隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的企業(yè)從封閉系統(tǒng)走向互聯(lián)開(kāi)發(fā)，數(shù)據(jù)傳輸從LAN到WAN。如何解決日益增長(zhǎng)的從邊緣設(shè)備到云端的數(shù)據(jù)傳輸需求?如何應(yīng)對(duì)數(shù)據(jù)傳輸中的安全挑戰(zhàn)?這些問(wèn)題也隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展成為熱議的議題。

　　5月24日舉行的首屆中國(guó)工業(yè)信息安全大會(huì)發(fā)布的《中國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書》顯示當(dāng)前工業(yè)信息安全的“三大傳統(tǒng)威脅”呈現(xiàn)增勢(shì)。

　　一是大規(guī)模、高強(qiáng)度工業(yè)信息安全事件頻發(fā)，工業(yè)領(lǐng)域成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”。公開(kāi)數(shù)據(jù)顯示，2017年工業(yè)信息安全事件席卷了全球150多個(gè)國(guó)家1萬(wàn)多個(gè)組織機(jī)構(gòu);二是工控安全漏洞層出不窮，高危漏洞占比近六成，且大量集中于裝備制造、交通、能源、智能樓宇等重要領(lǐng)域，嚴(yán)重威脅國(guó)家信息基礎(chǔ)設(shè)施安全;三是工控系統(tǒng)及設(shè)備大量暴露于互聯(lián)網(wǎng)，已經(jīng)成為世界各國(guó)工業(yè)信息安全的軟肋。據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)，截至2017年12月份，全球超過(guò)10萬(wàn)個(gè)工控系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng)，比2016年增加了42.9%，其中我國(guó)位居第五，并且超過(guò)全球增幅，使得黑客發(fā)現(xiàn)攻擊目標(biāo)的難度大大降低。

　　對(duì)于企業(yè)所有者而言，部署從LAN到WAN具有許多益處，但也伴隨著諸多挑戰(zhàn)。在尋找可用解決方案之前，需將如下三大策略考慮在內(nèi)。

　　1.帶寬充足、可用性高的網(wǎng)絡(luò)能夠避免網(wǎng)絡(luò)中斷、停機(jī)和故障

　　與傳統(tǒng)網(wǎng)絡(luò)相比，IIoT網(wǎng)絡(luò)中的設(shè)備更多，因此提高IIoT網(wǎng)絡(luò)的可靠性顯得更為重要。雖然將多個(gè)網(wǎng)絡(luò)融合成單一 IIoT網(wǎng)絡(luò)會(huì)帶來(lái)諸多益處，但對(duì)于企業(yè)所有者而言，網(wǎng)絡(luò)中斷、停機(jī)或故障都是特別棘手的問(wèn)題，因?yàn)檫@意味著整個(gè)系統(tǒng)都將停止運(yùn)行，而融合之前只有一小部分系統(tǒng)無(wú)法正常運(yùn)行。

　　提高IIoT網(wǎng)絡(luò)可靠性的一種方法是確保網(wǎng)絡(luò)可用性并提高帶寬。高可用性意味著網(wǎng)絡(luò)設(shè)計(jì)支持冗余功能，能夠防止單點(diǎn)故障，確保網(wǎng)絡(luò)持續(xù)正常運(yùn)行。此外，這種冗余網(wǎng)絡(luò)設(shè)計(jì)還可以最大限度地縮短修復(fù)網(wǎng)絡(luò)問(wèn)題所需的停機(jī)時(shí)間。隨著加入IIoT網(wǎng)絡(luò)的設(shè)備越來(lái)越多，務(wù)必確保這些設(shè)備和應(yīng)用運(yùn)行時(shí)不會(huì)發(fā)生延時(shí)，不會(huì)使網(wǎng)絡(luò)過(guò)載從而導(dǎo)致網(wǎng)絡(luò)崩潰。

　　網(wǎng)絡(luò)帶寬：對(duì)于使用無(wú)線技術(shù)的IIoT網(wǎng)絡(luò)，802.11ac和4G LTE標(biāo)準(zhǔn)提供的吞吐量和傳輸速度明顯優(yōu)于先前的標(biāo)準(zhǔn)，因此這些標(biāo)準(zhǔn)非常適合用于融合工業(yè)網(wǎng)絡(luò)。為確?？捎脦挸渥?，強(qiáng)烈建議有線以太網(wǎng)網(wǎng)絡(luò)使用10G帶寬。盡管在大多數(shù)情況下5G帶寬可能足夠，但發(fā)生網(wǎng)絡(luò)停機(jī)的可能性會(huì)高很多。就整個(gè)網(wǎng)絡(luò)生命周期而言，選擇5G網(wǎng)絡(luò)的成本幾乎必然高于選擇10G網(wǎng)絡(luò)的成本。

　　網(wǎng)絡(luò)冗余：隨著網(wǎng)絡(luò)擴(kuò)展，其中包含的設(shè)備和應(yīng)用越來(lái)越多，網(wǎng)絡(luò)冗余會(huì)被頻繁應(yīng)用，這是因?yàn)榫W(wǎng)絡(luò)冗余能夠在發(fā)生單點(diǎn)故障時(shí)，避免數(shù)據(jù)包丟失。網(wǎng)絡(luò)冗余能夠確保在網(wǎng)絡(luò)中發(fā)生單點(diǎn)故障時(shí)，通過(guò)當(dāng)前處于活動(dòng)狀態(tài)的點(diǎn)重新路由數(shù)據(jù)，從而避免數(shù)據(jù)丟失和網(wǎng)絡(luò)停機(jī)。

