我们中的大多数人已经在工业网络周围呆了足够长的时间,看到我们处理工业控制系统(ICS)网络的方式发生了重大变化。从空气间隙的概念到普渡模型的实施,一个不断变化的网络安全威胁环境是由一种适应或被黑客攻击的心态驱动的。随着企业试图在厂房和办公大楼之间协调决策,随着我们努力访问制造中心内的宝贵数据,预计会有越来越多的变化。
但是,为了安全可靠地实现工业4.0的发展,我们需要将重点放在非军事区(DMZ)这一优秀的网络设计上。今天,我们将回答关于非军事区的三个问题:它是什么、它是如何工作的以及它为什么有价值。
网络DMZ或周界网络的概念可以追溯到普渡模型的出现。我们如何安全地分离两个目的和要求截然不同的网络?答案是通过实施DMZ。DMZ的存在是为了提供一个安全、中立的区域,在我们高度连接但高风险的业务网络和我们低连接、低风险的ICS网络之间交换数据。数据从制造中心向上流动,决策从董事会向下流动。但非军事区如何保护我们?让我们来谈谈现代非军事区是如何运作的。
现代DMZ在商业网络和ICS网络之间充当逻辑和物理屏障。来自业务网络的流量指向生活在DMZ中的系统,DMZ系统对任何ICS资产的访问都是有限和受监控的。业务和ICS网络之间不允许直接连接流量。通过这种方式,DMZ为我们提供了一个单一的位置来监控和验证试图在网络之间传输的所有流量。通过在DMZ的入口和出口点使用不同的防火墙,我们还提供了一种纵深防御策略。由于责任和访问不同,一个防火墙中配置错误的规则不会通过另一个防火墙传播,从而降低风险并提高恢复能力。
但是,为什么首先需要存在一个DMZ呢?它是如何提供价值的?我们能从中获得什么?
DMZ的存在是因为它是并且一直是完全解锁工业4.0的关键。通过实现业务和ICS网络之间的连接,我们可以将企业的战略决策与工厂的运营决策联系起来。我们可以在实时数据的基础上采取实时行动,而工厂反应能力的提高将继续为更高效的生产提供支持。企业可以利用这些数据全面实施工业4.0,工厂可以继续朝着灵活、有效和精益的方向努力。通过使用非军事区,我们可以维持网络安全保障,使我们保持安全和多产。当我们将已连接的企业与已连接的工厂集成在一起时,DMZ将仍然是良好网络设计的重要方面,并在未来几年继续提供价值。
Thomas Roth是IIoT的领导哈格罗夫控制+自动化,是控制系统集成商协会(CSIA)。有关Hargrove Controls+Automation的更多信息,请访问工业自动化交换.