工業網路安全防護不再是奢侈品,而是必備品。近來,鎖定關鍵基礎設施的網路攻擊事件層出不窮,促使所有企業將提升網路安全性視為當務之急。無論您身處哪個產業,網路威脅總是如影隨形。最近一起備受關注的事件就是,網路駭客癱瘓了美國的一個輸油管系統1,並要求業者支付高達數百萬美元的贖金。此外,英國一家鐵路公司的自助售票系統,也同樣遭到勒索軟體的攻擊2 ,導致售票服務被迫中斷。這類網路攻擊不僅會導致工業營運商的網路運作成本升高,同時也使得一般使用者蒙受其害。更麻煩的是,沒有人能夠預測下一次網路攻擊何時發生,任何人事物都可能成為攻擊目標。
為了增強網路安全性,請將您的網路設備更換為具有嵌入式安全功能的新機型。然而,更換設備的成本很高,而且需要耗費大量的人力來進行部署和安裝。何況,您的舊設備可能狀況還非常良好。所以,更新現有設備的安全修補程式,是更為實際的方法。遺憾的是,有些舊設備仍使用 Windows XP 等舊版作業系統,因而無法支援最新的安全修補程式。本文將討論工業營運商所面臨的挑戰,以及他們可利用哪些解決方案,輕鬆強化網路安全。
保護邊緣網路安全的挑戰
為了提高運作效率,工業營運商必須善用現今網路的功能,以進行即時遠端監控。然而,這代表其現場設備再也無法完全與外界隔離。首先,業者必須將使用 RS-232/422/485 協定的舊型串列設備,連接到使用乙太網路技術的區域網路(LAN) 或 Internet。利用串列設備伺服器或協定閘道器等串列轉乙太網路設備,他們可將串列設備連接到乙太網路,該使用哪一種轉換設備,取決於應用所需的透通傳輸(transparent transmission)或協定轉換類型。完成連接後,如未妥善保護連接,安全問題就會浮出水面。為此,您必須找到一款安全的串列轉乙太網路設備,以便在不更換現有串列設備的情況下,確保連接安全性。
如何選擇安全的串列轉乙太網路設備
IEC 62443 和 NERC CIP 是專為保護網路基礎設施而設計的安全標準。您可根據這些安全標準來挑選合格的網路設備和裝置供應商。如此一來,您可輕鬆找到符合產業安全標準的串列轉乙太網路設備。Moxa 是通過 IEC 62443-4-1 認證的網路解決方案供應商,我們的串列轉乙太網路設備採用符合 IEC 62443-4-2 標準規範的安全設計。Moxa 串列轉乙太網路設備具備嵌入式安全防護功能,可強化網路安全性,並杜絕不速之客想要透過我們的設備,一舉入侵您的串列設備的機會。
真實案例:使用 Moxa 解決方案強化網路安全
Moxa 安全串列設備伺服器和協定閘道器已廣泛部署於全球各地,以提高各種工業應用的連接安全性。下面以兩個真實的例子,來展示 Moxa NPort 6150 串列設備伺服器和 MGate MB3000 協定閘道器,如何協助能源產業客戶強化網路安全性。
提升加油站的連接安全性
美國一家能源業者在全美各地設立了 600 多個加油站,並透過自動儲油計量系統(ATG,通常使用串列介面),從遠端即時監控油箱中的油位,以便在需要時立即補充。此外,他們需要將加油站 POS 終端機的資料回傳至商店,以便進行交易處理和記錄。這些連接的安全性要求非常高,油箱中石油儲量等相關資訊必須受到嚴密保護,以避免被篡改,而 POS 資料中的消費者機密資訊,也絕對不能外洩。為了提高連接安全性,業者須採取嚴格的控管措施,以保護加油站和店內 IT 機房之間的連接。此外,IT 人員需定期掃描安全漏洞,並且更新韌體和安全修補程式,以確保通訊系統的安全,讓連網設備能夠在可接受的安全等級下運作。
Moxa NPort 6150 串列設備伺服器具備基本的安全防護功能,例如使用者認證、可存取的 IP 清單,以及設備存取控制,可大幅提升設備安全性。我們的產品還支援資料加密功能,以便在經由乙太網路傳送串列資料時,強化傳輸安全性。為了簡化 IT 人員的日常維護工作,NPort 6150 串列設備伺服器提供多項支援工具,讓 IT 人員能輕鬆配置並管理大量的設備。
增強資料中心的網路安全
過去 5 年間,資料中心服務供應商及其資料中心一直是網路入侵者鎖定的目標,導致大量資料遺失,並須支付巨額罰鍰。為了阻擋駭客,業者已將強化網路安全列為首要任務。進行安全風險評估時,他們不僅需留意伺服器機房是否有安全漏洞,同時還需檢視所有網路入口點,包括伺服器機房的電源設備。
為了監控用電量和品質,電源開關設備、PDU 和 UPS 等所有電源供應設備,都需連接到網路,讓維運人員能夠接收即時資訊。Moxa MGate MB3000 協定閘道器,可在 Modbus RTU 串列設備(例如電源設備內的功率錶)與控制中心基於乙太網路的 SCADA 系統之間,架起通訊橋樑。執行漏洞掃描時,企業 IT 人員必須掃描數千個 MGate MB3000 協定閘道器,並在發現漏洞後立即採取行動。
為減輕他們負擔,Moxa 會定期執行安全漏洞掃描,並採取必要的措施,例如更新安全修補程式和韌體,以減少潛在的安全威脅。此外,MGate MB3000 協定閘道器具備易用的配置工具,有 GUI 和 CLI 兩種方法可供選擇,讓 OT 和 IT 使用者能輕鬆處理大量的韌體更新。Moxa MGate MB3000 協定閘道器不僅可讓客戶輕鬆監控串列設備的耗電量,還可消除日常運作上的安全疑慮。
Moxa 擁有 30 多年的串列連接解決方案開發經驗,可提供一應俱全的安全串列轉乙太網路解決方案,以滿足您的工業應用需求。
參考資料:
1https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
2https://www.securityweek.com/ransomware-attack-uk-rail-system-spray-and-pray-or-targeted