服务需求    联系兴汉    简体中文

搜索
即时新闻

产品资讯

ISA 140构建零让步OT网络安全

发表时间:2021-05-31 00:00:00

 随着工业4.0和数字化转型成为智能制造的重要组成部分,在设备之间建立一个可靠的网络是迈向未来OT安全的第一步。为了收集和分析制造过程中产生的所有数据,实际上每个设备、单元或固定设施都必须配备传感器并连接到内部网络。然而保持在线不仅意味着方便,还可能带来不同类型的网络安全风险和不确定性。如果在一个OT网络中有一个设备被感染,潜在的影响或代价高昂的生产停工将不可避免,更不用说此后对企业的损害和损失了。


 对于工厂经理来说,生产力是他们所关心的最高KPI,很少关注 OT安全。通常没有专门的IT人员来保障制造设施的信息安全。在各种新设备和遗留设备相互连接的恶劣环境中,这对OT安全构成了高风险。即使实施了网络安全措施,维护本身仍然是一项艰巨的任务。


下面是OT安全的一些常见实践。

 

  •  网络隔离 对工厂中所有连接的设备进行分类,以便区域间的通信可以在适当的管理下进行,或者在需要时简单地断开连接。为了实现这一点,建议对OT网络进行分段,在这些分段的每个节点上设置安全单元作为检查点以及通信策略。

  • 实时监控 是网络可视化的同义词。除了来自外部的攻击,内部的弱点对OT网络构成了更多的威胁。恶意威胁,如恶意软件或间谍软件,在任何不设防的部分可能存在或不被注意的传播。为了提高网络的可视性,一种有效的方法是在内部网中实现一些“探测”或微型探测器。通过实时分析,更容易发现潜在威胁并及时做出反应,防止安全漏洞。

  • 关键资产保护 是另一个容易被忽视的关键步骤。任何制造场所的连接设备都有不同的尺寸、类型和用途,因此它们的重要性不同。它们中的每一个都可能在网络攻击下变得脆弱,由此对生产力造成的损害可能各不相同。强烈建议根据设备对整个系统的相对重要性,对其提供多级保护。例如,一条完整的SMT生产线和一个工厂环境监测传感器在重要性上是完全无法比拟的。

 

 以上案例说明了 OT安全 在许多方面与传统的IT安全不同。与通常规模巨大但数量很少的高性能IT安全单元不同,更适合OT安全环境的是大量的轻量级单元。在网络隔离之间和内部,在关键资产前面,甚至在制造现场的任何机柜或盒子中,部署的安全单元应确保对内网的全覆盖。然而,对OT安全系统进行适当和有效的管理可能成为安全专业人员的一个挑战。

 

选择一个性价比高的网络安全 解决方案,在部署、操作和管理之间取得平衡是关键。带外(OOB)远程管理功能和旁路机制使ISA 140成为性价比的赢家,无论是运营还是管理。OOB支持远程打开、关闭和重新启动设备,而bypass机制保持网络连接的可访问性,使OT专业人员的日子变得更加轻松。它的紧凑尺寸加上六个1GBERJ45端口为OT管理员提供了另一个优势,确保其能够在不影响保护的情况下创建大量的设备连接。

 

 EPS(Event Per Second)是网络安全领域的一个长期标准。作为供应商广泛采用的绩效指标, EPS也为每一个寻求明智购买的人提供了可靠的参考。

 

 在兴汉的华亚工厂进行了EPS测试(图1),已安装eSAF(TMRTEK 网络安全 包装)的ISA 140作为一个现场应用,展示了可用性和性能。华亚工厂不仅是一个生产基地,也是一个智能制造示范中心,体现了兴汉对工业4.0的愿景。在 ISA 140应用中,接线盒被用作集成或放大通信信号的手段,尤其是像华亚这样的大型制造厂的网络布线。由于接线盒通常需要放置在狭小的空间或不易触及的地方,ISA140的紧凑尺寸带来了很大改变,因为它可以很容易地放入接线盒,并无缝地安装到任何角落。

Figure 1. ISA 140 field deployment at Huaya Plant

 

图2是基于我们建议的框架的集成演示。通过ISA 140和eSAF,所有连接的设备,包括传感器、固定装置、网关和服务器,都分配到子网中。设备之间的通信处于管理和监控之下,向作战室报告并呈递事件。基于兴汉华亚工厂实验室测试,ISA 140平均值超过 500 EPS,并伴有eSAF。ISA 140保护产品免受外部和内部的网络威胁,其网络隔离有效地阻止了破坏的传播。

 

Figure 2. ISA 140 in OT junction box

 

 结论


ISA140是坚固设计的紧凑型工业防火墙解决方案。双核Intel Atom® 处理器并有6个1GbE RJ45端口确保处理多个设备的安全连接。Wi-Fi/LTE ready设备提供广泛的网络覆盖范围和高可靠性。OOB功能使远程管理更加方便,宽温设计确保恶劣环境下的稳定运行。


ISA 140是您工业物联网保护的最佳选择。测试结果证明ISA 140在保持高强度的事件报告的同时,在性能上实现零妥协。这有助于减少部署的设备数量,从而降低运行和维护的总成本。其紧凑的DIN轨道设计为ISA 140融入现有网络架构提供了便利。遵循创建隔离网络的基本原则,为升级 OT安全升级节省了大量精力。管理员只需要实现适当数量的节点作为安全检查点,并在每个节点上部署一个ISA 140单元必要安全软件。


一个定制的安全软件(eSAF为例)通过 ISA 140监视和管理所有数据包,阻止所有可能有害的数据包,报告可疑行为,并防止未经授权的访问。硬件和软件的协同作用保证了任何网络安全事件的发生都在可控范围内。


 

Intelligent Transportation Systems World Congress: Oct. 29-Nov. 2 – Montreal, QC, Canada

American Public Transportation Association Expo: October 9-11, 2017 – Atlanta, GA

NEXCOM's video conferencing application ToGazer 2.0 launched for free download

The Intelligent System© 2011 NEXCOM International Co., Ltd. All Rights Reserved.

京ICP备07000984号-2  京公网安备 11010802008777号    技术支持

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了