智能实用…工业网络纵深防御方案 点击:274 | 回复:1
工业互联网的广泛应用让越来越多的设备连上网,工业厂商迫切地希望享受数字自动化带来的益处,然而也面临着随之增加的风险。连接设备增多,导致受攻击面增加,网络更易遭受网络攻击和未授权访问的侵袭。
工业网络安全都面临哪些挑战?
OT操作人员缺乏加固网络设备安全的指导
业界普遍存在误解,认为只要部署防火墙,就能降低所有网络安全风险。但事实是网络设备的安全性在构建纵深防御安全架构中也发挥着关键作用。OT操作人员没有部署加固网络设备的经验,也没有明确的指南,这对网络安全解决方案的实施造成重重阻碍。
设计网络架构时缺乏网络安全意识
如今,越来越多的设备接入网络,但大多数OT操作人员在设计网络构架时并未意识到网络安全防御的必要性。从每年关键制造业大量发生的网络攻击事件不难看出ICS网络所面临的风险。
缺乏安全管理原则和监控工具
据报道,人为错误是网络遭受攻击的主要原因(37%);其通常原因在于未遵守安全管理原则。为此,OT操作人员必须持续监控网络。但持续地监控动作需要投入具有专业知识的人员和时间精力,十分麻烦。
工业级网络纵深防御方案
单一的作战方案显然不足以应对上述挑战,必须从设备、网络和管理层面全面部署,构建工业级网络纵深防御方案。
明确的政策和安全管理
Moxa产品开发围绕安全管理的四大基本方面:访问及身份管理、设备管理、系统管理以及配置管理。此外,还为有线和无线网络提供MXview和MXconfig管理软件。
工业自动化控制系统网络纵深防御网络安全方案
Moxa提供由多种网络安全模块组成的纵深防御框架,包括工业级安全路由器、VPN和专为工业级自动化量身定制的远程访问解决方案。Moxa帮助系统集成商部署符合纵深防御原则的网络安全解决方案。
内置安全功能的加固设备
Moxa为旗下所有产品提供固件升级服务,包括以太网交换机、无线设备、设备服务器、协议网关和远程I/O,以加强工业自动化和工业控制系统网络的网络安全。
纵深防御安全架构
网络分区,保障各区域及单元安全。
纵深防御安全架构将ICS网络划分为多个独立且受保护的区域和单元。每个区域或单元内的通讯均设置防火墙保护,从而降低整个工业控制系统遭受网络攻击的风险。
Moxa EDR系列工业级安全路由器,使用透明防火墙,保护PLC和RTU等控制网络和关键设备,阻止未授权访问,从而帮助操作人员保护各独立区域和单元。使用本解决方案,无需重新配置网络设置,部署更加便捷。EDR-810系列支持Moxa的Turbo Ring冗余技术,令网络分区更加灵活、经济。
此外,Moxa以太网交换机可创建虚拟局域网 (VLAN),将ICS网络分解为更小的网络,从而隔离其他VLAN流量传输。
监控区域间的数据传输
为提高安全保障,必须对ICS网络各区域间的数据传输进行筛查。筛查方式有多种,其中一种是通过DMZ交换数据,安全ICS网络和非安全网络都可访问数据服务器,且不会建立直接连接。
Moxa的EDR-G903系列可通过为用户制定专门的防火墙规则,确保数据传输的安全监控。第二种方法是使用PacketGuard来监控运转情况,加强数据传输监控,帮助EDR路由器进行Modbus TCP深度监测。这种方法可简化管理工作,防止网络间不必要的数据传输。除防火墙外,还可使用访问控制表,通过IP地址或本地IP过滤交换机的入口数据包,这使网络管理员可通过监控设备或部分网络访问确保网络安全。
保障ICS网络远程访问安全无虞
目前有两种解决方案,可满足安全远程访问应用的主要要求。对于持续连接,建议使用标准VPN隧道。
Moxa EDR系列可使用IPsec、L2TP over IPsec或OpenVPN,设置加密IPsec VPN隧道或OpenVPN客户端。防止数据在传输过程中遭篡改,确保工业级网络及远程应用间的访问安全。如只需远程访问某些特定机器或敏感区域,则可使用管理所有远程连接的管理平台。
纵深防御安全相关产品
Moxa工业级防火墙/NAT/VPN安全路由器系列产品可在企业内部形成一个可靠安全的网络,来保护整个控制网络和企业资产。
EDR系列工业安全路由器特点
● 支持IPSec (服务&客户模式),L2TP和PPTP功能以提高VPN安全性
● 集合防火墙、NAT、VPN、路由器功能于一体
● 具有高性能千兆铜缆/光纤符合端口
● 防火墙功能快速启动Fieldbus协议(快速自动化配置)
● 支持网址地址转换(NAT)(N对1,1对1和端口转发)
● 智能的Policy Check和Setting Check 功能
● 工作温度:-40~75℃(宽温型号)
● 符合NERC CIP
EDR-810系列
● 8+2G SFP口
● 集防火墙/VPN/路由器/交换机于一体
● 符合ISA99 / IEC62443 / NERC CIP
● 支持RSTP/Turbo Ring冗余协议
● 支持透明防火墙
EDR-G902系列
● 千兆WAN,LAN口通信
● 吞吐量300M
EDR-G903系列
● 全千兆通信,双WAN口冗余
● 吞吐量500M
● 支持DMZ安全区域
楼主最近还看过
工业网络安全都面临哪些挑战?
