工业自动化 & 控制系统

随着工业物联网(IoT) 需求的持续增长,封闭的工业网络正面临着与公共互联网连接的挑战。 然而,虽然工业物联网提高了营运效率,但也同时带来了更多的网络安全威胁, 政府和企业必须注意与关心潜在的网络安全损害。

IEC 62443 标准除了包含最新的安全指南和各种不同的最佳演练表,还包括各种在网络上的信息,以防止已知的安全漏洞和未知的攻击。 该标准的最终目标是协助提高网络的安全性,并且提高工业自动化的控制设置的安全性。

目前,许多系统集成商,如西门子和 ABB,都要求组件供货商遵守 IEC 62443-4-2提及的终端设备安全性规范。 本小节定义了四个安全威胁级别:

• 等级1是为了防止偶发的未经授权的访问
• 等级2是自动化产业的基本要求。 它涉及黑客构成的网络威胁。这也是系统集成商最常遇到的攻击
• 等级3和等级4为避免黑客利用特定技能和工具进行恶意访问

从网络安全专家的角度来看,影响内部网络的主要安全威胁,包括了未经授权的访问、不安全的数据传输、未加密的密钥数据、不完整的事件日志与操作错误。

中波动光​提供软件 & 硬件(ASIC) 集成保护机制,采用最新专用集成电路 (ASIC) 的安全技术 (L2-L7 数据包分类)、多层认证、安全数据传输、加密密钥数据、完整的事件日志/报告、操作错误预防,并且高于 IEC62443-4-2 2 级要求,可为工业应用构建最安全的系统。



基于端口的访问控制
IEEE802.1x MAB (MAC旁路认证)

MAB 协议透过将 MAC 地址送到 TACACS+ / Radius 服务器认证来启用基于端口的访问控制。在 MAB 认证之前,端口 (例如PLC) 的身份是未知的,并且所有通信是被阻断的。交换机检查单个数据包来学习和验证来源的MAC 地址,MAB 认证成功后,端口的身份已知,并允许来自该端口的所有流量。交换机会执行来源 MAC 地址过滤,以确保只有通过 MAB 认证的端口才能发送流量
 
除了透过 MAB 认证外,也可以通过交换机中预先配置的静态 MAC 地址表,或自动学习 MAC 地址表来完成认证
• MAC 地址自动学习功能可以对交换机进行编程,支持预先配置在安全端口上遇到的第一个来源 MAC 地址的学习(与授权)数量。 这些MAC 地址会自动加入到静态 MAC 地址表中,并保留在那里,直到用户删除

• 粘性 MAC 设置可进一步增强端口的安全性。如果 Sticky MAC 地址被激活,则在该端口被授权的 MACs/设备,会被"粘"在该端口,交换机将不允许它们移动到不同的端口。
• 如果发生安全违规事件,用户可以透过端口关闭时间功能指定自动关闭端口的时间区段。
 


DHCP 监听

监听就像是未受信的主机和已受信的 DHCP 服务器之间的防火墙。 它执行以下活动:
• 验证从未受信的来源接收到的 DHCP 消息,并过滤出无效的消息
• 限制已受信和未受信来源的 DHCP 流量速度
• 构建和维护 DHCP 监听绑定数据库,包含了未受信主机的租用IP地址信息
• 使用 DHCP 监听绑定数据库,以验证来自未受信主机的后续请求

DHCP 监听是基于 VLAN 启用的。默认情况下,该功能于所有 VLAN 是处于非激活状态。 您可以在单个 VLAN 或一定范围的 VLAN 上启用该功能。

​动态ARP检测(DAI)​​
DAI 验证网络中的 ARP 数据包。DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。

DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:
• 截取所有未受信的端口上的 ARP 请求和回应
• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定
• 丢弃无效的 ARP 数据包
 
​DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。



IP来源保护

IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。

​一开始,除了 DHCP 数据包,受保护端口上的所有 IP 通信将会被阻断,当用户端从 DHCP 服务器收到 IP 地址后,或者管理员配置静态 IP 来源绑定后,所有具有 IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。 此过滤机制限制了主机攻击邻近网络IP地址的能力

​​​IPv4/IPv6访问控制列表​​
数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包。 ACL 为数据包的允许与拒绝条件的有序集合。当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。

中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。
 


多层用户密码​​

RADIUS 和 TACACS+ 支持不同的集中式认证服务器。使用集中式认证服务器可以简化账户管理,特别是在网络中有多台交换机时。认证链也是其中之一。认证链是验证方法的有序列表,用来处理更进阶认证方案。 例如,您可以创建一个连接 RADIUS 服务器的认证链,然后在 RADIUS 服务器没有回应的情况下查找本地数据库
 


​​​​网络管理软件 ​​

​ViewMaster 是中波动光设备的网络管理软件。它可以自动找寻网络设备,并画出链路设置拓扑图。批量配置和升级更可帮助系统集成商更轻松地安装系统。ViewMaster 也可以为网络安全事件提供警报和提醒。