IDSIPS助阵进阶控管产业网络资讯安全
前言: 回顾以往,仅有企业区域网络(LAN)管理者,需费心思索资讯安全防御,至于产业机台、装置因不具连线能力,或采用封闭式网络,因此多无资讯安全顾虑。然今随着各行各业纷纷走向IP通讯化、物联网化,导致资讯安全威胁骤增,如何为产业网络做好资讯安全风险管控已是不容忽视的重要课题。 随着工业4.0、智慧工厂或工业物联网等趋势浪潮席卷,过去大量“与世隔绝”的机台设备,开始向IP通讯靠拢。新汉网络通讯事业群协理刘宏益指出,因远端监控与预防保养需求,制造业者串联工控网络与网际网络,让资讯安全风险急剧增高。 又例如医疗产业希望藉于移动、远距医疗照护,提高服务水准的同时,亦需将资料安全纳入考量,确保病患隐私。各产业已开始留意资讯安全议題,着手导入产业防火墙,一来确保远端连线安全,二来顺势扼阻可疑的资讯交换。 IDS/IPS智能分析 与防火墙相辅相成 防火墙是发展历程超过20年的老技术,它仅能依据IP 或MAC位址等基本资讯,简单比对来者是否名列黑名单,如果是便加以阻拦,如果不是就予以放行;恶意人士相当娴熟防火墙运作原理,也不断研究如何以正常外表包覆恶意软体的方式,借此蒙混过关。故针对防火墙日志(Log)再做进一步检查与分析,补防火墙之不足,方能阻止有心人士乘虚而入。 例如整合具有入侵侦测/防御(IDS/IPS)进阶功能的资讯安全设备,借助智能控制与比对引擎,自动滤除掉防火墙难以辨识的恶意封包,甚至还能结合产业用特殊协定或惯性行为模式比对,进一步阻断可疑连线,使其无法潜入产业网络与位于网络底层的终端设备。 分散式架构严控资讯安全风险 防制灾情、遏制扩散 企业网络将安全机制集中部署在网络出口,即为內外资料进出的闸道,但产业网络的重点保护对象是机台、装置,故应将资讯安全设备分散部署在产业网络下每个子网域的出入口,就近提供防护。如此一来,即使某个子网域中已有机台受到恶意软体感染,但当恶意软体隐藏在资讯中企图潜越,IDS/IPS一经察觉问题资讯,即可丟弃封包、或切断该网络对外连线,进而将恶意软体限缩在子网域內,不致让病毒扩散至整个产业网络。 曾有制造业主管透露,过去一些跳电或故障停机事件,乍看之下似有合理解释,但若深入剖析,会发现机台中毒恐怕才是问题症结。对于高度倚重生产线持续高效率运作的制造业者而言,病毒或恶意程式引发的机台设备故障,轻则造成生产作业短暂中断、影响产能,重则酿成制程报废、原物料尽付东流,乃至于冲击交期,损失可谓不轻。 有鉴于此,新汉推出的产业型防火墙,兼具VPN、防火墙与IDS/IPS功能,提供整合型防御措施,一次解決产业网络的各种安全威胁。刘宏益表示,新汉提供的IDS/IPS引擎,拥有丰富的特征资料库可供比对,可以透过日志分析、安全性资讯和事件管理(SIEM)关联分析等途径,深入挖掘出埋藏在正常表象之中的异常程式或档案。且即便工厂內部的机台采用浮动IP,搭配虚拟私有网络(VPN)穿透层层限制,总部仍能在远端监看现场。 当业者励精图治,借由设备走向IP通讯化、物联网化来提升管理、营运效率的同时,对于产业网络的资讯安全风险也不能等闲视之。故应导入VPN、防火墙与IDS/IPS等整合式防御机制,将病毒、恶意程式屏蔽在产业网络外,借以保护位于产业网络底层的终端装置,消弥干扰机台设备正常运作的潜在风险,更可防堵骇客入侵,杜绝机密智财、隐私外泄。