编辑迈克尔·埃伯南,助理编辑
基于以太网的生产系统越来越熟悉。轻松集成到Intranet和Internet,高达千兆位每秒的高带宽,并降低工业指定的电缆的成本,连接器,交换机和路由器是此开发背后的原因。然而,硬币的另一面是由于工业网络中的安全漏洞导致的故障和生产中断的风险增加。
因此,大众汽车在德国莫登的汽车身体生产厂进行了内部风险分析。审计审核了多个系统的安全性,包括控制技术。结果:敏感的生产系统不充分地保护未经授权的访问,因为可以在内部网络操作期间触发攻击,无意中访问或无意的错误条目。此外,通过集中防火墙防止这些问题复杂,而且没有成本效益。
敏感的生产系统往往得不到充分的保护。内部网络导入的恶意软件或无意的错误输入,中央无法阻止
例如,在服务运营或硬件和软件安装期间使用其笔记本电脑访问网络的第三方公司的员工可以无意地传播被视为潜在风险的恶意软件。分析还确定了无意的错误条目作为有问题的弱点。Jens Hoofdmann,Bodywewore维护专家,引用了分析引起的一个有问题的问题:“典型的例子是安装服务器,随后以短间隔向整个网络发送Ping数据包。这种永久请求可能会破坏甚至崩溃工业控制器。“
根据风险评估开发了一个动作项矩阵,包括组织变更,网络分段和分布式工业防火墙的引入。在选择合适的硬化和安全措施时,大众汽车的EMDEN厂选择了具有集成防火墙的工业路由器。分布式工业防火墙/路由器解决方案将汽车机身建筑厂的生产网络在emdden中进入15个孤立的子网。对于中央保护,具有可比较的粒度,所有系统和子网都需要在复杂配置中具有高容量防火墙的星形布局网络布线。鉴于工业设备的网络节点之间的典型距离,这证明了特别昂贵且效率低,这就是为什么这些环境几乎由树形和线性电缆拓扑结构主导,因此更适合分布式防火墙方法。
中央IT部门还参与了关于实现新结构、技术评估和启动监测的初步讨论。与生产相关的IT部门最终承担了解决计划、安装、调试和管理任务的责任。
系统网络已经成功计划,并与德国Blomberg的自动化公司一起与Phoenix联系人一起运行并投入运营。从项目中获得的经验以及所获得的系统所获得的知识也有利于网络保护操作。该公司使用FL MGuard工业防火墙/路由器模块从Phoenix联系和无用。
MGuard模块基于嵌入式Linux,并集成了四个协调的安全组件:双向状态检查防火墙,灵活的NAT路由器,安全VPN网关和防止恶意软件的保护。
事实证明,mGuard安全设备是自给自足的,可以集成到现有的生产网络中,而无需使用其隐形操作模式重新配置终端设备。在网络术语中,这意味着防火墙透明地表现为一个桥接器。
“我们对Mguard工业防火墙的经验只不过是积极的。Volkswagen AG的Emden植物的车身维护专家Jens Hoofdmann报道,所有未经授权的访问都被阻止,系统现在更好地保护防恶意软件。
从Jens Hoofdmann的角度来看,安装、设置和集成工业防火墙是很容易的。各上行链路均在控制柜中分布式使用。在硬件方面,大众汽车公司能够将24v DIN导轨设备直接安装到控制柜中,并允许其自己的工作人员根据现有的网络结构启动它们,而无需任何重新布线操作。
采用了一个非常务实的方法,用于建立防火墙规则。首先,允许所有数据流量,并仅记录对子网的访问。随后评估日志文件,并以规则的形式进行评估,并在将来应允许哪种类型的访问类型记录。该规则进行了测试,修订,最终以现代形式定义。
在这一阶段,公司依靠的经验Innominate,一个全资子公司凤凰联系。Jens Hoofdmann表示:“我们受益于Innominate在工业网络、协议和防火墙规则方面的专业知识,能够优化安装结构。”
Mguard设备管理器(MDM)中央管理系统具有促进所有Mguard设备的中央配置和管理的模板机制。防火墙规则和NAT设置的参数在IDM中直接配置,而无需定义抽象安全策略。大众汽车可以使用上载功能将规则上传到所有列出的设备,并在一步中配置它们。IDM支持子网,子组和用户组之间的特殊规则,然后分发给所有防火墙。
根据Volkswagen Emden的维护团队,中央管理系统已经大大促进了设备管理。在五分钟内生成新的防火墙规则,以授予服务团队访问的成员不再是一个问题。
机器人、plc、平板电脑、激光技术、焊接系统、控制器和无人驾驶运输系统都被分布在Emden汽车车身生产网络上的防火墙保护着。Jens Hoofdmann报告说,自从安装防火墙以来,没有发生过安全事故。但是,他们已经能够根据日志文件识别来自其他生产部门的受感染设备。在其中一个例子中,病毒试图传播到其他设备。然而,mGuard阻止了对受保护计算机的访问,这使得向恶意软件的其他部门提供建议成为可能。
提交:设计世界的文章那网络•连接性•现场总线那plc +政治行动委员会
告诉我们你的想法!