工业物联网肯定已经开始引起业界的注意,这带来了网络安全问题,因为它需要将现场设备和其他自动化系统组件连接到外部世界,通常是通过互联网。许多自动化组件中都内置了连接性功能,通常是通过以太网端口,但是这些连接能确保安全吗?

IIOT安全

连接需要遵循一定的规则,公司的IT部门应该参与实现。如果需要连接到工业物联网,则必须具备所需的基础设施或服务,如虚拟专用网络(VPN)或远程托管系统。在硬件层面上,一个安全可靠的连接比一个简单的、不那么安全的网络花费更多,尽管这是一个很好的起点,但网络安全不应该止步于此。

安全层

分层安全,或国土安全部所指的深度防御的概念,是一种具有多个安全层的网络防御策略,以减缓攻击者。有很多层,包括物理访问安全、授权和身份验证、数据和通信加密,还增加了新的技术层。

Although not discussed here, don’t forget about some of the other defense-in-depth strategies such as providing physical separation between corporate and control networks, employing DMZ zones, disabling unused ports and services, intrusion detection and antivirus software, and management of the upgrades and the remediation of security issues. All of these layers are typically planned out during the single-point failure analysis and the risk mitigation phase of the project, but let’s get back to the physical access security layer.

限制物理访问从设施围栏线开始,一直到控制柜或服务器室门。将电脑和控制器放在锁着的门后是减少篡改和盗窃的有效方法。

授权和身份验证

工业物联网连接网络的另一层安全是授权和认证。可以使用各种访问控制来验证和限制谁有权访问什么数据。内置工具通常是可用的,例如在人机界面和智能手机中,可以实现用户名和密码策略。还可以使用基于角色的访问控制,例如将操作人员排除在工程或技术功能和屏幕之外。访问列表通过限制访问某个列表上的用户来为网络提供安全性。访问列表还可以用来决定哪些流量被转发,哪些流量被阻断。

认证应该在HMI和手持设备级别(智能手机和平板电脑),以及所有工厂的pc上进行。实现基本的用户名和密码要求可以限制未经授权的用户访问人机界面、数据库和其他工厂应用程序中的功能和数据。万博官网手机登陆

IIOT安全

访问控制列表和应用程序白名单是下一级别,限制对敏感万博官网手机登陆数据或网络区域的访问。可以创建预定义的帐户以限制每个用户的访问级别,只对他或她执行工作所必需的。这些帐户可以在HMI应用程序的设计阶段进行配置,当使用内置安全性和数据加密时,使用现代HMIS时,任务更容易。万博官网手机登陆

网络管理人员通常负责实施每个行业标准和公司政策的安全功能。一个好的开始是Homeland Security的国家网络安全部门,控制系统的安全计划标题,推荐的实践:通过防御深度策略改进工业控制系统网络安全

远程访问介绍问题

远程访问呈现安全困难,因为信​​息现在正在流入并从全球用户流出设施。虽然物理安全性和身份验证是相对容易的方法来确保敏感数据,但通过路由器和防火墙远程访问设备更加复杂。通过另一级安全性提供此远程访问,该安全性可能包括端口转发,IP安全(IPSec)协议和VPNS - 所有技术要配置的所有技术。

路由器和防火墙中的端口转发功能允许来自IIOT的传入消息转到设施内的特定设备。然而,由于端口转发到两个设备之间的数据,通常超过未知网络,因此它将端口打开到黑客,因此可以拦截数据并可能改变。

IPSec协议通过提供发送方的身份验证和数据加密来关闭端口。它可以在终端主机上实现,也可以在路由器中实现。它对于实现对私有网络的远程访问的vpn也很有用。

VPN是一种安全可靠的公共网络远程访问连接方式。它通过给远端设备一个网络上的IP地址,使远端设备看起来就在本地网络上。这提供了一个安全的远程访问连接。然而,这些连接可能很难配置。

查看蜂窝远程访问博客在这里

易于保护的图层

安全要求不改变是否在本地或远程工作。幸运的是,新技术正在使使用IIOT更容易地交换数据。有几个即插即用的防火墙是工业协议感知的,许多云提供商提供出色的网络安全功能。

随着更强大的现场设备的开发,最弱的链接仍然是认证,授权和安全通信。解决这些弱点的一些新兴技术包括云访问安全代理(CASB)和软件定义的网络(SDN)

Casb是在云服务和云用户(如智能手机,HMI或PC等云用户)之间的中间件。为了帮助安全的互联网和基于云的应用程序,Casb管理并强制执行企业安全策略。万博官网手机登陆虽然Casb尚未在这里,但它以网络安全的形式出现。这将使您可以更轻松地与连接到本地网络的多样化云提供商安全。

另一种简化网络安全的新技术是SDN。SDN类似于服务器,HMI和PC工作站虚拟化。在SDN的情况下,它将网络配置和安全策略与物理硬件和连接分开。实际使用软件创建硬件实例的能力使动态更改成为网络资源。当网络流量和安全性与网络硬件分离时,更改,扩展和重新配置会更快。

需要考虑更多的层次和新技术,以及将出现的新的安全威胁。虽然一层或两层可能消除大多数安全威胁,但添加更多的层将有助于消除所有安全威胁。