Skip to main content

利用聚合 IT/OT 安全网关保护工业物联网基础设施

工业及其它任务关键型设施和流程越来越多地实现互联和数字化,以提供更深刻的流程见解,提高效率和安全。 但是,传统的运营技术 (OT) 基础设施,如可编程逻辑控制器 (PLC)、远程终端单元 (RTU) 以及监控与数据采集 (SCADA) 系统,并非为防御复杂的黑客攻击和恶意软件攻击等攻击类型而设计,这些攻击都以连接到互联网的设备为攻击目标。

而且,OT 环境中的安全漏洞会因为 Lanner Electronics Inc. 首席技术官 Max Lee 所描述的 IT 问题而加剧:“传统 IT 安全主要围绕企业网络需求而构建,设计为在服务器机房中缓解来自互联网的网络威胁。 它不能用来保护工业控制系统 (ICS) 和 SCADA 网络。”这是因为 OT 设备在隔离的环境中运行,用来控制和监控关键基础设施。

为了提高安全性,Lee 说:“我们需要在 PLC、RTU 以及其它设备所在的恶劣工业环境中部署工业级防火墙”。此外,电涌保护、LAN/COM 隔离和宽工作温度范围可帮助确保防火墙能够在恶劣的工业条件下全天候高效工作。

因此,在实施安全的工业物联网 (IIoT) 网络架构时,必须考虑对 IT 和 OT 领域要求达成共识。

标准化安全性是一个良好的开始

在实施安全性之前让系统通信的想法促使了 IIoT 的诞生。 让 OT 所有者、设计人员和开发人员更多地考虑安全防火墙同样重要,毕竟他们不能在隔绝的环境中工作。 OT 系统还必须连接到 IT 基础设施以利用数据。 例如,中央位置的员工必须能够远程连接到 OT 网络,通过公司的企业 PC 访问数据以及监控状态。

同时,在典型的 IT 防火墙中不可用的串行端口也需要连接到工业网络中的旧设备。 这么多安全性不可靠的连接将会产生漏洞,从而将恶意软件和病毒引入到 IT 办公室和工业网络中。

在能源部门,其中的一些挑战已经得到解决。 IEC-61850 规范确保自动化系统之间进行可互操作的通信,这是工业防火墙所必需的。 同样,对关键基础设施设备网络攻击的数量上升也导致为工业系统创建了其它新的安全框架。 网络硬件供应商(如 Lanner Electronics)正在基于由 North American Electric Reliability Corporation (NERC) 牵头制定的关键基础设施保护 (CIP) 标准,以 IT 和 OT 网关的形式开发安全设备,以充当多层网络安全平台。

NERC CIP 标准通过专门满足聚合 IT 和 OT 基础设施的安全策略管理和控制网络可见性要求,帮助实现 IT 和 OT 的无缝融合(图 1)。 利用 CIP 标准,网关设备可集成来自两个领域的技术,以让您深入了解 ICS 和 SCADA 站点的控制网络流量、白名单、数据包检查和安全策略说明。 Lanner 已经在它的 LEC-6032 聚合 IT/OT 安全网关上采用了这种方法,目标针对能源、石油和天然气以及制造等工业市场。

图 1. CIP 标准为使用集成方法建立 IT/OT 安全机制奠定了基础。 (来源:Lanner Electronics, Inc.)

剖析 IT/OT 安全网关

Lanner 的安全网关提供的是一种二元方法,一方面保护 OT 设备,另一方面通过基于 CIP 标准的现成技术构建模块来保护 IT 网络。 在 OT 方面,这些网关部署一个安全设备来集成 SCADA、PLC 和日志服务器。 对于 IT 环境,CIP 网关保护企业资源规划 (ERP)、产品生命周期管理 (PLM) 以及邮件服务器。

例如,Lanner 的 LEC-6032 工业级无风扇嵌入式系统充当一个工业防火墙以及统一威胁管理 (UTM) 设备来监视和控制 OT 环境中的网络流量。 用于 OT 安全性的 LEC-6032 防火墙解决方案由 1.91 GHz 的英特尔凌动® E3845 处理器来驱动。 这种低功耗处理器具有足够稳定的性能来管理网络流量。 “凌动处理器的低功耗实现了较宽的工作温度范围,这对于 OT 网络非常重要,”Lanner 的 CTO Lee 说道;不过,系统还利用了凌动处理器的安全功能。

凌动 CPU 附带了虚拟化功能,用于加强系统安全性和网络防御的英特尔® 病毒防护技术,以及高级加密标准 – 新指令 (AES-NI) 技术(图 2)。 而且,可针对指令和策略实施对 CPU 进行扩展,以检测未经授权的行为和恶意软件。 此外,它还可以执行验证和认证进程,以确定 OT 基础设施中每个设备的身份。

图 2. 英特尔® AES 技术可促进更快、更强的加密。 (资料来源:英特尔公司)

同样,Lanner 还在它的 IT 防火墙安全设备中使用了英特尔® 酷睿™ 处理器。 在此,Lee 证实了处理器的高吞吐量处理能力,可用于实施安全指令,如深层数据包检查 (DPI) 和数据平面开发套件 (DPDK)。 此外,在 Lanner 的 IT 安全设备中还使用了英特尔® QuickAssist 技术对加密进行加速。 安全网关硬件基于 x86 架构,支持移植与该架构兼容的任何软件。

多层安全性

根据 Lanner 的研究数据,超过 60% 的公用事业公司在过去的一年里至少遇到了一个安全漏洞。 OT 基础设施的性质以及它为存在恶意企图的黑客提供的攻击点数量要求有一种多层网络安全平台。 当 IT 元素与 OT 交织时尤其如此。

基于 CIP 的安全网关提供关于关键工业基础设施的风险分析、网络监控以及防范网络攻击的应急措施。