工業(yè)防火墻層層把關(guān)保衛工控網(wǎng)絡(luò )安全

　　工業(yè)自動(dòng)化促使工控網(wǎng)絡(luò )接軌標準化以太網(wǎng)絡(luò )，固然成就生產(chǎn)智能化，為工廠(chǎng)管理人員帶來(lái)實(shí)時(shí)監控、遠程管理等諸多便利，然也意味著(zhù)工控網(wǎng)絡(luò )門(mén)戶(hù)洞開(kāi)，提高蒙受惡意攻擊可能性，因此設立工控網(wǎng)絡(luò )防御機制已為必然。

　　工控網(wǎng)絡(luò )采用業(yè)者自行定義的通訊協(xié)議，網(wǎng)絡(luò )環(huán)境封閉。然隨著(zhù)智能化生產(chǎn)意識抬頭，加上以太網(wǎng)絡(luò )普及、連網(wǎng)成本急遽下降，封閉式工控網(wǎng)絡(luò )逐漸接軌開(kāi)放式以太網(wǎng)絡(luò )，但工控網(wǎng)絡(luò )一旦開(kāi)放，將可能讓有心人士乘隙潛入，為避免生產(chǎn)線(xiàn)受到滋擾，工控網(wǎng)絡(luò )應增設工業(yè)防火墻?！　?/p>

 

　　深層管理、從嚴管理　把關(guān)工控網(wǎng)絡(luò )安全

　　持平而論，防火墻絕非新穎技術(shù)，防護實(shí)力愈見(jiàn)強悍，然新漢計算機(NEXCOM)網(wǎng)絡(luò )通訊事業(yè)部產(chǎn)品規劃處處長(cháng)劉宏益指出，工控網(wǎng)絡(luò )的應用環(huán)境與企業(yè)網(wǎng)絡(luò )迥異，若擬維護工控網(wǎng)絡(luò )安全，便需采用工業(yè)防火墻進(jìn)行深層管理、從嚴管理。

　　劉宏益解釋?zhuān)髽I(yè)網(wǎng)絡(luò )架構涵蓋內網(wǎng)(Intranet)、工廠(chǎng)(Plant Network)、工控網(wǎng)絡(luò )(Control Network)等三個(gè)層次。工業(yè)防火墻保護位于內層的工控網(wǎng)絡(luò )，其目的為控制工廠(chǎng)使之正常運作，數據流量不大，卻皆為操作所需的控制及監視參數，數據價(jià)值極高。因此工業(yè)防火墻需能支持PROFINET等各式現場(chǎng)總線(xiàn)(Fieldbus)通訊協(xié)議，層層拆解數據封包，深入剖析封包結構與封包內容，確保封包的合法性，即所謂的深層管理。

　　相比之下，商業(yè)防火墻不支持現場(chǎng)總線(xiàn)通訊協(xié)議，封包檢測偏重郵件、網(wǎng)頁(yè)與檔案傳輸等類(lèi)別封包，并不適用工控網(wǎng)絡(luò )。

　　以汽車(chē)組裝線(xiàn)為例，產(chǎn)在線(xiàn)的每個(gè)機械手臂皆為一個(gè)網(wǎng)絡(luò )節點(diǎn)，各自遵照控制參數運作。若封包夾帶可疑的動(dòng)作控制參數，要求機械手臂執行標準作業(yè)程序以外的動(dòng)作，工業(yè)防火墻在接獲數據封包后，進(jìn)行深入封包分析時(shí)，便能阻擋該數據封包繼續傳送，協(xié)助制造業(yè)者防患于未然，避免產(chǎn)線(xiàn)因動(dòng)作控制參數受到竄改，制造出大量的不良品，徒使車(chē)廠(chǎng)蒙受巨額財物損失。

　　工控網(wǎng)絡(luò )安全從嚴管理則是因為生產(chǎn)設備有限定用途，僅執行特定應用程序，因此工業(yè)防火墻使用白名單設定，可阻擋所有不在名單內的應用程序。反觀(guān)商業(yè)防火墻為企業(yè)網(wǎng)絡(luò )的統一出口，通行應用程序五花八門(mén)，實(shí)行黑名單機制，僅阻擋列舉在名單上的應用程序，放行標準相對較寬，因此工業(yè)防火墻更能有效保護工控網(wǎng)絡(luò )。

　　除此之外，虛擬私有網(wǎng)絡(luò )(VPN)加密通道更是工業(yè)防火墻需支持的重要功能。由于工控網(wǎng)絡(luò )接軌以太網(wǎng)絡(luò )，信息傳輸將行經(jīng)公開(kāi)網(wǎng)絡(luò )環(huán)境。為確保從遠程擷取到的現場(chǎng)數據完整、正確，在公開(kāi)網(wǎng)絡(luò )上架設私有信道，并在數據傳輸前先行加密，即便資料遭到竊聽(tīng)，也難以被惡意破解、竄改。

　　耐受?chē)揽量简灐±卫伪Ｕ仙a(chǎn)力

　　工業(yè)自動(dòng)化應用多元，高溫炙人的沙漠油田、火星迸射的煉鋼廠(chǎng)、海風(fēng)鹽霧交加的風(fēng)力發(fā)電廠(chǎng)所在多有，工業(yè)防火墻自需實(shí)行強固設計，以在高溫、高濕、高鹽的環(huán)境下維持恒常運作。再者，生產(chǎn)設備極為重視效能穩定，對于停機時(shí)間有嚴苛的要求，在特殊、關(guān)鍵制程甚至不容機器停機，工業(yè)防火墻自然亦需具備高可用性(High Availability)，設有備援機制，在工業(yè)防火墻意外故障時(shí)，在極短時(shí)間內迅速切換，保護工控網(wǎng)絡(luò )安全。

　　智能工廠(chǎng)采用標準化的以太網(wǎng)絡(luò )，實(shí)現實(shí)時(shí)監控、遠程管理，對于生產(chǎn)、管理效率提升有莫大價(jià)值，不容任何惡意攻擊破壞。歷經(jīng)2010年伊朗核電廠(chǎng)遭駭等重大事件，用戶(hù)紛紛對工業(yè)設備安全有所警覺(jué)，捍衛設備生產(chǎn)力價(jià)值的過(guò)程中，最可望發(fā)揮關(guān)鍵助力的工業(yè)防火墻，未來(lái)發(fā)展前景自然看俏。