工业信息安全 近年来,网络安全在企业各个层面的重要性显著增加。与此同时,随着网络化和数字化的发展,易受攻击的点也日益增多。攻击手段也愈发专业。此外,法律要求企业防范网络攻击。工业信息安全可避免人为破坏、停机或数据丢失,从而保护企业免受重大经济损失。

覆盖全球的安全通讯防护
IT与ICS安全的不同特性概览

ICS与IT安全要求对比

组合IT与OT

公司安全源于两个不同层面:IT(信息技术)与OT(操作技术)。若要妥善保护网络与系统,则这两个层面均需加以考虑,并采取全方位安全方案。只有通过协调行动,才能制定出有效且高效的方法。

IEC 62443系列国际标准旨在为工业自动化系统(ICS系统)的安全运行提供支持,涵盖设计、实施及管理等方面。为此,规定了适用于组件制造商、系统集成商和运营商的基本要求。IEC 62443基于ISO 27001标准,该标准主要包含各种IT安全规则。这两项标准可提供全方位保护,避免网络威胁。

工业信息安全
为何需要在办公网络之外实现全面安全
每家企业均面临网络安全这一关键问题。面对数字化转型和日益复杂的网络攻击,需要制定全面的安全战略。 白皮书介绍了ICS环境的特殊层面和关键行动领域,并为成功实施全面网络安全概念提供了初步建议。
立刻下载白皮书
白皮书:工业信息安全

数据保护影响各行各业 点击热点,了解更多

交互式图像地图:工业信息安全行业概览
设计制造解决方案
网络安全可提高网络与设备的可靠性和可用性。此外,在客户现场进行远程维护时还需要安全远程连接。
有关机械制造的更多信息
汽车行业
工业信息安全机制可确保甚至在某些情况下还能增强生产线的可用性。
有关汽车制造的更多信息
系统运营商
工业信息安全产品不仅可保障工业系统与过程的可用性和可靠运行,还可保护专业生产技术。
能源
能源行业企业在提供基础民生服务方面发挥着重要作用。这也是为何诸多国家的法律规定此类重要基础设施的系统运营商需进行系统保护,防止未经授权的访问。
有关电力传输和分配的更多信息
给排水处理
为实现持续不断的饮用水供给和污水处理,需远程访问偏远区域的水泵站,从而保护自动化系统免受日益严重的互联网网络攻击。
有关给排水处理的更多信息
过程自动化
过程数据的机密性和完整性:保护系统免受网络安全威胁。
有关过程自动化的更多信息

联网既带来重大机遇,但同时也带来风险

随着网络的深入发展,其在提高生产力或灵活度等方面的优势也越来越显而易见。然而,随着联网程度的提高以及信息技术(IT)和操作技术(OT)的融合,意味着公司网络有很多个点容易遭到攻击。

犯罪分子屡次利用IIoT(工业物联网)的潜在漏洞成功获取公司及基础设施的访问权限。这就带来了一大难题,即如何在确保工业系统免受黑客和恶意软件攻击的同时,实现自动化环境的大规模联网。以下概述了几大威胁和可采取的预防措施。

分段网络拓扑结构

解决方案:网络分段

源自办公区域的功能故障

源自办公环境的功能故障和病毒可直接传播至生产区域中。

解决方案:网络分段

通过将大型网络划分为小型网段,即可控制各区域间的数据交换,如生产区与办公区或不同系统部件之间。各网段可使用VLAN或防火墙进行分隔。随后就需要路由器或3层交换机来实现各个网段间的通信。这些设备会拦截典型网络故障,防止其进一步传播到网络的其他部分。

拓扑结构:通过防火墙访问互联网,实现安全远程维护

解决方案:数据传输加密

黑客攻击

犯罪分子可通过开放式互联网连接复制数据或对系统进行更改。

解决方案:数据传输加密

自动化系统不应具备互联网直接访问能力。使用防火墙访问互联网即可实现防护。防火墙将限制所有传入与传出流量,仅允许必需的授权连接。所有广域网连接均应通过采用IPsec的VPN进行加密。

