工业自动化促使工控网络接轨标准化以太网络,固然成就生产智能化,为工厂管理人员带来实时监控、远程管理等诸多便利,然也意味着工控网络门户洞开,提高蒙受恶意攻击可能性,因此设立工控网络防御机制已为必然。
工控网络采用业者自行定义的通讯协议,网络环境封闭。然随着智能化生产意识抬头,加上以太网络普及、连网成本急遽下降,封闭式工控网络逐渐接轨开放式以太网络,但工控网络一旦开放,将可能让有心人士乘隙潜入,为避免生产线受到滋扰,工控网络应增设工业防火墙。
深层管理、从严管理把关工控网络安全
持平而论,防火墙绝非新颖技术,防护实力愈见强悍,然新汉计算机(NEXCOM)网络通讯事业部产品规划处处长刘宏益指出,工控网络的应用环境与企业网络迥异,若拟维护工控网络安全,便需采用工业防火墙进行深层管理、从严管理。
刘宏益解释,企业网络架构涵盖内网(Intranet)、工厂(Plant Network)、工控网络(Control Network)等三个层次。工业防火墙保护位于内层的工控网络,其目的为控制工厂使之正常运作,数据流量不大,却皆为操作所需的控制及监视参数,数据价值极高。因此工业防火墙需能支持PROFINET等各式现场总线(Fieldbus)通讯协议,层层拆解数据封包,深入剖析封包结构与封包内容,确保封包的合法性,即所谓的深层管理。
相比之下,商业防火墙不支持现场总线通讯协议,封包检测偏重邮件、网页与档案传输等类别封包,并不适用工控网络。
工业防火墙层层把关
以汽车组装线为例,产在线的每个机械手臂皆为一个网络节点,各自遵照控制参数运作。若封包夹带可疑的动作控制参数,要求机械手臂执行标准作业程序以外的动作,工业防火墙在接获数据封包后,进行深入封包分析时,便能阻挡该数据封包继续传送,协助制造业者防患于未然,避免产线因动作控制参数受到窜改,制造出大量的不良品,徒使车厂蒙受巨额财物损失。
工控网络安全从严管理则是因为生产设备有限定用途,仅执行特定应用程序,因此工业防火墙使用白名单设定,可阻挡所有不在名单内的应用程序。反观商业防火墙为企业网络的统一出口,通行应用程序五花八门,实行黑名单机制,仅阻挡列举在名单上的应用程序,放行标准相对较宽,因此工业防火墙更能有效保护工控网络。
除此之外,虚拟私有网络(VPN)加密通道更是工业防火墙需支持的重要功能。由于工控网络接轨以太网络,信息传输将行经公开网络环境。为确保从远程撷取到的现场数据完整、正确,在公开网络上架设私有信道,并在数据传输前先行加密,即便资料遭到窃听,也难以被恶意破解、窜改。
耐受严苛考验牢牢保障生产力
工业自动化应用多元,高温炙人的沙漠油田、火星迸射的炼钢厂、海风盐雾交加的风力发电厂所在多有,工业防火墙自需实行强固设计,以在高温、高湿、高盐的环境下维持恒常运作。再者,生产设备极为重视效能稳定,对于停机时间有严苛的要求,在特殊、关键制程甚至不容机器停机,工业防火墙自然亦需具备高可用性(High Availability),设有备援机制,在工业防火墙意外故障时,在极短时间内迅速切换,保护工控网络安全。
智能工厂采用标准化的以太网络,实现实时监控、远程管理,对于生产、管理效率提升有莫大价值,不容任何恶意攻击破坏。历经2010年伊朗核电厂遭骇等重大事件,用户纷纷对工业设备安全有所警觉,捍卫设备生产力价值的过程中,最可望发挥关键助力的工业防火墙,未来发展前景自然看俏。