IT與OT的融合、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)與云計(jì)算……，工業(yè)領(lǐng)域這些明顯的推動(dòng)趨勢(shì)中，都指向一個(gè)更加互聯(lián)互通的透明工廠目標(biāo)——這既給工業(yè)企業(yè)賦予了數(shù)字化轉(zhuǎn)型的機(jī)遇，又帶來(lái)了一些挑戰(zhàn)，其中工業(yè)網(wǎng)絡(luò)的安全性便是重要內(nèi)容之一。

　　事實(shí)上，從近年來(lái)全球頻發(fā)的工業(yè)網(wǎng)絡(luò)安全事件可以發(fā)現(xiàn)，針對(duì)工業(yè)企業(yè)/工廠的攻擊目標(biāo)、攻擊策略和攻擊破壞性正在變得嚴(yán)峻，而且所使用的攻擊手段和工具變得更加有威脅。這種變化的威脅情況，迫使工業(yè)企業(yè)需要從根本上重新思考整個(gè)工業(yè)網(wǎng)絡(luò)防御理念和更完整的安全保護(hù)措施，最大程度地降低安全風(fēng)險(xiǎn)。

　　2019 年 12 月，由中國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)開(kāi)始正式執(zhí)行，標(biāo)志著等級(jí)保護(hù)進(jìn)入了 2.0 時(shí)代，新的等級(jí)保護(hù)基本要求中新增了關(guān)于工業(yè)控制系統(tǒng)的擴(kuò)展要求，對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全工作提出了更為具體細(xì)致的要求。

　　那么，對(duì)于工業(yè)網(wǎng)絡(luò)技術(shù)而言，什么樣的防御體系值得提倡?而目前可以重點(diǎn)考慮哪些方面的網(wǎng)絡(luò)安全措施?網(wǎng)絡(luò)安全專(zhuān)家紅獅控制有如下建議。

　　(1)劃分安全域

　　分層安全防御體系首先將系統(tǒng)按照不同的權(quán)重劃分為不同的安全域，每個(gè)安全域被賦予不同的安全級(jí)別，在安全域的邊界部署工業(yè)防火墻。這一過(guò)程中，常常通過(guò)劃分非軍事區(qū)(DMZ)的方式，在不降低自動(dòng)化網(wǎng)絡(luò)層安全性的同時(shí)，允許外部其他網(wǎng)絡(luò)訪問(wèn)服務(wù)器中的數(shù)據(jù)，實(shí)現(xiàn)數(shù)字化運(yùn)營(yíng)。

　　(2)網(wǎng)絡(luò)分段保護(hù)

　　通過(guò)將工廠網(wǎng)絡(luò)劃分成獨(dú)立的子網(wǎng)絡(luò)，并通過(guò)一個(gè)安全設(shè)備來(lái)保護(hù)，每個(gè)子網(wǎng)的設(shè)備可以防止來(lái)自外部未經(jīng)授權(quán)的訪問(wèn)且不影響實(shí)時(shí)性能或者其它功能，各個(gè)子網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸通過(guò)安全設(shè)備的 VPN 進(jìn)行加密處理，既滿足了子網(wǎng)絡(luò)內(nèi)部的實(shí)時(shí)通訊，又實(shí)現(xiàn)了各網(wǎng)段之間的安全通信。

　　(3)實(shí)施安全措施

　　分層安全防御還要實(shí)施一系列連續(xù)但獨(dú)立的網(wǎng)絡(luò)安全保護(hù)措施，如VPN、狀態(tài)防火墻、端口安全、密碼保護(hù)設(shè)置、利用虛擬局域網(wǎng)實(shí)現(xiàn)雙重隔離、使用警報(bào)進(jìn)行實(shí)時(shí)監(jiān)控等，通過(guò)層層加固的方式讓網(wǎng)絡(luò)攻擊者耗費(fèi)巨大的精力和時(shí)間，從而降低各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)，保護(hù)工業(yè)網(wǎng)絡(luò)的相對(duì)安全性和不易攻擊性。

　　業(yè)內(nèi)知名的工業(yè)網(wǎng)絡(luò)技術(shù)專(zhuān)家——紅獅控制在其核心的工業(yè)以太網(wǎng)交換機(jī)解決方案中，按照分層安全的防御理念，通過(guò)一系列關(guān)鍵網(wǎng)絡(luò)安全技術(shù)，為全面保護(hù)工業(yè)網(wǎng)絡(luò)提供了支撐，例如：

　　01、VPN——通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)加密傳輸功能，保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性與可用性。紅獅路由器在默認(rèn)情況下是安全的，發(fā)貨時(shí)每個(gè)設(shè)備都具有唯一的密碼標(biāo)識(shí)，并支持2,048位加密方式(相比之下銀行通常僅使用128位加密方式進(jìn)行網(wǎng)絡(luò)交易)。

　　02、狀態(tài)防火墻——利用工業(yè)防火墻啟用安全遠(yuǎn)程訪問(wèn)，從而對(duì)安全域邊界進(jìn)行監(jiān)視， 根據(jù)狀態(tài)、端口或協(xié)議實(shí)現(xiàn)數(shù)據(jù)通信的流通和屏蔽，可以監(jiān)視接口開(kāi)放前的所有活動(dòng)，直至其最終關(guān)閉。

　　03、端口安全——通過(guò)端口安全實(shí)現(xiàn)基于MAC地址對(duì)網(wǎng)絡(luò)接入進(jìn)行安全控制，通過(guò)檢測(cè)從端口發(fā)出的數(shù)據(jù)幀中的目的MAC地址來(lái)控制對(duì)非授權(quán)設(shè)備的訪問(wèn)，既方便用戶的管理又提高了系統(tǒng)的安全性。

　　當(dāng)然，紅獅控制的工業(yè)網(wǎng)絡(luò)產(chǎn)品還提供密碼保護(hù)設(shè)置、雙重隔離、警報(bào)監(jiān)控等更全面的網(wǎng)絡(luò)安全保護(hù)措施。而為了進(jìn)一步加強(qiáng)安全的遠(yuǎn)程網(wǎng)絡(luò)解決方案，2022年4月紅獅控制公司進(jìn)一步宣布收購(gòu)MB connect line GmbH，大幅擴(kuò)展了紅獅控制的產(chǎn)品組合。

　　作為安全遠(yuǎn)程訪問(wèn)、工業(yè)物聯(lián)網(wǎng)和工業(yè)安全服務(wù)領(lǐng)域的領(lǐng)軍企業(yè)，MB connect line高度安全的硬件和軟件解決方案廣泛應(yīng)用于遠(yuǎn)程訪問(wèn)、數(shù)據(jù)收集和M2M通信，為客戶提供遠(yuǎn)程監(jiān)測(cè)和遠(yuǎn)程配置的遠(yuǎn)程服務(wù)門(mén)戶 (Remote Service Portal) 加入，有利于紅獅控制更好地為客戶提供安全、易用的邊緣連接解決方案，助力實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)可見(jiàn)性并提高生產(chǎn)力。

　　從技術(shù)、產(chǎn)品到解決方案，紅獅控制始終將安全放在第一位，始終致力于為工業(yè)客戶打造更全面、更先進(jìn)的工業(yè)網(wǎng)絡(luò)安全體系，為IT與OT的融合鋪平道路，最終實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型目標(biāo)。

（轉(zhuǎn)載）