为工业数据传输“保驾护航“

发布时间：2016-07-12 作者：www.cechina.cn

　　"中国制造2025"战略、两化深度融合和多层面的互联互动政策促进了制造业大规模转型升级，工业控制基础设施和智能化快速发展，但是工业控制网络安全作为集成信息安全技术与工业自动化控制技术的跨学科全新领域，正在承受着产业快速发展所带来的新的挑战，那就是频频发生的工业网络安全事故，怎么样有效的减少事故发生的频率，有效的建立网络安全防护体系，成为了当前迫切需要解决的难题。
　　在这种背景下，企业该面临何种抉择，来自百通赫思曼亚太区产品经理王立涛先生，根据自己在行业内多年的工作经验以及深厚的专业积累，谈了自己的认识和看法。

百通赫思曼亚太区产品经理 王立涛先生

　　安全管理与安全防护
　　"不善以及防护体系太弱造成工业网络安全问题的很大原因，企业必须要不断的完善管理和加强防护，才能有效防御网络攻击，"王立涛明确指出，工业网络安全已经是业界的一个共识，但是怎么开始，如何开始；我们又该怎么做，如何做；怎么才能做好，这些都没有明确的标准，所以企业只能是通过不断的完善管理体制和加强网络防护体系来减少或者避免被攻击的次数或者可能。
　　"安全管理就是要做到严格的把关相关人事物的进入，防止因管理不上造成的安全问题；安全防护就是主动的增加工业安全产品阻止非法操作人员的入侵，"王立涛介绍道，现在业界的相关企业很多，都是按照自己的理解进行设计规划，无法达到一个合理的统一。政策支持任何一方都可能引起市场的巨大波动，如何从中取舍，政府部门也很难决断。根据现在市场与政策情况来看，中国更倾向于以企业为主的发展模式。所以，每个企业都要根据自己的实际情况做出相应对策，但是安全管理和安全防护是每个企业绕不开的两座大山，既然没有便道，那就只能翻越。
　　区域隔离扩大
　　"随着两化融合的逐渐深入，安全问题不断的暴露，工业用户需要及时增强工业网络安全意识，提升企业管理水平与综合防御能力，尤其是深度的工业数据包的分析能力，辨别数据的真伪与有效性，"王立涛强调，网络攻击的最终目的是降低网络性能，破坏现场设备工作。从这一点来说，将现场网络按最小工作单元分区隔离可能是最有效的降低风险的方法，但是这样的安全防护成本非常高，一般企业也很难承受。所以一比较折中的方法是区域隔离扩大，比如一个阀室控制站有多个系统，理论需一个站点安装多套设备，为了降低成本可以在接入上级网络接点配置一套防护设备，这样即降低了风险也降低了成本。
　　高度可靠的数据传输
　　"随着工业互联网应用的越来越广泛，数据传输的安全性越显不足，M2M的连接结构虽然让工业4.0占尽了风头，但也带来了更多的问题：①数据连接的安全性（有线连接物理安全性，无线连接的安全等）；②认证的安全性（设备的控制访问操作都需要不同的权限进行认证，管理复杂，费时费力，无法严格保证安全）；③物理安全性（设备的防护等级是否可靠安全，抗暴抗冲击等）；④协议数据的安全性（支持更多的工业控制系统的协议，加深数据包的检测，防护意外攻击）等，"王立涛介绍道。
　　针对以上情况，百通赫思曼提供了丰富的特殊处理的双绞线电缆，保证数据安全的传输。针对无线传输提出Clearspace技术保守数据的高分比率高对比对的数据传输，通过严格的802.11i严格的加密都保证了无误相连的可靠性；设备的认证需要有一定的机制包括采用RADIUS，端口绑定，LDAP，802.1X等保证设备，包括secure remote access模式都是非常理想的独特的认证或加密模式；产品支持IP67 高防护等的封装，保守设备在特定场合的合理安全的应用。此外TofinoXE产品支持更多的工业控制协议的深度检测。
　　王立涛表示："当SRA 安全远程访问百通赫思曼的最新产品时，可以根据实际需要进行配置调整，结合相关的认证与加密技术保守数据的高科高数据传输。工控防火墙TofinoXE可以支持更多的工业网络协议的增强功能：Classic OPC，MODBUS/TCP，Ethernet/IP，IEC104 和DNP3等工业协议，加强数据协议的深度分析能力。"
　　对于百通赫思曼在工业网络安全方面发展，王立涛表现出了很强的自信和自豪，他透漏百通赫思曼的工业交换机产品后期会增加或已经增加部分安全功能，包括DoS防护，欺骗识别，NAT，LDAP，及VPN等。专业工控防火墙后期会增加更多的工业协议，比如goose等，SRA产品也会持续改进，通过硬件进行加密GECKO，提升远程访问的安全性，为工业数据的传输保驾护航。（CEC 王泽红采编）