OT操作人员缺乏加固网络设备安全的指导
业界普遍存在误解,认为只要部署防火墙,就能降低所有网络安全风险。但事实是网络设备的安全性在构建纵深防御安全架构中也发挥着关键作用。OT操作人员没有部署加固网络设备的经验,也没有明确的指南,这对网络安全解决方案的实施造成重重阻碍。
设计网络架构时缺乏网络安全意识
如今,越来越多的设备接入网络,但大多数OT操作人员在设计网络构架时并未意识到网络安全防御的必要性。从每年关键制造业大量发生的网络攻击事件不难看出ICS网络所面临的风险。
缺乏安全管理原则和监控工具
据报道,人为错误是网络遭受攻击的主要原因(37%);其通常原因在于未遵守安全管理原则。为此,OT操作人员必须持续监控网络。但持续地监控动作需要投入具有专业知识的人员和时间精力,十分麻烦。
工业级网络纵深防御方案
单一的作战方案显然不足以应对上述挑战,必须从设备、网络和管理层面全面部署,构建工业级网络纵深防御方案。
明确的政策和安全管理
Moxa产品开发围绕安全管理的四大基本方面:访问及身份管理、设备管理、系统管理以及配置管理。此外,还为有线和无线网络提供MXview和MXconfig管理软件。
工业自动化控制系统网络纵深防御网络安全方案
Moxa提供由多种网络安全模块组成的纵深防御框架,包括工业级安全路由器、VPN和专为工业级自动化量身定制的远程访问解决方案。Moxa帮助系统集成商部署符合纵深防御原则的网络安全解决方案。
内置安全功能的加固设备
Moxa为旗下所有产品提供固件升级服务,包括以太网交换机、无线设备、设备服务器、协议网关和远程I/O,以加强工业自动化和工业控制系统网络的网络安全。
纵深防御安全架构
网络分区,保障各区域及单元安全。
纵深防御安全架构将ICS网络划分为多个独立且受保护的区域和单元。每个区域或单元内的通讯均设置防火墙保护,从而降低整个工业控制系统遭受网络攻击的风险。
Moxa EDR系列工业级安全路由器,使用透明防火墙,保护PLC和RTU等控制网络和关键设备,阻止未授权访问,从而帮助操作人员保护各独立区域和单元。使用本解决方案,无需重新配置网络设置,部署更加便捷。EDR-810系列支持Moxa的Turbo Ring冗余技术,令网络分区更加灵活、经济。
此外,Moxa以太网交换机可创建虚拟局域网 (VLAN),将ICS网络分解为更小的网络,从而隔离其他VLAN流量传输。
监控区域间的数据传输
为提高安全保障,必须对ICS网络各区域间的数据传输进行筛查。筛查方式有多种,其中一种是通过DMZ交换数据,安全ICS网络和非安全网络都可访问数据服务器,且不会建立直接连接。
Moxa的EDR-G903系列可通过为用户制定专门的防火墙规则,确保数据传输的安全监控。第二种方法是使用PacketGuard来监控运转情况,加强数据传输监控,帮助EDR路由器进行Modbus TCP深度监测。这种方法可简化管理工作,防止网络间不必要的数据传输。除防火墙外,还可使用访问控制表,通过IP地址或本地IP过滤交换机的入口数据包,这使网络管理员可通过监控设备或部分网络访问确保网络安全。
保障ICS网络远程访问安全无虞
目前有两种解决方案,可满足安全远程访问应用的主要要求。对于持续连接,建议使用标准VPN隧道。
Moxa EDR系列可使用IPsec、L2TP over IPsec或OpenVPN,设置加密IPsec VPN隧道或OpenVPN客户端。防止数据在传输过程中遭篡改,确保工业级网络及远程应用间的访问安全。如只需远程访问某些特定机器或敏感区域,则可使用管理所有远程连接的管理平台。
纵深防御安全相关产品
Moxa工业级防火墙/NAT/VPN安全路由器系列产品可在企业内部形成一个可靠安全的网络,来保护整个控制网络和企业资产。
EDR系列工业安全路由器特点
● 支持IPSec (服务&客户模式),L2TP和PPTP功能以提高VPN安全性
● 集合防火墙、NAT、VPN、路由器功能于一体
● 具有高性能千兆铜缆/光纤符合端口
● 防火墙功能快速启动Fieldbus协议(快速自动化配置)
● 支持网址地址转换(NAT)(N对1,1对1和端口转发)
● 智能的Policy Check和Setting Check 功能
● 工作温度:-40~75℃(宽温型号)
● 符合NERC CIP
EDR-810系列
● 8+2G SFP口
● 集防火墙/VPN/路由器/交换机于一体
● 符合ISA99 / IEC62443 / NERC CIP
● 支持RSTP/Turbo Ring冗余协议
● 支持透明防火墙
EDR-G902系列
● 千兆WAN,LAN口通信
● 吞吐量300M
EDR-G903系列
● 全千兆通信,双WAN口冗余
● 吞吐量500M
● 支持DMZ安全区域
- 单灯控制器什么品牌最好?有哪...
[741] - 这个3D打印煎饼机真的值得买...[2683]
- 3D打印与空间智能制造之间的...[924]
- 模拟编码器和数字编码器有什...[880]
- 机械设备的老化的分类与确定...[730]
- 新年快乐,问一个ULN2803芯片...[1432]
- 智能制造之路:掌握好此PMC方...[883]
- 求真…智能化时代更需要“工匠...[1854]
- 工业网红兔哥的第一次课后答...[2479]
- 【西格原创】浅析MES+离散数据...[690]
官方公众号
智造工程师
-
客服
-
小程序
-
公众号
工控网智造工程师好文精选
