近來網路攻擊事件頻傳,針對關鍵基礎設施發動攻擊早已不是新鮮事。令人頭痛的是,這類網路攻擊會對民眾和機構造成重大影響,因為我們的日常生活與變電站、智慧運輸和水處理等各種關鍵基礎設施息息相關。
為減輕網路攻擊造成的影響,各國政府陸續發布並執行相關法規,以全面保護關鍵基礎設施的網路安全。例如,在 2024 年 10 月底之前,歐盟會員國必須將 NIS2 指令納入國家法律中,以加強關鍵基礎設施的網路安全。而這些法律的發布,促使工業組織必須建立完整的網路安全架構,同時採用強大的解決方案,以符合網路安全標準和法規的要求。
縱深防禦策略
工業網路安全標準和法規通常會建議採用縱深防禦策略,包括部署多層式保護,以便將企業的安全風險降到最低。而工業網路業者通常專注於強化網路邊界和建立安全區,以便將外部存取帶來的潛在威脅降到最低。然而,業者也應努力消除內部威脅,如果內部設備因未受保護而淪陷,整個網路都會癱瘓。舉例而言,隨意插入內含惡意軟體的可攜式儲存裝置,可能導致您的網路受到威脅,進一步讓駭客能夠輕易控制您的網路。為此,保護您的網路免受內部和外部的威脅至關重要。工業防火牆可有效過濾流量,以阻擋來自內部和外部存取的潛在威脅。但業者擔心的是,在關鍵資產附近的 LAN 中部署工業防火牆,會造成網路效能下滑。
本文旨在探討各方在部署防火牆解決方案時所面臨的 4 大挑戰,像是資產擁有者、資安長(CISO)、系統整合商、OT 網路管理員,以及工業網路設計專家。文中還將說明如何善用下一代工業 LAN 防火牆來克服這些挑戰,以強化網路安全,同時確保不間斷的網路運作。
部署防火牆解決方案時的 4 大考量
部署防火牆解決方案雖可提高工業運作的安全性,但也可能影響到目前的網路運作。在網路安全和效能之間取得平衡,是項艱鉅的任務。請繼續閱讀,以了解工業網路業者在尋找易於部署的解決方案時首重的 4 個考量。
考量 1:增加新設備需改變現有的網路設計
將工業防火牆解決方案部署到現有網路中,可能導致網路拓撲發生重大變化。工業工程師需付出大量的心力和時間,來重新設計拓撲並配置 IP 子網路,以便將新的防火牆解決方案整合入現有網路中。對於無法承受任何網路停機時間的關鍵應用來說,這種情況尤其棘手。因此,工業網路業者需要一套不會改變現有網路配置的防火牆解決方案。
考量 2:增加新設備會影響網路效能和服務
不間斷的系統運作,有賴於順暢的網路通訊。在添加新設備以增強網路安全性時,最大的考量是它們是否符合目前的網路效能標準,例如開機時間、網路延遲和操作環境需求。此外,不斷增加新設備,也可能會增加網路維護或設備故障機率,進而導致網路停機。因此,一套設計精良的防火牆解決方案會優先考慮網路效能,才能降低因單點故障而導致完全停機的風險。
考量 3:保護現場為數眾多的舊設備是項艱鉅的任務
IEC 62443 標準和 NIS2 框架等規範,均要求關鍵資產必須能夠抵禦阻斷服務攻擊(DoS),同時在事件發生時還能維護事件日誌。工業應用中的許多關鍵資產,通常都是使用舊版作業系統的舊設備,但業者無法立即進行汰換,以滿足網路安全防護的要求。為了保護舊設備免於遭受日益猖獗的威脅,業者可採用系統更新頻率較低的防火牆解決方案。此外,工業現場的舊設備,常使用各自不同的工業通訊協定,來滿足不同的應用需求。為了提高通訊安全性,防火牆解決方案需支援這些協定,並在工業控制網路中進行詳細的資料分析。
考量 4:監控網路運作和網路威脅並非易事
為確保網路安全,持續採取監控並管理安全措施至關重要。網管人員需耗時費力地密切關注網路狀態,確保在網路發生錯誤或安全事件時,他們能即時收到通知。如未部署有效的防火牆監控機制,而導致網路錯誤通知和安全事件警報延遲發送,後果是長時間的網路停機,以及一落千丈的運作效能。
透過下一代 LAN 防火牆,大幅提高工業網路安全性和正常運作時間
新的 Moxa EDF-G1002-BP 系列工業 LAN 防火牆,可協助工業網路業者克服網路挑戰,以提供更嚴密的網路安全防護,和更長的正常運作時間。Moxa LAN 防火牆可在通透防火牆模式下運作,即優先保護您的重要資產,同時促進 LAN 中東西向的安全通訊。
您知道哪些防火牆解決方案適合您目前的應用情境嗎?請即下載資訊圖表,了解如何針對不同的應用情境,選擇合適的工業防火牆解決方案。
簡化安裝
LAN 防火牆有個重要特性,就是您無需重新配置 IP 子網路,即可部署防火牆,對於現階段無法改變既有網路拓撲的關鍵應用來說,這是非常理想的設計。為了簡化網路安裝,Moxa 雙埠 LAN 防火牆的安裝無需更動既有網路,讓工程師無需重新配置 IP 子網路,便可輕鬆地將這些 LAN 防火牆連接到重要資產。如此一來,LAN 防火牆可將中斷現有配置的情形降到最低,同時增強網路安全性。
實現不間斷的網路運作
Moxa LAN 防火牆只需 30 秒開機便可立即使用 。如此快速的開機時間,可確保在停電和復電期間,控制中心和終端 PLC 設備之間的異常偵測機制不會被錯誤觸發。此外,Moxa LAN 防火牆具有 LAN Bypass 功能,可避免因硬體或軟體異常,導致防火牆中斷系統運作。這兩種機制旨在實現不間斷的運作。
舊設備安全防護
輕鬆保護舊設備,是 Moxa LAN 防火牆的核心使命。Moxa LAN 防火牆專為工業應用而設計,它結合 IPS 和 DPI 技術,可有效強化網路安全性。工業級 IPS 設計可保障 PLC 和 HMI 等舊設備的安全性。Moxa 的 IPS 功能可透過虛擬修補和基於病毒碼的防禦機制,保護您的舊設備免於遭受最新的威脅,讓您游刃有餘地進行系統更新。而 Moxa 的 DPI 技術則可協助您全面掌控工業通訊的安全性。為了維持資料完整性,您可自行定義規則,例如限制 Modbus 設備只能進行唯讀存取。Moxa 的 DPI 技術支援多種工業協定,還提供先進的流量過濾功能,讓您能毫不費力地保護使用不同協定的舊設備。
簡化網路管理
使用 Moxa LAN 防火牆來保護網路和舊設備時,您可透過 MXview One 網路管理軟體和 MXsecurity 網路安全管理軟體,來簡化網路監控和安全管理。有了 MXview One 軟體,您可滴水不漏地檢視網路安全狀態,即可在網路出問題時立即收到通知。而 Moxa MXsecurity 軟體則可協助您有效地管理防火牆並監控安全事件。在集中式平台上部署防火牆政策,則可將各項配置中的人為錯誤降到最低。不僅如此, Moxa 軟體可針對安全事件發送通知,讓您能迅速做出回應並消除風險。
EDF-G1002-BP 系列是先進的 LAN 防火牆,可強化工業網路安全,並提供您的應用所需的可靠性。請瀏覽 Moxa 網站,以深入了解 EDF-G1002-BP 系列提供的功能。