今年,贝尔登工业以太网基础设施设计研讨会在休斯顿举行,因此许多会议都集中在石油和天然气领域的应用上。我有幸参加了斯科特·霍华德关于网络安全的讲座。在这篇文章中,他回顾了工业网络网络安全措施的主要目标:
- 提高安全性
- 减少停机时间
- 提高生产力
换句话说,网络安全的目标与大多数制造团队的核心目标是相同的。
本文回顾了Scott所描述的网络安全基础知识,并解释了百登的产品如何适用于工业网络解决方案。在本文的第二部分中,我将介绍Scott讨论过的三种油气应用,并描述每种应用的网络安全解决方案。
工业网络安全威胁来源
在过去的几年里,有许多高调的高级恶意软件威胁攻击了能源领域(例如,Stuxnet, Flame, Shamoon)。虽然这些都是油气行业风险评估中需要考虑的重大威胁,但事实上,它们只占总威胁源的一小部分。
斯科特解释说,大多数威胁来自工业网络内部。行业研究表明,威胁来源细分如下:
工业网络很容易发生内部事件,因为网络上有很多电脑每周7天、每天24小时运行,而且没有防病毒保护。此外,恶意软件有很多方式进入控制网络,如USB密钥、维护系统和访客的笔记本电脑。为实时I/O设计的控制器,而不是健壮的网络通信,可能不能很好地响应畸形消息或高流量。最后,许多工业网络是“完全开放”的,子系统之间没有隔离,这使得问题很容易传播到工业安全防御不够
您可能认为,因为有防火墙保护网络的边缘,所以工厂网络是安全的。然而,正如我们刚才所解释的,许多网络安全事件源于工业网络内部。因此,需要采取额外的安全措施,以加强控制网络。
最好的方法是深度防御,即有多层和类型的安全措施。最好的指导方针是ISA/IEC 62443(以前的ISA99)标准,该标准建议在网络中定义“区域”,并允许区域仅通过安全的“管道”进行通信。通过这种方式,可以保证区域之间只有最小的必要网络流量通过,异常流量产生告警并被阻断。
为什么IT解决方案不适用于工厂网络
多年来,IT专业人士一直在成功应对网络安全威胁。为什么这些相同的解决方案不能应用于控制和SCADA网络?原因如下:
- 无法使用自动化的第三方工具保护控制设备。
- 打补丁或更新plc通常是不切实际的。
- 制造网络不能像商业网络那样关闭以进行测试、配置和维护。相反,必须在工厂网络运行时建立和维护工业安全产品。
- 工业网络使用独特的通信协议,这在IT世界中是看不到的,IT安全产品也无法解决。
- 植物需要坚固的设备,可以在恶劣的电气和环境条件下生存。
- 此外,工厂网络设备需要工作几十年,而IT设备的生命周期以年为单位。
最后,工程人员需要易于使用的网络安全解决方案。虽然你是制造产品或编程plc的专家,但你可能不是网络安全专家。因此,工业网络安全解决方案需要易于使用,以最大限度地减少设置和持续使用中的人为错误。
网络安全入门
改善网络防御的第一步是进行风险评估。如果您不确定如何进行,本文底部有一些资源的链接,这些资源将对您有所帮助。
或者,您也可以与百登的安全合作伙伴合作,如Cylance、exida或Securicon。这些公司可以帮助您快速且经济有效地制定和实施安全计划。
一旦计划开始,使用安全生命周期(如下所示)来指导您的行动,以保持防御的最新状态。
百登工业网络安全解决方案
百登的产品线支持多种级别通信的安全性,包括物理级别的高可靠性电缆和数据级别的交换机,具有许多内置的安全功能。在OSI模型的网络级别和更高级别,我们有特定于安全的产品,包括EAGLE路由器和Tofino安全设备。
一般来说,使用EAGLE系列路由器和防火墙来保护网络的EDGE。它们是带有防火墙和有状态包检查的第3层路由器。它们还具有VPN功能,用于保护不受信任的网络之间的连接。
使用Tofino系列产品确保工业网络的核心安全。Tofino安全设备是一个二层网桥,没有IP地址,可以在不中断现有网络和不改变网络设计的情况下安装。它使用允许简单部署的“白名单”方法提供高级别的安全性。
Tofino产品线还包括对流行的工业协议(如Modbus TCP, OPC Classic和EtherNet/IP)进行内容检查(也称为深度数据包检查)的模块。此功能检查消息,并且只允许经过批准的消息类型通过。例如,允许读消息通过防火墙,但阻止写消息。
油气应用的网络安全
在本系列的第2部分中,我将介绍三种油气应用的网络安全解决方案:海上平台、炼油厂和管道系统。我们将查看每个应用程序的网络图,并展示EAGLE或Tofino设备可以作为深度防御安全策略的一部分添加到哪里。
下载应用说明:“在海上油气平台实施网络安全”在这里
>>单击,了解更多信息在这里
