菲尼克斯電氣解決方案：你安全嗎?

在數(shù)字化時代，無論是對個人還是公司而言，保護數(shù)據(jù)都是重中之重。在世界范圍內，約有66%的中小型工業(yè)公司已成為網(wǎng)絡攻擊的目標。盡管許多公司已意識到網(wǎng)絡犯罪會帶來危險，但卻低估了其對機器和工廠設備所造成的嚴重后果。工業(yè)IT安全可避免發(fā)生故障、人為破壞或數(shù)據(jù)丟失，從而保護生產(chǎn)運營免受重大經(jīng)濟損失。

IT和OT的信息安全

公司安全源于兩個不同層面：IT(信息技術)與OT(運營技術)。若要在工業(yè)4.0時代妥善保護網(wǎng)絡與系統(tǒng)，則這兩個層面均需加以考慮，并采取全方位安全方案。

這是因為根據(jù)IT要求所制定的措施需通過其他OT安全解決方案進行擴展，且必須考慮不同的保護目標。

(ICS與IT安全要求對比)

風險和解決方案

隨著網(wǎng)絡的深入發(fā)展，其在提高生產(chǎn)力或靈活度等方面的優(yōu)勢也越來越顯而易見。但聯(lián)網(wǎng)程度的提高以及信息技術 (IT) 和運營技術 (OT) 的快速融合，意味著公司網(wǎng)絡有很多個點容易遭到攻擊。關鍵基礎設施也日益成為各種網(wǎng)絡攻擊的目標：犯罪分子屢次利用IIoT(工業(yè)物聯(lián)網(wǎng))的潛在漏洞成功獲取公司及基礎設施的訪問權限。這就帶來了一大難題，即如何在確保工業(yè)系統(tǒng)和關鍵基礎設施免受黑客和惡意軟件攻擊的同時，實現(xiàn)自動化環(huán)境的大規(guī)模聯(lián)網(wǎng)。

以下概述了幾大威脅和可采取的預防措施——

源自辦公區(qū)域的功能故障

源自辦公環(huán)境的功能故障和病毒可直接傳播至生產(chǎn)區(qū)域中。

解決方案：網(wǎng)絡分段

通過將大型網(wǎng)絡劃分為小型網(wǎng)段，即可控制各區(qū)域間的數(shù)據(jù)交換，如生產(chǎn)區(qū)與辦公區(qū)或不同系統(tǒng)部件之間。各網(wǎng)段可使用VLAN或防火墻進行分隔。隨后就需要路由器或3層交換機來實現(xiàn)各個網(wǎng)段間的通信。這些設備會攔截典型網(wǎng)絡故障，防止其進一步傳播到網(wǎng)絡的其他部分。

惡意軟件攻擊

通常情況下，惡意軟件旨在向相鄰系統(tǒng)傳播并使其受到感染。其中一個例子就是WannaCry惡意軟件，該軟件可感染未打補丁的Windows系統(tǒng)。

解決方案：限制通信

使用防火墻可以限制或阻止惡意軟件的傳播。若排除所有技術上非必要的通信選項，則大多數(shù)此類攻擊將無法生效。此外，工業(yè)完整性監(jiān)測(如CIM完整性監(jiān)測)可助您及時檢測，并遏止惡意軟件對基于Windows系統(tǒng)(如控制器、操作界面或PC機)的改動及操縱的影響。

黑客攻擊

犯罪分子可通過開放式互聯(lián)網(wǎng)連接復制數(shù)據(jù)或對系統(tǒng)進行更改。

解決方案：數(shù)據(jù)傳輸加密

自動化系統(tǒng)不應具備互聯(lián)網(wǎng)直接訪問能力。使用防火墻訪問互聯(lián)網(wǎng)即可實現(xiàn)防護。防火墻將限制所有傳入與傳出流量，僅允許必需的授權連接。所有廣域網(wǎng)連接均應通過采用IPsec的VPN進行加密。

被感染的硬件

U盤或筆記本電腦等硬件被感染后，可將惡意軟件傳播至網(wǎng)絡。

解決方案：保護端口

您可使用端口安全功能直接在網(wǎng)絡組件上進行設置，阻止未知設備與網(wǎng)絡交換數(shù)據(jù)。此外，請關閉不需要的可用端口。未經(jīng)授權的網(wǎng)絡訪問注冊時，還可通過簡單網(wǎng)絡管理協(xié)議 (SNMP) 或信號觸點發(fā)送警報。

未經(jīng)授權訪問網(wǎng)絡

遠程更改時會發(fā)生誤改非目標系統(tǒng)的情況。

解決方案：安全遠程訪問

通過不同的技術解決方案可安全遠程訪問一臺或多臺機器。首先，出站通訊可通過IPsec或OpenVPN加密。其次，可通過設備上的按鍵開關啟動遠程維護。

這樣可確保對設備僅進行預期更改。同時，進行遠程維護時，該按鍵開關還可阻止網(wǎng)絡中的通信規(guī)則運行。

移動終端設備

未經(jīng)授權的智能設備通過WLAN接口互聯(lián)。

解決方案：安全WLAN密碼分配

若WLAN密碼眾所周知且長期保持不變，第三方就有可能不受控制地訪問設備網(wǎng)絡。因此，菲尼克斯電氣WLAN組件采用設備控制系統(tǒng)實現(xiàn)自動化密鑰管理，從而通過一次性密碼輕松安全地進行WLAN設備訪問。

此外，還可使用控制區(qū) (DMZ) 保護WLAN通信，將其與網(wǎng)絡的其他部分隔離開來。

產(chǎn)品和服務

只有將技術與組織措施有機組合起來，才能有效防范網(wǎng)絡攻擊。菲尼克斯電氣可就此提供全方位安全防護，簡化系統(tǒng)保護過程，全面保障系統(tǒng)安全：

(菲尼克斯電氣全方位整體安全概念)

安全服務

菲尼克斯電氣的安全專家知識豐富，訓練有素，可就如何盡可能地降低工廠中的特定安全風險為您提供咨詢，并根據(jù)要求構建安全方案(已獲得IEC 62443-2-4標準認證)。此外，我們還可在培訓課程中與您分享專業(yè)知識，以便您的員工迅速掌握網(wǎng)絡安全知識。

安全解決方案

菲尼克斯電氣的安全方案可保護關鍵過程，如借助區(qū)域方案、數(shù)據(jù)流控制以及采用強化組件。此外，方案還將構建安全過程，并形成文檔。

安全產(chǎn)品

安全性深入貫穿我們產(chǎn)品的整個生命周期。此周期從研發(fā)過程(已獲得IEC 62443-4-1標準認證)開始，并包括重要安全功能的集成、定期更新和安全補丁等。

mGuard安全路由器：適用于各類應用的定制安全組件

安全控制器：各種性能等級的控制器

更多支持

菲尼克斯電氣提供從單個產(chǎn)品、服務到整體解決方案的一體化信息安全方案。網(wǎng)絡安全深入貫穿產(chǎn)品和解決方案的整個生命周期，從安全產(chǎn)品開發(fā)過程到構建現(xiàn)代信息安全功能，從提供客戶建議到創(chuàng)建安全網(wǎng)絡方案，再到專業(yè)漏洞管理系統(tǒng) (PSIRT)，涵蓋各個階段。并設有產(chǎn)品安全事件處理小組，負責處理潛在安全漏洞、安全事件和其他網(wǎng)絡安全問題。

（轉載）