工業(yè)互聯(lián)網的廣泛應用讓越來越多的設備連上網，工業(yè)廠商迫切地希望享受數(shù)字自動化帶來的益處，然而也面臨著隨之增加的風險。連接設備增多，導致受攻擊面增加，網絡更易遭受網絡攻擊和未授權訪問的侵襲。

工業(yè)網絡安全都面臨哪些挑戰(zhàn)？

OT操作人員缺乏加固網絡設備安全的指導

業(yè)界普遍存在誤解，認為只要部署防火墻，就能降低所有網絡安全風險。但事實是網絡設備的安全性在構建縱深防御安全架構中也發(fā)揮著關鍵作用。OT操作人員沒有部署加固網絡設備的經驗，也沒有明確的指南，這對網絡安全解決方案的實施造成重重阻礙。

設計網絡架構時缺乏網絡安全意識

如今，越來越多的設備接入網絡，但大多數(shù)OT操作人員在設計網絡構架時并未意識到網絡安全防御的必要性。從每年關鍵制造業(yè)大量發(fā)生的網絡攻擊事件不難看出ICS網絡所面臨的風險。

缺乏安全管理原則和監(jiān)控工具

據報道，人為錯誤是網絡遭受攻擊的主要原因(37%)；其通常原因在于未遵守安全管理原則。為此，OT操作人員必須持續(xù)監(jiān)控網絡。但持續(xù)地監(jiān)控動作需要投入具有專業(yè)知識的人員和時間精力，十分麻煩。

工業(yè)級網絡縱深防御方案

單一的作戰(zhàn)方案顯然不足以應對上述挑戰(zhàn)，必須從設備、網絡和管理層面全面部署，構建工業(yè)級網絡縱深防御方案。

明確的政策和安全管理

Moxa產品開發(fā)圍繞安全管理的四大基本方面：訪問及身份管理、設備管理、系統(tǒng)管理以及配置管理。此外，還為有線和無線網絡提供MXview和MXconfig管理軟件。

工業(yè)自動化控制系統(tǒng)網絡縱深防御網絡安全方案

Moxa提供由多種網絡安全模塊組成的縱深防御框架，包括工業(yè)級安全路由器、VPN和專為工業(yè)級自動化量身定制的遠程訪問解決方案。Moxa幫助系統(tǒng)集成商部署符合縱深防御原則的網絡安全解決方案。

內置安全功能的加固設備

Moxa為旗下所有產品提供固件升級服務，包括以太網交換機、無線設備、設備服務器、協(xié)議網關和遠程I/O，以加強工業(yè)自動化和工業(yè)控制系統(tǒng)網絡的網絡安全。

縱深防御安全架構

網絡分區(qū)，保障各區(qū)域及單元安全。

縱深防御安全架構將ICS網絡劃分為多個獨立且受保護的區(qū)域和單元。每個區(qū)域或單元內的通訊均設置防火墻保護，從而降低整個工業(yè)控制系統(tǒng)遭受網絡攻擊的風險。

MoxaEDR系列工業(yè)級安全路由器，使用透明防火墻，保護PLC和RTU等控制網絡和關鍵設備，阻止未授權訪問，從而幫助操作人員保護各獨立區(qū)域和單元。使用本解決方案，無需重新配置網絡設置，部署更加便捷。EDR-810系列支持Moxa的TurboRing冗余技術，令網絡分區(qū)更加靈活、經濟。

此外，Moxa以太網交換機可創(chuàng)建虛擬局域網(VLAN)，將ICS網絡分解為更小的網絡，從而隔離其他VLAN流量傳輸。

監(jiān)控區(qū)域間的數(shù)據傳輸

為提高安全保障，必須對ICS網絡各區(qū)域間的數(shù)據傳輸進行篩查。篩查方式有多種，其中一種是通過DMZ交換數(shù)據，安全ICS網絡和非安全網絡都可訪問數(shù)據服務器，且不會建立直接連接。

Moxa的EDR-G903系列可通過為用戶制定專門的防火墻規(guī)則，確保數(shù)據傳輸?shù)陌踩O(jiān)控。第二種方法是使用PacketGuard來監(jiān)控運轉情況，加強數(shù)據傳輸監(jiān)控，幫助EDR路由器進行ModbusTCP深度監(jiān)測。這種方法可簡化管理工作，防止網絡間不必要的數(shù)據傳輸。除防火墻外，還可使用訪問控制表，通過IP地址或本地IP過濾交換機的入口數(shù)據包，這使網絡管理員可通過監(jiān)控設備或部分網絡訪問確保網絡安全。

保障ICS網絡遠程訪問安全無虞

目前有兩種解決方案，可滿足安全遠程訪問應用的主要要求。對于持續(xù)連接，建議使用標準VPN隧道。

MoxaEDR系列可使用IPsec、L2TPoverIPsec或OpenVPN，設置加密IPsecVPN隧道或OpenVPN客戶端。防止數(shù)據在傳輸過程中遭篡改，確保工業(yè)級網絡及遠程應用間的訪問安全。如只需遠程訪問某些特定機器或敏感區(qū)域，則可使用管理所有遠程連接的管理平臺。

縱深防御安全相關產品

Moxa工業(yè)級防火墻/NAT/VPN安全路由器系列產品可在企業(yè)內部形成一個可靠安全的網絡，來保護整個控制網絡和企業(yè)資產。

EDR系列工業(yè)安全路由器特點

●支持IPSec(服務&客戶模式)，L2TP和PPTP功能以提高VPN安全性

●集合防火墻、NAT、VPN、路由器功能于一體

●具有高性能千兆銅纜/光纖符合端口

●防火墻功能快速啟動Fieldbus協(xié)議(快速自動化配置)

●支持網址地址轉換(NAT)(N對1，1對1和端口轉發(fā))

●智能的PolicyCheck和SettingCheck功能

●工作溫度：-40~75℃(寬溫型號)

●符合NERCCIP

EDR-810系列

●8+2GSFP口

●集防火墻/VPN/路由器/交換機于一體

●符合ISA99/IEC62443/NERCCIP

●支持RSTP/TurboRing冗余協(xié)議

●支持透明防火墻

EDR-G902系列

●千兆WAN，LAN口通信

●吞吐量300M

EDR-G903系列

●全千兆通信，雙WAN口冗余

●吞吐量500M

●支持DMZ安全區(qū)域