0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何在布建工业以太网络同时兼顾信息安全问题

jf_N389wp6y 来源:IGX工业物联网研究院 作者:IGX工业物联网研究 2022-11-28 09:44 次阅读

工业物联网架构中,制造端与管理端的讯息必须无缝链结,因此以太网络的高兼容性成为工业物联网架构中极重要的一环,不过在消费性领域困扰用户的信息安全问题,工业应用也未能避免,如何在布建工业以太网络同时,兼顾信息安全问题,已成系统业者与厂方的重要课题。

工业以太网络的共通的接口,虽然让沟通更为顺畅,但也由于各类设备的互操作性,让信息安全成为相当复杂的学问,而面对多元化的恶意攻击,也不仅只于预防病毒而已,如何避免外界的恶意攻击,也成为系统智能化的重要课题。

智能工厂、工业4.0概念的崛起,让自动化设备有了与以往截然不同的改变,过去的自动化设备多为独立运作,彼此之间的互联较少,“智能化”因讲究整合,无论是软硬件的虚实整合,或机台与机台之间的相互串连,都已成为新世代自动化系统的必要设计,而不软是机台或软硬件的整合,都必须高度倚赖通讯技术,在此趋势下,工业以太网络顺势崛起,成为自动化系统的骨干支柱。

工业以太网络已成首选

以太网络技术在工业环境的应用优势,主要来自于其兼容性,由于讯息的快速、无缝流动,是智能工厂的首要条件,在企业的管理端,以太网络通常是通讯主要技术,但制造现场以往的通讯架构则多为工业通讯标准,要使前后端讯息可以无缝链结,制造现场的工业以太网络导入成为必须,以使后端管理层与现场层的数据传输规格一致,用户只需要掌握单一网络技术即可互连,但同样的,标准化网络结构也因其透明度而带来风险,也因此让系统产生更大的挑战。

相较于过去仅是一般终端使用者及办公室环境,在以太网络与网络通讯的蓬勃发展,过去像是工厂自动化这类无需考虑信息安全问题的系统,也成为观察的重点之一。

除此之外,过去由于工业现场系统多是以现场总线进行通讯,除非像是以国家战略思维侵入如油、水、电等重要设施来进行攻击之外,否则难度甚高;但在工业以太网络普及导入之后,这类攻击不但渐趋容易,而类似的攻击也渐趋增加。

这类智能化系统面对不断演变的信息安全威胁环境,其中一项最大的挑战就是APT进阶持续性渗透攻击(Advanced Persistent Threats;APT),它是针对“特定组织”所作出复杂且多方位的攻击,这样的攻击也逐渐进化,成为系统必须关注的主要议题。

APT来势汹汹

过去的对现场端的 APT,多像是 2009 年美国使用“震网”(Stuxnet)病毒来攻击伊朗地下核设施,让离心机的转速与显示读数不同来干扰制程等国家战略行为,但现在的思维的确开始走向“商业利益”。

从管理端到现场端 恶意攻击无所不在

根据统计,有超过2/3的企业系统受到过 APT的荼毒,而且更严重的问题是,多数企业在被攻击时根本浑然不知,更遑论如何防范,而且由于APT攻击已成为黑客爱用的主流手法,不达目的绝不善罢干休,而其难以侦测的特性也让人防不胜防,而当这些攻击者对工业控制系统的了解程度愈来愈深时,APT 范围也会愈来愈广。

就信息安全范围来看,工业现场环境的信息安全防护,有时挑战更比在企业端办公室的防护来得大,这与两者的设置思维有关,由于工业现场系统要求以「稳定」为最优先,在没有必要的情况下是毋须变动也几乎不允许变动,这样的既定思维,也持续影响一般使用者对现场端设备的态度。

相较于办公室应用端的系统可以允许软件升级、补缺安全漏洞,以及增加许多软件来进行系统监控,甚至在万不得已的情况下,对于系统重开机这类状况也有较大的容忍弹性;工业现场端绝对无法允许如此情况发生,尤其是随时随地的软件升级这类做法相当戒慎恐惧,而在传统系统控制应用上,除了在系统整合或扩充的情况下,系统升级的确也并非必要,不过在工厂智慧化需求导入后,状况已然改变。

