欢迎访问施耐德电气网站

欢迎访问我们的网站。

您可以选择其他国家/地区以查看可用产品或转至我们的全球网站了解公司信息

选择其他国家或区域

  • 避免网络攻击: 工业安全专家指导

Default Alternative Text
防火墙作为阻止外部入侵的一道屏障。同时允许合法数据与关键设备组件通信

网络安全事件的复杂性正日益攀升和升级,使得保护工业网络的复杂安全措施变得至关重要。

网络入侵如何损害到一家工业企业? 黑客可以下载并改变制药公司的药物配方,致使药物治疗危及生命。 汽车厂的机器人程序可能容易受到工艺变化的影响,导致出现有缺陷的部件。 如今,这样的威胁成为现实,可以通过网络故障和生产线效率低下危及到人身安全并造成业务损失。

工业防火墙与IT防火墙
为何不直接依赖于IT团队来管理防火墙? 工业级防火墙不同于IT级防火墙,因为许多过程控制应用程序不容许操作中断。 实施和维护控制系统的工程师应该了解并选择工业级防火墙。

防火墙是工业安全的基础
在计算机领域,防火墙是一个基于软件或硬件的网络安全系统,控制网络流量,以保护网络和设备免受未经授权访问。 防火墙监控网络流量,并通过检查消息“包”管理传输,作为一个应对外部入侵的屏障,同时传递合法的数据通信。 基于一组访问控制规则,防火墙可以允许、拒绝、加密、解密不同安全域之间的所有流量或作为代理。

防火墙类型
选择合适的工业级防火墙类型或类型组合取决于应用程序需求、可容许风险水平,以及攻击对系统的潜在影响。
• 过滤防火墙的信息包是一个检查数据包报头的低成本解决方案,但它很容易被技术娴熟的黑客所规避,因此更适合低风险的网络领域。
• 状态检测防火墙通过检查数据包及其内容提供了高水平的安全性和良好性能,但它的配置不仅成本能昂贵而且复杂。

• 应用程序代理网关在应用程序级别检查和过滤每个传入的数据包;然而,这种防火墙类型具有影响控制网络性能的开销延迟,因此不建议用于工业环境。

构建一个防火墙系统
分离和隔离对于构建防火墙而言至关重要。 例如,安装一个防火墙设备将控制网络与设备和企业网络分离是一个简单的解决方案,但它并没有将可编程控制器(PLC)系统与人机界面(HMI)系统隔离,而是在基于电脑的标准操作系统上运行。 攻击者可能针对这样一个系统进行入侵,并攻破控制某一操作或过程的PLC系统,或内部用户可能会通过下载或更新某一电脑软件程序引入恶意软件。

关键控制应用程序(如紧急停车系统)可能需要更严格的安全。 该解决方案旨在创建一个网络架构,可以与厂内网络和PLC控制系统通信,但采用两个防火墙将HMI和SCADA设备与PLC系统隔离。

工业级防火墙必须正确配置并位于控制网络访问点。 可以提高效率的设计因素包括:将控制网络分割成若干安全区;配置对外界不可见的控制网络结构,以隐藏设备类型;采用全状态数据包检测以确保所有入站数据包源于某一出站请求;提供安全报警和事件日志信息,以指示正在进行的攻击或设备故障。

但即使实施了适当的配置,防火墙也不能防止通过未与防火墙关联的连接的未经授权访问;绕过防火墙的内部攻击;过时的软件;用户错误;或通过不受保护的连接进入的病毒或恶意软件。

没有任何防火墙系统是不可攻破的,但稳健的防火墙会阻止黑客并鼓励他们去别处寻找更容易攻击的目标。

下载施耐德电气白皮书《工业环境中的以太网安全防火墙基本原理》,详细探讨工业级防火墙。
了解更多信息