IT與OT的融合、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)與云計(jì)算......，工業(yè)領(lǐng)域 這些明顯的推動(dòng)趨勢(shì)中，都指向一個(gè)更加互聯(lián)互通的透明工廠目 標(biāo)——這既給工業(yè)企業(yè)賦予了數(shù)字化轉(zhuǎn)型的機(jī)遇，又帶來了一些挑戰(zhàn)，其中工業(yè)網(wǎng)絡(luò)的安全性便是重要內(nèi)容之一。

事實(shí)上，從近年來全球頻發(fā)的工業(yè)網(wǎng)絡(luò)安全事件可以發(fā)現(xiàn)，針 對(duì)工業(yè)企業(yè)/工廠的攻擊目標(biāo)、攻擊策略和攻擊破壞性正在變得嚴(yán) 峻，而且所使用的攻擊手段和工具變得更加有威脅。這種變化的威 脅情況，迫使工業(yè)企業(yè)需要從根本上重新思考整個(gè)工業(yè)網(wǎng)絡(luò)防御理 念和更完整的安全保護(hù)措施，最大程度地降低安全風(fēng)險(xiǎn)。

2019 年 12 月，由中國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo) 準(zhǔn)化管理委員會(huì)發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保 護(hù)基本要求》(GB/T 22239-2019)開始正式執(zhí)行，標(biāo)志著等級(jí)保護(hù)進(jìn)入了 2.0 時(shí)代，新的等級(jí)保護(hù)基本要求中新增了關(guān)于工業(yè)控 制系統(tǒng)的擴(kuò)展要求，對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全工作提出了更為具

體細(xì)致的要求。 那么，對(duì)于工業(yè)網(wǎng)絡(luò)技術(shù)而言，什么樣的防御體系值得提倡?而目前可以重點(diǎn)考慮哪些方面的網(wǎng)絡(luò)安全措施? 網(wǎng)絡(luò)安全專家紅獅控制有如下建議。

(1)劃分安全域

分層安全防御體系首先將系統(tǒng)按照不同的權(quán)重劃分為 不同的安全域，每個(gè)安全域被賦予不同的安全級(jí)別，在安 全域的邊界部署工業(yè)防火墻。這一過程中，常常通過劃分 非軍事區(qū)(DMZ)的方式，在不降低自動(dòng)化網(wǎng)絡(luò)層安全 性的同時(shí)，允許外部其他網(wǎng)絡(luò)訪問服務(wù)器中的數(shù)據(jù)，實(shí)現(xiàn) 數(shù)字化運(yùn)營(yíng)。

(2)網(wǎng)絡(luò)分段保護(hù)

通過將工廠網(wǎng)絡(luò)劃分成獨(dú)立的子網(wǎng)絡(luò)，并通過一個(gè)安 全設(shè)備來保護(hù)，每個(gè)子網(wǎng)的設(shè)備可以防止來自外部未經(jīng) 授權(quán)的訪問且不影響實(shí)時(shí)性能或者其它功能，各個(gè)子網(wǎng) 絡(luò)之間的數(shù)據(jù)傳輸通過安全設(shè)備的 VPN 進(jìn)行加密處理， 既滿足了子網(wǎng)絡(luò)內(nèi)部的實(shí)時(shí)通訊，又實(shí)現(xiàn)了各網(wǎng)段之間的 安全通信。

(3)實(shí)施安全措施

分層安全防御還要實(shí)施一系列連續(xù)但獨(dú)立的網(wǎng)絡(luò)安全 保護(hù)措施，如VPN、狀態(tài)防火墻、端口安全、密碼保護(hù)設(shè) 置、利用虛擬局域網(wǎng)實(shí)現(xiàn)雙重隔離、使用警報(bào)進(jìn)行實(shí)時(shí)監(jiān) 控等，通過層層加固的方式讓網(wǎng)絡(luò)攻擊者耗費(fèi)巨大的精力 和時(shí)間，從而降低各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)，保護(hù)工業(yè)網(wǎng)絡(luò)的相對(duì)安全性和不易攻擊性。

業(yè)內(nèi)知名的工業(yè)網(wǎng)絡(luò)技術(shù)專家——紅獅控制在其核 心的工業(yè)以太網(wǎng)交換機(jī)解決方案中，按照分層安全的防御 理念，通過一系列關(guān)鍵網(wǎng)絡(luò)安全技術(shù)，為全面保護(hù)工業(yè)網(wǎng) 絡(luò)提供了支撐，例如:

01.VPN——通過虛擬專用網(wǎng)絡(luò)(VPN)加密傳輸 功能，保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整 性與可用性。紅獅路由器在默認(rèn)情況下是安全的，發(fā)貨 時(shí)每個(gè)設(shè)備都具有唯一的密碼標(biāo)識(shí)，并支持2,048位加密 方式(相比之下銀行通常僅使用128位加密方式進(jìn)行網(wǎng)絡(luò)交易)。

02.狀態(tài)防火墻——利用工業(yè)防火墻啟用安全遠(yuǎn)程訪問，從而對(duì)安全域邊界進(jìn)行監(jiān)視， 根據(jù)狀 態(tài)、端口或協(xié)議實(shí)現(xiàn)數(shù)據(jù)通信的流通和屏蔽，可以監(jiān)視接 口開放前的所有活動(dòng)，直至其最終關(guān)閉。

03.端口安全——通過端口安全實(shí)現(xiàn)基于MAC地址對(duì)網(wǎng)絡(luò)接入進(jìn)行安全控制，通過檢測(cè)從端口發(fā) 出的數(shù)據(jù)幀中的目的MAC地址來控制對(duì)非授權(quán)設(shè)備的訪 問，既方便用戶的管理又提高了系統(tǒng)的安全性。

當(dāng)然，紅獅控制的工業(yè)網(wǎng)絡(luò)產(chǎn)品還提供密碼保護(hù)設(shè) 置、雙重隔離、警報(bào)監(jiān)控等更全面的網(wǎng)絡(luò)安全保護(hù)措 施。而為了進(jìn)一步加強(qiáng)安全的遠(yuǎn)程網(wǎng)絡(luò)解決方案，2022 年4月紅獅控制公司進(jìn)一步宣布收購(gòu)MB connect line GmbH，大幅擴(kuò)展了紅獅控制的產(chǎn)品組合。

作為安全遠(yuǎn)程訪問、工業(yè)物聯(lián)網(wǎng)和工業(yè)安全服務(wù)領(lǐng)域 的領(lǐng)軍企業(yè)，MB connect line高度安全的硬件和軟件解 決方案廣泛應(yīng)用于遠(yuǎn)程訪問、數(shù)據(jù)收集和M2M通信，為 客戶提供遠(yuǎn)程監(jiān)測(cè)和遠(yuǎn)程配置的遠(yuǎn)程服務(wù)門戶 (Remote Service Portal) 加入，有利于紅獅控制更好地為客戶提供 安全、易用的邊緣連接解決方案，助力實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)可 見性并提高生產(chǎn)力。

從技術(shù)、產(chǎn)品到解決方案，紅獅控制始終將安全放在 第一位，始終致力于為工業(yè)客戶打造更全面、更先進(jìn)的工 業(yè)網(wǎng)絡(luò)安全體系，為IT與OT的融合鋪平道路，最終實(shí)現(xiàn) 數(shù)字化轉(zhuǎn)型目標(biāo)。