　　總而言之，企業(yè)所有者應(yīng)部署支持充足帶寬和智能冗余的網(wǎng)絡(luò)，確保網(wǎng)絡(luò)不會(huì)發(fā)生任何中斷、停機(jī)和故障，從而使網(wǎng)絡(luò)滿足未來(lái)發(fā)展需求。

　　2.確保目前及未來(lái)的網(wǎng)絡(luò)安全

　　許多系統(tǒng)操作員都表示，采用縱深防御安全架構(gòu)是確保網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊的最佳方式，這種架構(gòu)的設(shè)計(jì)能夠保護(hù)各個(gè)獨(dú)立的區(qū)域和單元。對(duì)于需要跨這些區(qū)域或單元進(jìn)行的通信，必須通過(guò)防火墻或VPN 完成。部署這種架構(gòu)能夠降低整個(gè)網(wǎng)絡(luò)因遭受攻擊而出現(xiàn)故障的可能性，因?yàn)槊恳粚佣寄軌驊?yīng)對(duì)不同的安全威脅。此外，這種架構(gòu)還能降低整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn);如果網(wǎng)絡(luò)的某一部分發(fā)生問(wèn)題，該問(wèn)題很可能只保留在該層，而不會(huì)向其他層蔓延。

　　解決網(wǎng)絡(luò)安全問(wèn)題后，需要考慮的下一步是如何避免用戶無(wú)意或有意地對(duì)設(shè)置作出產(chǎn)生不良后果的更改。操作和管理網(wǎng)絡(luò)的用戶、第三方系統(tǒng)集成商以及要求執(zhí)行網(wǎng)絡(luò)維護(hù)操作的承包商都可能造成這種問(wèn)題。

　　保護(hù)網(wǎng)絡(luò)免受這種威脅的最佳方式是增強(qiáng)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全，確保它們的設(shè)置不會(huì)以危及設(shè)備或網(wǎng)絡(luò)安全的方式進(jìn)行更改。許多網(wǎng)絡(luò)安全專家將IEC 62443標(biāo)準(zhǔn)視為對(duì)如何保護(hù)工業(yè)網(wǎng)絡(luò)中的設(shè)備具有重大意義的出版物。此標(biāo)準(zhǔn)中包含一系列指南、報(bào)告和其他相關(guān)文件，定義了實(shí)施電子安全I(xiàn)ACS(工業(yè)自動(dòng)化與控制系統(tǒng))網(wǎng)絡(luò)的相關(guān)程序。

　　在自動(dòng)化系統(tǒng)的整個(gè)生命周期中，都需要由當(dāng)?shù)毓こ處熁蛳到y(tǒng)集成商執(zhí)行維護(hù)。隨著網(wǎng)絡(luò)，特別是IIoT網(wǎng)絡(luò)的不斷發(fā)展和變化，需要對(duì)網(wǎng)絡(luò)及其中的所有設(shè)備進(jìn)行持續(xù)監(jiān)視，確保它們受到適當(dāng)保護(hù)，能夠抵御網(wǎng)絡(luò)安全威脅。

　　由于負(fù)責(zé)監(jiān)視和維護(hù)網(wǎng)絡(luò)中不同設(shè)備的維修人員往往人數(shù)眾多，讓所有維修人員基于自身的知識(shí)或經(jīng)驗(yàn)執(zhí)行安全設(shè)置并不妥當(dāng)。因此，應(yīng)制定良好的標(biāo)準(zhǔn)操作程序，明確定義如何配置設(shè)備設(shè)置，而所有維修人員應(yīng)始終遵循這種程序。采用用戶友好型安全管理工具可幫助操作員設(shè)置眾多網(wǎng)絡(luò)設(shè)備的安全級(jí)別，并快速、輕松地監(jiān)控安全狀態(tài)。

　　3.遠(yuǎn)程訪問(wèn)的安全通信隧道

　　如果您正在考慮通過(guò)云服務(wù)設(shè)置遠(yuǎn)程訪問(wèn)，那么遠(yuǎn)程連接解決方案完整套件應(yīng)包括：用于現(xiàn)場(chǎng)部署的安全網(wǎng)關(guān)、兼容云服務(wù)的安全遠(yuǎn)程訪問(wèn)平臺(tái)和安裝在用戶的設(shè)備上可實(shí)現(xiàn)簡(jiǎn)單、安全的遠(yuǎn)程連接的客戶端軟件。

　　IIoT 網(wǎng)絡(luò)通常需要多個(gè)網(wǎng)關(guān)，因此支持遠(yuǎn)程監(jiān)視至關(guān)重要，如果出現(xiàn)問(wèn)題后可以遠(yuǎn)程糾正，則無(wú)需到現(xiàn)場(chǎng)解決。為防止存儲(chǔ)在網(wǎng)關(guān)中的數(shù)據(jù)遭到篡改，應(yīng)使用TPM(可信平臺(tái)模塊)等文件保護(hù)系統(tǒng)加以保護(hù)。對(duì)于遠(yuǎn)程連接，應(yīng)采用VPN(虛擬專用網(wǎng)絡(luò))連接控制中心與網(wǎng)關(guān)。

　　目前，我國(guó)工業(yè)信息安全仍存在諸多隱患。如何讓工業(yè)互聯(lián)網(wǎng)更好“賦能”實(shí)體經(jīng)濟(jì)，既保證效率，又保障質(zhì)量是通信人亟待解決的問(wèn)題。Moxa作為引領(lǐng)工業(yè)互聯(lián)(IIoT)的通信品牌，順應(yīng)IIoT趨勢(shì)，在過(guò)去幾年間開(kāi)發(fā)出了邊緣到云端連網(wǎng)解決方案支持全面工業(yè)連網(wǎng)，幫助企業(yè)所有者輕松、快速且智能地部署IIoT應(yīng)用。

（轉(zhuǎn)載）