习惯不同造成缺漏 信息安全问题影响深远

业界人士指出,工厂智慧化的最基本要求,就是现场端的数据挖掘、监控与分析,一般而言多是以整合PC端的SCADA来进行,这些系统的操作系统仍多是以嵌入式的Windows等系统做为底层架构,传统认知的现场端在连上线后,并非想象中封闭,但使用者却仍多以过去现场总线的认知来操作,自然会忘记了这类系统的缺漏,甚至连系统管理权限都仍然是默认密码的情况下,自然就形成漏洞,如果仔细观察,会发现世界上使用同一家软件系统的厂商,控怕都有相同的漏洞,而且这些问题通常是积习难返,多数厂商都认为,这将是工厂智慧化后带来的最大问题。

传统一般企业在信息安全面向,仍多依赖防病毒软件的保护,但在工厂现场端却甚少考虑此一问题,工厂现场端所使用的软件系统,与办公室应用端系统的差异并不大,但在使用心态不同下,工厂现场端的信息安全挑战更为庞大,再加上现场端系统不易更新与升级,也让防止APT的难度更为提升;相对来说,黑客APT工控系统在如此运作模式下,因其「成本」较低,对于现场端的 APT 将会更为提高。

因此现阶段要防范恶意攻击,已经不仅只于透过防火墙或防病毒软件就可达到目的,由于传统的阻隔方法仍有漏洞可钻,因此必须阻断恶意攻击在「侵入」、「下载潜伏」到「扩散攻击」的运作环节,才是解决的重点面向,只要阻断APT的任一环节,攻击就会失效,这与过去阻挡病毒进入的观点,有相当大的差距,在面对系统的复杂化,攻击的多元化的同时,思维的调整,或许才是最重要的一步。

实体隔绝还是不够 建构标准才能治本

对于网通厂商对于工厂现场端以虚拟专用网络(Virtual Private Network;VPN)的方式,透过隔离网段的方式来隔绝外界系统化的APT,多数业界人士认为这的确是最基本的解决方案,实体隔离绝对是解决APT最实际的办法,但此一做法却并非像一般人想象的这么可靠,以工厂智慧化的架构,一定会与后端办公室应用端连结,才能针对产线进行系统化的调配,虽然这类通讯设计多是透过软硬件配置,提供最小限度的授权让应用端可以与现场端连结;但一般APT通常会经由办公室应用端进行攻击,再利用应用端与现场端的信任关系,经由双方的授权机制来侵入现场端,除非应用端也进行实体隔离,否则只要连上因特网,就有漏洞可钻。

虽然「实体隔离」与「最小授权」的做法可能仍有漏洞,但在现场端的安全防护,这仍是最基础的必要作法;至于如何确保系统的安全,标准规范仍是最必要的项目,在工控系统中所强调的标准,多是涉及系统稳定的实际安全需求,但对于信息安全部分仍付之阙如,由于工业以太网络的导入,以及实际应用环境的逐渐多元化,信息安全政策的建构及系统安全的标准,可能是后续发展的重点项目,也将会是市场后续发展的重要课题。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 以太网
    +关注

    关注

    40

    文章

    5374

    浏览量

    171102
  • 智能工厂
    +关注

    关注

    3

    文章

    986

    浏览量

    42370

原文标题:工业物联网下的安全思维

文章出处:【微信号:IGX工业物联网研究院,微信公众号:IGX工业物联网研究院】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    以太网速率对网络性能的影响

    以太网作为最广泛使用的局域网技术之一,其速率的提高对网络性能有着直接的影响。从最初的10Mbps发展到今天的100Gbps甚至更高,以太网速率的提升带来了更快的数据传输速度和更高的网络
    的头像 发表于 11-08 09:11 222次阅读

    工业以太网的应用场景分析

    、湿度、震动和电磁干扰。 实时性 :工业以太网支持实时通信,确保数据传输的低延迟,这对于需要快速响应的自动化系统至关重要。 兼容性 :工业以太网与标准
    的头像 发表于 11-07 14:26 372次阅读

