为了防止黑客对工业网络造成破坏,现代控制器采用了远远超出普通防火墙的措施。
Laura Dickinson |WAGO CORP.
几年前,有个电视连续剧叫机器人先生观看主角尝试销毁在数据设施中销毁的Mag磁带备份,这些设施被描绘为富裕和遥控器。这个想法是提高储藏室的温度足以熔化胶带。该计划要求将普通的覆盆子PI电脑板连接到气候控制系统中,这将仅仅从楼宇自动化控制器上覆盖气候命令。
安装了树莓派后,主角艾略特·奥尔德森(Elliot Alderson)就能从一台普通的笔记本电脑上,通过一个名为Shodan (Shodan)的真实网站访问暖通空调系统。www.shodan.io),这是一个搜索引擎,用户不仅可以找到暖通空调系统,还可以找到路由器、服务器和其他连接到互联网的设备。Shodan通过在互联网上搜索开放端口的IP地址找到了这些未受保护的设备。它可以找到电脑控制的暖通空调系统,如果它们被接入公司的互联网服务器。(相反,Shodan不会看到暖通空调系统在自己封闭的网络上运行。)
的机器人先生黑客没有挂钩工作。事实上,它非常完美地脱落,观众可能想知道真正的工业网络的网络安全。黑客或技术故障是否可以轻松妥协服务器?
Wago PFC200控制器及其主要安全措施,旨在阻止黑客的努力。
但这并不意味着现代工业网络无法做到防弹。为了了解什么是可能的,考虑一下Wago的PFC家族控制器实现的安全措施。PFC100和PFC200控制器实现的安全技术可以作为现代工业网络可以采用的保障措施的例子。
Wago Automation产品经理Charlie Norz表示:“我们的设备内置了与市场上其他产品不同的安全措施。”“我们有一个内置的防火墙来隔离网络;此外,我们也有内置的VPN,支持两种不同类型的VPN技术,用户可以添加到他们的控制器,以提高安全性。例如,当向云发送信息时,我们也有一个TSL 1.2安全性,可以通过HTTP传输数据。所以我们在控制器中添加了许多功能,这样用户就不必在他们的网络中添加额外的组件。”
一些基本的安全术语可能值得解释。TLS是“传输层安全”(Transport Layer Security)的首字母缩写,该协议允许数字设备(如计算机和电话)在互联网上安全地通信,而传输不会受到外部受众的攻击。自去年以来,处理信用卡支付的网站不得不使用最新版本TLS 1.2。
计算机防火墙是一种软件程序,它检查进出计算机的每个单独的数据“包”,以确定它是应该被允许通过还是被阻止。防火墙还可以控制哪些类型的系统功能和进程可以访问网络资源。在这种情况下,防火墙可以使用各种类型的签名和主机条件来允许或拒绝流量。
VPN(虚拟专用网)是一种通过服务器路由你的连接并隐藏你的在线行为,让你安全私密地访问网络的服务。在运行中,VPN客户端(软件)加密你的数据,甚至在你的互联网服务提供商看到它之前。然后数据会被传送到VPN,再从VPN服务器传送到你的在线目的地。在线目的地认为你的数据来自VPN服务器和它的位置,而不是来自你的计算机和你的位置。数据以加密的形式传送到ISP,然后再传送到VPN服务器。VPN服务器是代表您连接到web的第三方。因此,目的站点将VPN服务器视为流量的来源,而不是您。没有人能(容易地)识别出你或你的计算机是数据的来源,或者你在做什么(在PLC的情况下,是什么数据被传输)。你的数据是加密的,所以即使有人看了发送的信息,他们也只能看到加密的信息,而不是原始数据。
VPN协议定义了服务如何在VPN上处理数据传输。最常见的协议之一是OpenVPN。它基于SSL/TLS (SSL或安全套接字层是在web服务器和浏览器之间建立加密链接的标准安全技术),而且它是一个开源项目,这意味着它在不断地被数百名开发人员改进。它使用只有传输两端的参与方知道的密钥来保护连接。
回到机器人先生一个VPN就足以挫败艾略特·奥尔德森的努力。但vpn和防火墙只是现代工业网络可以实施的安全措施的开始。
