工业环境下安全解决方案———工业环境下安全解决方案
扫描二维码
随时随地手机看文章
生产和办公环境的日益网络化,使得业务流程效率日益提高。 因此,生产部门和IT部门的负责人需要同时确保各自系统的安全性和可用性。例如,控制生产机器人程序的工业计算机,必须防止病毒、蠕虫以及来自网络的其他攻击——高危目标。
在这一过程中,他们往往忽略来自系统外部的危险,而这些危险其实如同内部风险一样巨大。 例如,对工业机器人进行维护期时,中央工业计算机经常会在无意间感染来自维修技术人员笔记本电脑的“恶意代码”。所导致的损害可能非常巨大。
“切勿触碰运行系统”
相比其他行业,这种有点陈旧的IT智慧再没有比在工业生产环境下更一致地得到传承。这是因为每次更新、升级或补丁都会影响计算机的功能,并且常常导致意料不到甚至令人烦恼的事情。因此,在修改机器人、控制计算机用软件,特别是中央计算机所用软件之前,必须首先在试验环境下进行一系列的综合试验。这是一个复杂费时且代价不菲的过程,应尽可能地予以避免。然而,随着公司范围内联通性的提高,需要考虑一些非常重要的安全因素。
另外一个问题由所谓的验证系统造成。在这一方面,对硬件和软件的修改只能在考虑到严格的规则后才能进行。 例如,此类系统通常应用于医药行业。使用软件或硬件更新,几乎不可能关闭这一方面的安全漏洞。尽管如此,要确保系统可靠,最重要的便是以一种经济的方式对其提供防护,但这仍然是项极大的挑战。
专有或标准:防爆安全问题
许多工业计算机运行的是专有操作系统,特别是那些有点老旧的计算机。人们常认为这些计算机比较安全,因为操作人员认为黑客没有兴趣将“恶意代码”植入这些少数系统中。因此,系统中的一些安全漏洞常常不为人所知。另外,也很少有人想过如何屏蔽攻击。也没有人知道这些专业性的操作系统该如何应对现今流行的众多病毒、蠕虫或特洛伊木马。同时,随着公司范围内联网性不断提高,这些系统极易遭受威胁。
目前,还有许多使用老旧处理器技术(即Intel 386或 486)和老版本操作系统的工业计算机系统。其的确具备某些优势,例如运行时不用风扇,形式紧凑,而且系统运行稳健,可靠性高。但同时也存在些许弊端,其中最严重的问题便是由于升级和基于软件的安全解决方案造成的性能下降。
现在,较新的生产机器通常运行是的像Windows、以太网、TCP/IP和HTTP等标准。但正是由于这些原因,此类系统才更容易遭受来自网络的安全威胁。Windows程序存在的安全漏洞就是很好的证明,微软公司已经发布了不少补丁程序,即使是最新的操作系统Windows XP也是如此,这表明牵扯到安全漏洞和高等级安全风险。另外,恐怕我们不会忘记:“切勿触撞运行系统”。结果是:利用各种标准曾被视为优势的内容事实证明却是严重的弊端,这是因为在工业环境下实施补丁程序是一个复杂精细的过程。此外,较老的操作系统如Windows 95、Windows 98或Windows NT4都不再得到微软支持。
为什么传统的安全技术没什么用处
如今,能结合工业计算机使用的安全技术可谓多种多样。但是几乎所有的安全技术,不论是基于硬件还是基于软件,都有一个相同的缺陷:要实现这些技术的话,必须对系统进行改动。而且这也正是工业环境下应不惜一切代价予以避免的问题。
对于基于硬件的系统(如路由器、桥接器)而言,其缺点便是往往可通过其网络IP地址被予以识别– 因此,很容易受到攻击。特别是在许多系统中,为了让数据传输不成问题,标准端口通常是开放的。
然而遗憾的是,基于软件的解决方案(如私人防火墙和防病毒软件)还存在其他方面的限制:也就是说,由于不兼容,它们无法在某些专有操作系统上运行。它们通常不能集成到使用老的处理器技术的系统中,因为这些解决方案缺少必要的性能。屏蔽病毒攻击需要处理器大量性能,以至于系统可能瘫痪。更别提那些需要经常更新的软件,否则,病毒会通过新发现的安全漏洞不断轻易攻击操作系统。 另外,这些更新程序比较复杂,需要大量的人力和财力。
mGuard保护工业计算机而不干扰系统
安全技术其他形式的缺陷要求对工业系统进行修改,但现在通过使用菲尼克斯电气的mGuard产品,就可以简单、可靠、经济地得以解决。对mGuard而言,零部件始终兼容。 它们既不需要对计算机配置进行修改,也不需要定期进行软件更新。此外,它们可独立于所采用的处理器技术和操作系统之外运行。
安全等级最高,不依赖网络