    工业以太网中的网段隔离NAT如何实现

    近年来,随着“工业4.0”、“工业互联网”等概念深入人心,自动化与信息化深度融合潮流势不可挡,工业以太网成为
    的头像 发表于 08-16 16:16 289次阅读
    <b class='flag-5'>工业</b><b class='flag-5'>以太网</b>中的网段隔离NAT如何实现

    工业以太网通信协议的主要类别

    随着工业4.0和智能制造的快速发展,工业以太网通信协议与标准在工业自动化领域扮演着越来越重要的角色。工业
    的头像 发表于 06-28 18:02 1031次阅读

    工业以太网安全性分析及防护措施

    随着信息技术的飞速发展,工业以太网作为工业自动化领域的关键技术,其应用日益广泛。然而,与此同时工业
    的头像 发表于 06-28 16:58 471次阅读

    解读工业以太网标准:Profinet与EtherNet/IP

    随着工业自动化技术的飞速发展,工业以太网标准作为连接各种自动化设备、控制系统和信息系统的重要桥梁,其重要性日益凸显。在众多工业
    的头像 发表于 06-28 16:34 1749次阅读

    什么是工业以太网?有何特点?

    工业以太网(Industrial Ethernet)是一种专为工业环境设计的以太网技术,它具有高可靠性、高实时性、高稳定性和高安全性等特点。
    的头像 发表于 06-11 10:34 2349次阅读

    工业以太网和普通以太网区别在哪

    的应用环境和需求不同。普通以太网主要应用于办公和家庭网络环境,而工业以太网则是为满足工业自动化和控制系统的需求而设计的。 1.1 环境适应性
    的头像 发表于 06-11 10:30 2334次阅读

    工业以太网的主要协议及其特点

    设备之间的互联和信息交换,极大地推动了工业自动化的发展。本文将详细介绍工业以太网的相关协议及其特点,以便读者能够更深入地了解这一领域。
    的头像 发表于 06-06 11:42 771次阅读

    适用于恶劣工业环境下时限通信的可靠以太网物理层解决方案

    操作性挑战。以太网互联工厂通过实现信息技术(IT)与操作技术(OT)网络之间的连接,可提高生产率,同时提高生产的灵活性和可扩展性。这样,使用一个支持时限通信的无缝、
    的头像 发表于 04-24 15:32 2279次阅读
    适用于恶劣<b class='flag-5'>工业</b>环境下时限通信的可靠<b class='flag-5'>以太网</b>物理层解决方案

    工业以太网的基本原理及优势

    工业以太网,作为现代工业通信的基石,正逐渐改变着传统工业网络的格局。它以其高效、灵活和可靠的特点,在工业
    的头像 发表于 03-25 14:40 618次阅读

    工业以太网的基本原理及优势

    主要的工业以太网标准有以太网/IP、PROFINET、EtherCAT、Modbus/TCP等,这些标准实现了互操作性,应用于不同的工业控制领域。
    的头像 发表于 03-06 16:31 1175次阅读
    <b class='flag-5'>工业</b><b class='flag-5'>以太网</b>的基本原理及优势

    CANopen以太网网关怎么用?

    网关的使用方法,包括其功能、配置和应用。 一、CANopen以太网网关的功能 CANopen以太网网关具有以下主要功能: 1. 数据传输:CANopen以太网网关可以实现CANopen网络
    的头像 发表于 02-02 16:59 3253次阅读

    工业以太网的特点 工业以太网的关键技术包含哪些?

    工业以太网(Industrial Ethernet)是一种用于工业自动化领域的网络通信技术,它结合了以太网的高速、低成本和广泛应用的优势,满
    的头像 发表于 01-22 15:41 1634次阅读

    工业以太网和IOLINK的区别

    。 首先,我们来了解一下工业以太网工业以太网是基于以太网技术的工业控制系统的通信协议。通过使用
    的头像 发表于 12-14 18:21 1447次阅读