位于联网世界地图前的锁

工业信息安全 公司安全性如何?

在数字化时代,无论是对个人还是公司而言,保护数据都是重中之重。在世界范围内,约有66% 的中小型工业公司已成为网络攻击的目标。尽管许多公司已意识到网络犯罪会带来危险,但却低估了其对机器和工厂设备所造成的严重后果。工业IT安全可避免发生故障、人为破坏或数据丢失,从而保护生产运营免受重大经济损失。

IT与ICS安全的不同特性概览

ICS与IT安全要求对比

组合IT与OT

公司安全源于两个不同层面:IT(信息技术)与OT(运营技术)。若要在工业4.0时代妥善保护网络与系统,则这两个层面均需加以考虑,并采取全方位安全方案。

这是因为根据IT要求所制定的措施需通过其他OT安全解决方案进行扩展,且必须考虑不同的保护目标。

数据保护影响各行各业 点击热点,了解更多

交互式图像地图:工业信息安全行业概览
设备制造商
网络安全可提高网络与设备的可靠性和可用性。此外,在客户现场进行远程维护时还需要安全远程连接。
汽车行业
工业信息安全机制可确保甚至在某些情况下还能增强生产线的可用性。
系统运营商
工业信息安全产品不仅可保障工业系统与过程的可用性和可靠运行,还可保护专业生产技术。
能源行业
能源行业企业在提供基础民生服务方面发挥着重要作用。这也是为何诸多国家的法律规定此类重要基础设施的系统运营商需进行系统保护,防止未经授权的访问。
给排水行业
为实现持续不断的饮用水供给和污水处理,需远程访问偏远区域的水泵站,从而保护自动化系统免受日益严重的互联网网络攻击。
石油和天然气
系统受黑客攻击后立即就会造成经济损失,还会对员工安全构成威胁。在易燃易爆区域,工业信息安全被视为一项安全要求。

联网带来的机遇和挑战

随着网络的深入发展,其在提高生产力或灵活度等方面的优势也越来越显而易见。但联网程度的提高以及信息技术 (IT) 和运营技术 (OT) 的快速融合,意味着公司网络有很多个点容易遭到攻击。关键基础设施也日益成为各种网络攻击的目标:犯罪分子屡次利用IIoT(工业物联网)的潜在漏洞成功获取公司及基础设施的访问权限。这就带来了一大难题,即如何在确保工业系统和关键基础设施免受黑客和恶意软件攻击的同时,实现自动化环境的大规模联网。

以下概述了几大威胁和可采取的预防措施。

分段网络拓扑结构

解决方案:网络分段

源自办公区域的功能故障

源自 办公环境的功能故障和病毒可直接传播至生产区域中。

解决方案:网络分段

通过将大型网络划分为小型网段,即可控制各区域间的数据交换,如 生产区与办公区或不同系统部件之间。各网段可使用VLAN或防火墙进行分隔。随后就需要路由器或3层交换机来实现各个网段间的通信。这些设备会拦截典型网络故障,防止其进一步传播到网络的其他部分。

拓扑结构:CIFS完整性监测可及时检测并阻止针对系统控制器的更改

解决方案:限制通信

恶意软件攻击

通常情况下,恶意软件旨在向相邻系统传播并使其受到感染。其中一个例子就是WannaCry恶意软件,该软件可感染未打补丁的Windows系统。

解决方案:限制通信

使用防火墙可以限制或阻止恶意软件的传播。若排除所有技术上非必要的通信选项,则大多数此类攻击将无法生效。此外,工业完整性监测(如 CIM完整性监测)可助您及时检测,并遏止恶意软件对基于Windows系统(如控制器、操作界面或PC机)的改动及操纵的影响。

拓扑结构:通过防火墙访问互联网,实现安全远程维护

解决方案:数据传输加密

黑客攻击

犯罪分子可通过开放式互联网连接复制数据或对系统进行更改。

解决方案:数据传输加密

自动化系统不应具备互联网直接访问能力。使用防火墙访问互联网即可实现防护。防火墙将限制所有传入与传出流量,仅允许必需的授权连接。所有广域网连接均应通过采用IPsec的VPN 进行加密。

端口关闭的交换机

解决方案:保护端口

被感染的硬件

U盘或笔记本电脑等硬件被感染后,可将恶意软件传播至网络。

解决方案:保护端口

您可使用端口安全功能直接在网络组件上进行设置,阻止未知设备与网络交换数据。此外,请关闭不需要的可用端口。未经授权的网络访问注册时,还可通过简单网络管理协议 (SNMP) 或信号触点发送警报。

拓扑结构:通过按键开关实现远程维护控制

解决方案:安全远程访问

未经授权访问网络

远程更改时会发生误改非目标系统的情况。

解决方案:安全远程访问

通过不同的技术解决方案可安全远程访问一台或多台机器。首先,出站通讯可通过 IPsec或OpenVPN加密。其次,可通过设备上的按键开关启动远程维护。

这样可确保对设备仅进行预期更改。同时,进行远程维护时,该按键开关还可阻止网络中的通信规则运行。

 拓扑结构:使用一次性密码和DMZ安全集成移动终端设备

解决方案:安全WLAN密码分配

移动终端设备

未经授权的智能设备通过WLAN接口互联。

解决方案:安全WLAN密码分配

若WLAN密码众所周知且长期保持不变,第三方就有可能不受控制地访问设备网络。因此,菲尼克斯 电气WLAN组件采用设备控制系统实现自动化密钥管理, 从而通过一次性密码轻松安全地进行WLAN设备访问。

此外,还可使用控制区 (DMZ) 保护WLAN通信,将其与网络的其他部分隔离开来。

安全产品、服务及解决方案构成的全方位安全防护概念

菲尼克斯电气全方位整体安全概念

全方位安全防护,安全无忧

只有将技术与组织措施有机组合起来,才能有效防范网络攻击。菲尼克斯电气可就此提供全方位安全防护,简化系统保护过程,全面保障系统安全:

安全服务
菲尼克斯电气的安全专家知识丰富,训练有素,可就如何尽可能地降低工厂中的特定安全风险为您提供咨询,并根据要求构建安全方案(已获得IEC 62443-2-4标准认证)。此外,我们还可在培训课程中与您分享专业知识,以便您的员工迅速掌握网络安全知识。

安全解决方案
菲尼克斯电气的安全方案可保护关键过程,如借助区域方案、数据流控制以及采用强化组件。此外,方案还将构建安全过程,并形成文档。

安全产品
安全性深入贯穿我们产品的整个生命周期。此周期从研发过程(已获得IEC 62443-4-1标准认证)开始,并包括重要安全功能的集成、定期更新和安全补丁等。