不管使用什么零件来保护网络免遭“外部”攻击,但公司内部本身就存在相当多的潜在危险。这些危险包括不知不觉通过员工混入的病毒,乃至蓄意的间谍活动和破坏活动。如果说病毒造成的邮件服务器死机相当致命,那么对中央计算机的攻击则极具灾难性。此时,中央计算机和生产机器人的功能会受到限制,乃至让整个生产陷于瘫痪。
您可以通过mGuard技术为包括中央计算机、控制计算机、生产机器人、自身安 全 部件在内的各个工业系统赋予各种安全等级、具体的访问权和众多其他独特的好处,可利用菲尼克斯电气安全配置管理器技术实现简单集中式管理。
轻松集成,快速安装
mGuard平台是一个独立的系统,它可以利用网线直接集成在工业计算机内,然后接至计算机,或者如果需要的话,作为PCI卡集成。对于集成到19英寸机箱系统的工业计算机而言,菲尼克斯电气提供带冗余电源的mGuard bladePack技术。 使用mGuard bladePack技术,可单独保护高达12台计算机,在热备份模式下则可以保护高达六台计算机。 此外,菲尼克斯电气提供专门设计在基于导轨安装方式工业环境下使用的mGuard 工业版。这两种系统的实现同样简单快速,两者的功能和运行性能也绝对相同。
不管您选择的何种mGuard系统,计算机系统都无需重新配置,也不必增设驱动器设备或其他软件。另外,操作系统无需使用安全补丁进行更新。这样就能在提供最高级别永久性安全的同时节省时间和金钱。
mGuard的主要功能
来自菲尼克斯电气“设备固有安全”解决方案的mGuard技术集所有功能于一身,能可靠保护IP连接,如用于系统的远程管理:
■VPN确保使用公用网络进行的数据传输安全(基于硬件的DES、3DES和AES加密技术,IPsec协议);
■可配置的防火墙保护系统免于“外部”的未授权访问。包过滤器根据源发地址和目标地址对数据包进行过滤,并阻止来自“外部”的不需要的数据流;
■集成式选配Kaspersky病毒防护技术支持HTTP、SMTP和POP3协议(建议只用于企业版和企业XL版)。病毒防护机制在mGuard上运行,从而确保系统的安全性得到增强,性能更高。
Innominae 隐藏模式下无懈可击
来自菲尼克斯电气的“设备固有安全”mGuard系统具有独一无二的菲尼克斯电气隐藏模式,可以让设备绝对透明地工作,无需自己的IP地址。由于mGuard使用与其所保护计算机相同的IP地址,因此入侵者无法识别,从而使其无懈可击。另外,它还有一种优势,那就是 mGuard基于自动识别计算机IP地址而实现,且自动IP识别只需数秒时间。这具有决定性意义,特别是在对生产停顿时间具有极具严格要求的工业环境中更为如此。
对VPN和防火墙的最高数据流量
集成化安全解决方案的基础是菲尼克斯电气提供的嵌入式Linux系统,在专用网络处理器上运行,处理器具备英特尔XScale内核(IXP 42x),处理能力高达533MHz,具备64兆SDRAM工作内存和16兆闪存。 英特尔处理器具备基于硬件的DES、3DES和AES加密技术。这样就保证了对防火墙(最高99兆位/秒)和VPN(最高70兆位/秒)的最高数据流量。VPN连接也可以在隐身模式下快速可靠地建立。
概述:
■“设备固有安全”系统:不依赖所使用的硬件平台和操作系统;
■集成最简单:无需改动系统,安装驱动,从不需要更新;
■使用透明的菲尼克斯电气隐身模式时,实现无反作用的网络集成;
■使用基于硬件的加密技术,实现对高速VPN/防火墙的最高数据流量;
■基于Kaspersky技术(选配)的防病毒解决方案非常高效;
■LAN/WAN网内可与其他标准安全解决方案(Ipsec)完全互操作;
■可完全集成到中央管理环境中(SNMP);
■使用菲尼克斯电气安全配置管理器(选配),通过拖放操作可方便地实现公司范围内对所有安全设备的配置。
方便集成和管理
mGuard设备的配置、展开和管理由菲尼克斯电气安全配置管理器集中支持,该管理器以Solsoft策略服务器经过测试论证、基于规则的技术为基础。使用图形化网络模型,可快速方便地对多个mGuard系统进行安全调整。界定的规则会被自动验证。 防火墙规则、VPN配置和NAT设置被直接加载到所有设备上,并立即被激活。此外,mGuard设备之间的VPN连接,任两者之间的VPN连接,以及与其他生产商网关的VPN连接,都能得到建立和管理。所有内容方便地显示在图形化界面上,通过鼠标实现轻松操作。
过去由于配置单个系统而造成的复杂、费时且易错的过程,采用菲尼克斯电气安全配置管理器之后,现在变得快速无缺陷。其最大优势便是:大幅度降低了运营费用和劳动力成本。