http://m.casecurityhq.com 2017-08-10 17:08 來(lái)源:Belden
物聯(lián)網(wǎng)( IoT) 正在改變整個(gè)世界的運(yùn)行方式,它連接起了越來(lái)越多的智能設(shè)備,并共享著它們產(chǎn)生的信息,從而改善現(xiàn)有的業(yè)務(wù)模式,同時(shí)實(shí)現(xiàn)全新的業(yè)務(wù)模式。 這一點(diǎn)在工業(yè)領(lǐng)域顯得尤為明顯。專(zhuān)家估計(jì), 到 2025 年,工業(yè)物聯(lián)網(wǎng)( IIoT)的經(jīng)濟(jì)規(guī)模將達(dá)到 11.1 萬(wàn)億美元。
IIoT 的發(fā)展將伴隨著更多的聯(lián)網(wǎng)設(shè)備、 更多的數(shù)據(jù)以及更多的 IT 和互聯(lián)網(wǎng)連接。所有這些因素使得已然十分重要的工業(yè)網(wǎng)絡(luò)安全將變得越發(fā)重要。網(wǎng)絡(luò)和外部設(shè)備之間的互聯(lián)帶來(lái)了各種角度和各種形式的新威脅。不僅外部攻擊的 “威脅面” 變得更大,而且設(shè)備故障、 軟件缺陷和用戶(hù)失誤的幾率也變得更高,所有這一切都會(huì)對(duì)系統(tǒng)的運(yùn)行產(chǎn)生極大的負(fù)面影響。
防火墻對(duì)于確保網(wǎng)絡(luò)的安全性和提高系統(tǒng)的可靠性及靈活性至關(guān)重要。沒(méi)有防火墻,就沒(méi)有完善的網(wǎng)絡(luò)安全模式。就像 IIoT 網(wǎng)絡(luò)設(shè)備的多樣化一樣,防火墻也存在各種不同的形式,不僅涵蓋了硬件功能和行業(yè)認(rèn)證, 而且還涉及到不同的過(guò)濾功能。雖然防火墻聽(tīng)起來(lái)像是一種類(lèi)型的設(shè)備,但實(shí)際上它是多種設(shè)備的統(tǒng)稱(chēng), 所以您必須確定哪一種類(lèi)型的防火墻最適合您各個(gè)部分的應(yīng)用或環(huán)境。
那么,什么是防火墻呢?
防火墻針對(duì)進(jìn)出系統(tǒng)的網(wǎng)絡(luò)流量采取防范措施,從而保護(hù)網(wǎng)絡(luò)和設(shè)備(例如:工業(yè) PC、 控制系統(tǒng)和攝像機(jī)) 免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)。 防火墻是網(wǎng)絡(luò)分割的核心要素,在與 IIoT 相關(guān)的網(wǎng)絡(luò)安全策略中起著至關(guān)重要的作用。
防火墻的主要目的如下:
● 保護(hù)企業(yè)和工業(yè)網(wǎng)絡(luò)之間的連接,預(yù)防外部威脅。
● 在網(wǎng)絡(luò)內(nèi)部設(shè)置障礙,防止內(nèi)部問(wèn)題擴(kuò)散。
● 僅允許設(shè)備之間開(kāi)展經(jīng)過(guò)許可的通信,以防惡意攻擊、 設(shè)備錯(cuò)誤或操作人員失誤。
為了實(shí)現(xiàn)這些目的,防火墻采取了許多不同的方式,包括簡(jiǎn)單的數(shù)據(jù)包過(guò)濾,以及專(zhuān)業(yè)的工業(yè)協(xié)議支持。 您必須為系統(tǒng)的各個(gè)部分選擇適當(dāng)類(lèi)型的防火墻,才能夠獲得良好的網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)性能。
選擇防火墻時(shí)的四點(diǎn)考慮
在考察防火墻安全方面的各種選項(xiàng)時(shí), 我們必須考慮一系列的因素。過(guò)濾差異、網(wǎng)絡(luò)環(huán)境問(wèn)題以及如何管理整個(gè)網(wǎng)絡(luò)的防火墻,這些是任何人在尋求防火墻解決方案時(shí)必須加以考慮的重點(diǎn)因素。
1. 針對(duì)您的網(wǎng)絡(luò)量身定制:就像選擇具體的 IIoT 設(shè)備一樣,防火墻也必須能夠完成非常具體的任務(wù),從而支持您的特定需求和應(yīng)用。 您所選擇的防火墻必須符合網(wǎng)絡(luò)設(shè)備的獨(dú)特通信模式和需求。
2. 多層次的檢驗(yàn):根據(jù)在系統(tǒng)中所處的位置不同, 我們需要的過(guò)濾機(jī)制將會(huì)有所差別??拷鼨C(jī)器并作為“區(qū)域和管道” (“ Zones and Conduits”) 安全策略的一部分而部署的防火墻,必須懂得各種工業(yè)協(xié)議并且能夠開(kāi)展深度數(shù)據(jù)包檢驗(yàn)。相比之下,用于保護(hù)遠(yuǎn)程網(wǎng)點(diǎn)和互聯(lián)網(wǎng)之間邊界的防火墻,則必須能夠處理互聯(lián)網(wǎng)協(xié)議( IP)流量。
3. 耐受惡劣的環(huán)境:根據(jù)您的網(wǎng)絡(luò)環(huán)境情況,防火墻有可能需要承受較大的溫度范圍、劇烈的振動(dòng)和其他各種各樣的環(huán)境因素。因此, 您所選擇的防火墻必須能夠耐受惡劣的環(huán)境,并且符合所有的行業(yè)標(biāo)準(zhǔn)和認(rèn)證。選用的防火墻如果不具備應(yīng)用所需的可靠性, 那么很快就會(huì)破壞項(xiàng)目的既定目標(biāo)。
4. 保持簡(jiǎn)單性:如果沒(méi)有強(qiáng)大的管理工具來(lái)實(shí)現(xiàn)簡(jiǎn)便的大規(guī)模防火墻配置,那么這項(xiàng)任務(wù)就有可能非常耗時(shí),并且容易出錯(cuò)。使用多種防火墻時(shí),團(tuán)隊(duì)必須能夠有效地管理和配置設(shè)備。重要的是,防火墻必須能夠通過(guò)網(wǎng)絡(luò)管理工具進(jìn)行集中監(jiān)控, 從而保障工作的順利開(kāi)展。
對(duì)于利用 IIoT 的企業(yè)來(lái)說(shuō),防火墻只是其有效安全策略的一個(gè)組成部分。但是我們不可輕視它的作用。 實(shí)際上,防火墻是實(shí)現(xiàn)總體安全模式的基石。 充分了解各種可用的防火墻類(lèi)型,以及每種類(lèi)型的防火墻所能起到的作用,我們能夠成功地保護(hù)網(wǎng)絡(luò)免受各種潛在的內(nèi)外部威脅。
通過(guò)實(shí)施包括防火墻在內(nèi)的總體防御策略,您所設(shè)計(jì)的網(wǎng)絡(luò)就能夠有效降低威脅, 同時(shí)防范不斷擴(kuò)展的 IIoT 設(shè)備和環(huán)境帶來(lái)的各種失誤與漏洞。