标准安全措施,如防火墙,密码保护和个别用户权限,保护每个位置的数据免受未经授权的访问。WAGO的PFC100和PFC200控制器通过车载TLS 1.2安全协议传输数据,并将数据安全地传输到云。
虚拟专用网络将专用网络扩展到公共网络,使用户可以跨共享网络或公共网络发送和接收数据,就像他们的计算设备直接连接到专用网络一样。Wago PFC控制器支持两种常用的用于建立VPN连接的协议,OpenVPN和Ipsec。(用于IP安全的IPsec是一套协议,用于确保IP网络上的数据通信的完整性、保密性和身份验证。)这意味着在一个不安全的网络上有安全的通信。
通过在PFC100和PFC200控制器上直接使用VPN加密发送的数据,可直接从PLC应用Open VPN连接。通信通过使用MQTT和其他协议的加密VPN连接进行保护。
MQTT (MQ遥测传输)是一种发布/订阅、简单的消息传递协议,专为受限设备和低带宽、高延迟或不可靠的网络设计。设计原则是尽量减少网络带宽和设备资源需求,同时尝试确保可靠性和某种程度的交付保证。这些原则使该协议适用于物联网连接设备,以及带宽和电池功率都很昂贵的移动应用程序。
为了保证web访问和数据传输过程中的信息安全和完整性,采用TLS 1.2加密方式作为建立安全的HTTPS和FTPS连接的标准,集成SSH协议作为建立安全的shell和SFTP连接的标准。
“TLS安全性用于运输HTTP,是一个用于沟通的行业标准,”Norz说。“在将植物地板连接到云端时,这很重要。通过我们的控制器,我们有能力发布和订阅MQTT经纪商,该经纪人正在成为云技术的行业标准,最近我们拥有SparkPlug,这也是基于MQTT的和我们都能启用TLS的MQTT和两个协议安全。如果要发送数据,则数据被加密,因此即使它们捕获通信也没有人可以读取数据。“
使用标准集成防火墙,WAGO的PFC100和PFC200控制器可防止不需要的网络攻击。无需通过外部组件和通过外部防火墙进行加密。防火墙保护不开箱即可添加外部设备。
Linux软件是这些安全机制背后的基础。由于WAGO控制器基于Linux系统,因此安全性基本上内置。WAGO控制器还通过VLAN进行物理网络分段,因此可以将应用级别和管理级别彼此安全地分开。
虚拟LAN(VLAN)是在数据链路层(OSI第2层)处划分和隔离的计算机网络的任何部分。VLAN通过将标记应用于网络帧并使用它们来创建网络流量的外观和功能,该网络流量在单个网络上物理地进行物理上,而是似乎它在单独的网络之间分离。通过这种方式,尽管连接到相同的物理网络,VLAN可以保持网络应用程序分开。VLAN解决诸如可扩展性,安全性和网络管理等问题。VLAN滤波器之间的路由器广播流量,增强网络安全性,执行地址汇总和缓解网络拥塞。
Norz说:“许多行业组织和安全专家都建议,在发生网络黑客攻击时,应隔离网络。”“如果你的网络在你的设施内是分开的,入侵者将只能进入设施的一部分,而不是整个操作。因此,按照良好的安全标准,VLAN只是设计深度防御策略的众多方法之一。”
使用传统中央控制器的传统自动化金字塔正在通过TSN(时间敏感网络)和灵活的自动化解决方案,逐渐过渡到云服务,OPC-UA(对象链接和嵌入过程控制统一自动化)等新信息和通信技术。WAGO的云连接解决方案为云提供了高安全标准和安全路径。
随着数字世界的快速发展,需要使用公司长期移动的灵活解决方案。用户可以选择稍后升级控制器的WAGO PLC控制器,以符合联邦能源和水资源贸易协会的要求白皮书和联邦办公室信息安全目录,如果需要。
“人们需要网络安全,因为更多的公司正在进行数字转变,他们希望将更多的植物地板数据变成云,”Norz说。因此,当您通过互联网上移动信息然后显然,您的系统对互联网开放,这是黑客损害您的系统的条目。“
在这方面,有一个很好的机会,任何一个安全措施诺兹提到就会使机器人黑客Moot先生的计划。但是,当然,这将是令人兴奋的电视。DW.
你也可以喜欢:
了下:航空航天+防御,技术+产品,工厂自动化,网络安全,物联网•物联网•物联网•工业4.0,网络•连接性•现场总线
