1.保持生产运行。恢复和正常运行时间是工厂地板上的关键优先事项。确保以熟悉的方式确保安全系统功能,以便习惯于处理控制系统的工厂地板上的人才可以理解它们。例如,如果恐慌的操作员在紧急情况下进入错误的密码,请勿创建一个安全系统。
2.划分vlan。使用不同的vlan将您的生产车间资产与管理功能(办公室电脑、前台门锁等)分开。通常将生产网络划分为三个部分——plc、HMI用户和服务器——以减少不必要的流量是有用的。也可以控制对网络交换机的管理接口的访问。利用可访问的IP列表来限制对网络设备的管理访问。这个列表只允许从预先选择的IP地址列表连接到交换机的管理接口。为了进一步防止对管理接口的访问,也可以为此目的创建一个单独的管理VLAN。然而,许多工业网络在单一VLAN中使用平面IP方案。创建单独的vlan可能会给一般系统带来更多的复杂性,但是可访问的IP列表通常可以提供适当数量的保护以及所需的简单性。
3.使用管理交换机。使用托管交换机设计网络,允许数据流控制并减少网络负载。这些设备包含一个管理接口,可以让您更好地控制它们的操作,以及限制对网络的访问。非托管交换机不提供任何类型的控制,并允许任何设备插入网络。托管交换机还允许网络设计人员禁用任何未使用的端口。这可以防止未经授权的设备访问网络。可以禁用这些端口,也可以配置为使用中央RADIUS服务器,该服务器可以使用802.1X控制对这些端口的访问。这需要更多的配置,但允许您的所有网络设备拥有一个集中管理的单一用户数据库,而不必在单独的交换机上管理用户名和密码。请务必修改交换机的默认admin密码。它通常设置为默认值,许多人无法更改它。不用说,这是一个大问题,应该经常改变。
4.防止网络环路。许多工业网络在系统中都设计了冗余路径,并且已经采用了冗余/环路预防机制。这也是托管交换机的一个特性。如果没有环路预防协议,任何端口都可以用以太网线连接到交换机上的另一个端口,从而产生广播风暴。这会破坏交换机和网络。这类问题也很难跟踪和清除网络。环路预防协议包括生成树变体,如快速生成树。对于工业应用,这些可能太慢,但优化的解决方案,如TurboChain和广播风暴预防(BSP),可以提供毫秒级的响应时间,以防止网络环路的发生。这些特性可用于防止恶意拒绝服务中断的发生,以及防止意外的以太网电缆环回。
5.寻找冗余和健壮性。拥有易于破坏的设备会让攻击者的工作更容易。所有网络组件,包括布线、机柜和活动设备,都需要经过工业加固,具有高的平均故障间隔时间(MTBF)评级,因为工业设施中存在恶劣的环境。工业网络中的主动组件,如交换机和路由器,需要支持工业冗余技术和生产需求所需的冗余级别。这将在恶意软件或其他网络入侵事件中保持运行。
6.早期网络警告系统。将安全与工业控制系统集成在一起对于网络中的支持和安全事件监控都是至关重要的。使用这样一个系统将有助于检测网络上的异常活动,这是一个在工业自动化领域通常做得很差的领域。如果一个只读远程操作站突然试图对PLC编程,工厂人员需要立即得到警报。等到IT团队第二天分析事件就太晚了。
7.优化防火墙以保护合适的协议。防火墙应该优化,以确保Modbus和OPC等SCADA协议的安全,而不是电子邮件或网络流量,这些在工厂系统中是没有地位的。检查电子邮件和网络流量的产品只会增加安全解决方案的成本和复杂性。设计您的安全系统处理非常宽的功率范围,因为工厂地板经常有脏电源。
喜欢这篇文章?在这里下载整个剧本