端口关闭的交换机

解决方案:保护端口

被感染的硬件

U盘或笔记本电脑等硬件被感染后,可将恶意软件传播至网络。

解决方案:保护端口

您可使用端口安全功能直接在网络组件上进行设置,阻止未知设备与网络交换数据。此外,请关闭不需要的可用端口。未经授权的网络访问注册时,还可通过简单网络管理协议 (SNMP) 或信号触点发送警报。

拓扑结构:通过按键开关实现远程维护控制

解决方案:安全远程访问

未经授权访问网络

远程更改时会发生误改非目标系统的情况。

解决方案:安全远程访问

通过不同的技术解决方案可安全远程访问一台或多台机器。首先,出站通讯可通过IPsec或OpenVPN加密。其次,可通过设备上的按键开关启动远程维护。

这样可确保对设备仅进行预期更改。同时,进行远程维护时,该按键开关还可阻止网络中的通信规则运行。

 拓扑结构:使用一次性密码和DMZ安全集成移动终端设备

解决方案:安全WLAN密码分配

移动终端设备

未经授权的智能设备通过WLAN接口互联。

解决方案:安全WLAN密码分配

若WLAN密码已知且长时间未进行更改,第三方就有可能不受控制地访问设备网络。因此,菲尼克斯电气WLAN组件采用设备控制系统实现自动化密钥管理。从而通过一次性密码轻松安全地进行WLAN设备访问。

此外,还可使用控制区 (DMZ) 保护WLAN通信,将其与网络的其他部分隔离开来。

NIS 2 网络安全

网络安全措施实施已变成法律。

网络安全已变成法律 实施网络安全已不仅仅只是关键基础设施的强制性要求。

生产、产品和客户数据的数字化是提高企业附加值的决定性因素之一。因此,必须给予数据特殊保护。

欧盟委员会意识到了这一点,并于2020年12月提出了一项欧洲网络安全战略。该战略规定了组件、系统和企业抵御网络攻击的安全和防护能力标准。针对关键基础设施实施网络安全的法律要求早已确立。如今,新的欧盟网络与信息安全指令NIS 2已扩展了这一点。然而,只有所使用的产品是按照基于安全的设计开发的情况下,才能满足NIS 2指令的高要求。欧盟定义了《网络弹性法案》(CRA),以应对该挑战。新版欧盟机械法规对CRA进行了补充,将机械也视为产品。

IEC 62443 – 整体安全概念的成功要素
防范网络攻击,符合法律规定
经过IEC 62443评估认证的组件和系统,能否提供全面的网络攻击防护,同时满足欧盟出台的新法律要求,如NIS 2、《网络弹性法案》(CRA)和新的《机械法规》?如需了解有关新法律指令、自动化领域的网络安全实施以及IEC 62443重要性的所有信息,请参阅我们的白皮书。
立刻下载白皮书
带安全锁的联网世界
全方位安全周期

菲尼克斯电气全方位整体安全理念

全方位安全防护,安全无忧

只有将技术与组织措施有机组合起来,才能有效防范网络攻击。菲尼克斯电气可就此提供全方位安全防护,简化系统保护过程,全面保障系统安全:

安全服务
菲尼克斯电气的安全专家知识丰富,训练有素,可就如何尽可能地降低系统中的特定安全风险提供建议,并根据要求构建安全方案(已获得IEC 62443-2-4标准认证)。我们还可在培训课程中与您分享专业知识,以便您的员工迅速掌握网络安全知识。

安全解决方案
菲尼克斯电气的安全方案可保护关键过程,如借助区域方案、数据流控制以及采用强化组件。此外,方案还将构建安全过程,并形成文档。

安全产品
安全性深入贯穿我们产品的整个生命周期。此周期从安全的研发过程(已获得IEC 62443-4-1标准认证)开始,并包括重要安全功能的集成、定期更新和安全补丁等。

LinkedIn标志

LinkedIn:工业通信和网络安全 欢迎立即加入社区!

工业通信网络助力实现从现场到控制层,再到云端的可靠数据传输。我们的__工业通信和网络安全__LinkedIn页面将提供有关网络可用性、网络安全、远程维护等方面的有趣内容。欢迎加入社区!