè)用地必須進(jìn)口的防火墻,如EtherCAD,PRofinet和其他工業(yè)識(shí)別協(xié)議,機(jī)器設(shè)備的常規(guī)通信方式的不同理解,因此,深入分析和數(shù)據(jù)業(yè)務(wù)的仔細(xì)檢查,以便實(shí)時(shí)檢測(cè)異常。
使用工業(yè)協(xié)議防火墻有助于防止黑客入侵
例如,在工廠里使用的機(jī)械臂的假設(shè),根據(jù)要求完成常識(shí)工作的步驟,以包括A,B,C,D,E和其他五個(gè)程序,如果有盜號(hào)現(xiàn)象,通過(guò)惡意軟件陣容,意在控制機(jī)械臂將步為A和B,C,D,F(xiàn),等于一個(gè)改變的過(guò)程;這一變化,防火墻應(yīng)該很難發(fā)現(xiàn),因?yàn)檫@類系統(tǒng)的工業(yè)通信協(xié)議識(shí)別能力不足,工業(yè)防火墻,能在第一時(shí)間斷然制止,等一個(gè)人改變規(guī)則不允許控制。
事實(shí)上,有幾個(gè)商業(yè)防火墻,在開(kāi)始的時(shí)候,他發(fā)誓要跳出簡(jiǎn)單的TCP / IP協(xié)議,開(kāi)發(fā)解析所有網(wǎng)絡(luò)流量?jī)?nèi)容的力量,現(xiàn)在關(guān)閉向4工業(yè)網(wǎng)絡(luò)安全,安全和其他領(lǐng)域,如帕洛阿爾托網(wǎng)就是一個(gè)例子。如果帕洛阿爾托制造企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備的部署,工業(yè)控制網(wǎng)絡(luò),即使在“Modbus只讀“臉(只允許讀取Modbus信息,是不允許寫(xiě)端)的規(guī)則和條件,同時(shí)也要確定和實(shí)施,獨(dú)自一人,能力和一般的防火墻產(chǎn)品是不一樣的。
另一方面,帕洛阿爾托網(wǎng)面保護(hù)任務(wù)的工業(yè)控制網(wǎng)絡(luò),無(wú)論守護(hù)的對(duì)象是工業(yè)計(jì)算機(jī),SCADA和ICS(工業(yè)控制系統(tǒng)),以信賴原則為零,不安全的假設(shè),所有的內(nèi)部用戶,由于每個(gè)銅仁的轉(zhuǎn)會(huì),必須充分遵守既定的行為規(guī)范,不允許有任何錯(cuò)誤,所以如果有任何用戶節(jié)點(diǎn),小心黑客的惡意軟件,超出標(biāo)準(zhǔn)的行為意圖,只要邁出了第一步,必須立即通過(guò)帕洛阿爾托網(wǎng)絡(luò)控制系統(tǒng)。
用單向網(wǎng)關(guān)實(shí)現(xiàn)實(shí)體網(wǎng)絡(luò)隔離
英特爾安全(原McAfee)是一個(gè)非常早期的腳網(wǎng)絡(luò)安全行業(yè)白名單是標(biāo)榜為控制基礎(chǔ),和零信任結(jié)構(gòu)頗有異曲同工的本質(zhì);所謂的白名單,主要是通過(guò)一套鎖定原軟件的網(wǎng)絡(luò)設(shè)備動(dòng)態(tài)白名單設(shè)置機(jī)制。為了避免下水道設(shè)備沒(méi)有權(quán)限執(zhí)行未經(jīng)授權(quán)的代碼,以確保設(shè)備安全;這樣做的原因,原因很簡(jiǎn)單,因?yàn)闆](méi)有安全的解決方案,解決100%的現(xiàn)在和未來(lái)都在面對(duì)風(fēng)險(xiǎn)的發(fā)展,方興未艾的網(wǎng)絡(luò)應(yīng)用程序,妥善管理這種不確定性,“強(qiáng)限制訪問(wèn)”無(wú)疑是最理想的方式。
此外,像發(fā)電廠,現(xiàn)在開(kāi)始走過(guò)去的封閉路線網(wǎng)絡(luò)(基于智能電網(wǎng)調(diào)度)的關(guān)鍵基礎(chǔ)設(shè)施,關(guān)鍵是非同小可,不讓黑客完成一點(diǎn)點(diǎn)的,所以保護(hù)措施必須更加嚴(yán)格;在此基礎(chǔ)上,該行業(yè)開(kāi)始調(diào)用瀑布單向網(wǎng)絡(luò)安全網(wǎng)關(guān)解決方案,形成“實(shí)體”的網(wǎng)絡(luò)隔離的要求。
據(jù)報(bào)道,在現(xiàn)階段,面對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)交換要求,企業(yè)通常采用兩種方法來(lái)防止網(wǎng)絡(luò)攻擊。一個(gè)是通過(guò)防火墻,網(wǎng)絡(luò)區(qū)域劃分為一個(gè)獨(dú)立的網(wǎng)絡(luò)環(huán)境,然后使用防火墻規(guī)則來(lái)限制訪問(wèn)的行為,但這種做法是懷疑,和非隔離的物理層網(wǎng)絡(luò)隔離仍然是連接,如果防火墻規(guī)則的疏漏,還可能導(dǎo)致兩網(wǎng)絡(luò)環(huán)境之間的邊界趨于模糊。另一種方法是直接的物理隔離,切斷了智能網(wǎng)絡(luò)通信部分,但它會(huì)在外部網(wǎng)絡(luò)的數(shù)據(jù)交換構(gòu)成障礙,那么企業(yè)就便攜式存儲(chǔ)設(shè)備以滿足交流的需要,而導(dǎo)致跟蹤審計(jì)是不容易的,獲得更大的風(fēng)險(xiǎn)。
通過(guò)單向網(wǎng)絡(luò)安全網(wǎng)關(guān),迫使任何數(shù)據(jù)只能從網(wǎng)關(guān)到網(wǎng)關(guān)碳RX TX,完全消除任何反向傳播的可能性,黑客使用傳統(tǒng)的三次握手機(jī)制為突破口的搜索盲區(qū),將返回Shayu。