运营技术(OT)与信息技术(IT)的融合给工业领域带来了许多挑战,包括更容易受到网络攻击和网络盲点的影响。不幸的是,当许多公司发现他们对他们的OT系统没有适当的可见性时,他们就处于黑客攻击的错误一方,就像他们对他们的IT基础设施一样。同样,在IT环境中,大多数工业安全和网络监控工具都是基于数据包的。工程师往往会在这个基础设施中遇到一些固有的挑战,即如何访问这些数据包——OT交换机上可能有SPAN端口,但容易丢包、重复,可能已经在使用,甚至一些旧的遗留交换机甚至可能没有SPAN端口选项。他们可能还会质疑如何将tap纳入基础设施。一旦确定了安全策略以及环境所需的网络监控和安全工具,那么确定可见性体系结构就需要确定所需的正确布线、连接器、安装和数据包捕获设备。在这里,体育博彩平台推荐将回顾工业环境中7个最常见的可见性挑战以及如何克服它们。
1)这不是你的传统网络
从不同的系统和法规到拓扑结构和DIN Rail安装,显然这种环境非常不同。平衡多个系统和设备,从监控和数据采集(SCADA),分布式控制系统(DCS)到工业自动化和控制系统(IACS),然后添加许多不同的拓扑概念,如点对点,总线,星型,环形,网状,树型,混合型和菊花链,您可以看到为什么架构一个可见层可能会变得棘手或被忽视。在网络框架内,体育博彩平台推荐知道你没有使用19英寸的机架也没有使用交流电源。这种环境的目标是尽可能减少移动部件,以最大限度地降低电缆拔出或中断网络的风险。许多带有工业控制面板的工业网络使用DIN Rails安装,这是一种安装系统,用于保护或安装电子设备到网络并运行直流电源。
2)遵循标准和法规
标准、认证和法规确保工业流程标准化和无缝化,从而形成熟练和安全的环境。工业领域有很多,包括标准开发组织(SDO),如IEEE,它为实现跨多个频段的无线局域网设置规范,IEC(国际电工委员会)使变电站自动化系统中的智能电子设备能够通信,以及PROFIBUS用户组织(PNO)负责监督与PROFINET、PROFIBUS和现场设备集成(FDI)相关的认证和标准。底线是,在可伸缩性、聚合、安全性、性能、灵活的拓扑和低延迟方面存在许多网络需求,这些仍然是工业应用中的关键挑战。一些欧盟和美国的安全遵从性需求现在甚至正在标准化使用哪些安全工具或监视工具。当然,这些工具都是基于包的。
3)克服距离
您的网络是否覆盖了制造厂、炼油厂、公用事业系统或多个地点?体育博彩平台推荐知道这些不是传统的商业场所,在那里每层楼都有配线柜,你有你漂亮的数据中心。这些设施可能非常庞大。这就是在考虑可见性架构时需要考虑距离的地方。体育博彩平台推荐发现,公司必须解决的最大问题之一是对电缆长度的限制。虽然铜线和光纤都支持,但铜线设备到设备的连接不能超过100米。虽然铜以太网已经迅速成为标准并被广泛使用,但距离限制很容易成为扩展网络中的一个问题。光纤连接更适合更远的距离,有2000米的限制,但光纤并不总是一个取决于环境的选择。
免费下载:工业网络中的全双工捕获[白皮书]
4)应对身体挑战
身体上的挑战不仅仅是处理距离。许多工程师遇到环境问题,不得不考虑各种电缆问题。您是否运行在极冷或极热的环境中,有紫外线照射或可能破碎?您的电缆是否会暴露在油中、水中、适度振动或工厂地板上的化学品中?你的电缆会在一个特定的控制室里受到保护吗?在布局可见性体系结构和确定如何访问数据时,这些因素都是重要的考虑因素。
5)如何访问数据?
选择归结为网络TAP或SPAN端口。您是要从交换机镜像一个端口,还是部署一个专门为流量访问而设计的设备?如果OT交换机上有可用的SPAN端口,它们很容易丢包、重复,而且很可能已经在使用。甚至一些老旧的交换机甚至可能没有SPAN端口选项。除了SPAN端口提出的众所周知的问题之外,还有一些专门针对工业环境的考虑。首先,许多工业路由器和交换机是非托管的,您是否需要将您的网络和安全工具的链接非托管?SPAN端口是管理的,通常需要重新配置,另一方面,大多数网络tap都是“设置后忘记”的。其次,您是否使用单向网关?体育博彩平台推荐看到人们试图在这些情况下使用SPAN端口,但没有意识到SPAN端口是双向的,这为黑客攻击创造了意想不到的机会。在这种情况下,专门设计的Data Diode tap提供单向连接,提供所需的额外安全性。
“SPAN会增加网络设备的开销,如果设备太忙,SPAN端口经常会丢弃镜像数据包。因此,tap是一个更好的选择。-EMA(企业管理协会)
6)网络掉电恢复时间
根据您的可见性策略,考虑您必须遵守的系统、基础设施、标准和法规,这将影响您需要如何被动地或使用基于主动中继的设备收集数据包。两个主要问题是,您的环境中需要什么级别的故障安全技术,以及您是否使用铜千兆字节?如果在关键任务环境中遇到掉电情况,那么网络恢复时间至关重要。在这种情况下,最好的选择是使用无源光纤或10/100M铜水龙头。这些都是完全无源的设备,这意味着它们可以失去电力,但连接将保持正常。如果您使用的是铜以太网,这是一种有源TAP解决方案,100/1000M可以用于这样的环境:如果出现电源丢失,链路将断开,然后在30-300毫秒之间重新建立。
7)混淆视听
面对如此多的连接选项、操作系统和桥接传统设备以及许多工程师遇到的安全和性能监控工具,如何连接各种连接器或媒体类型?如果您的网络分析仪运行铜千兆,您需要连接100Base-FX链路,您该怎么办?您的安全或性能监控设备没有100Base-FX网卡。在构建可视化结构时,专业的网络水龙头,如体育博彩平台提供的那些,提供媒体转换,以轻松解决这些问题,同时通过100BASE-FX/LX, LC, ST光纤连接提供流量的全双工副本。
解决能见度挑战
体育博彩平台推荐知道,在一个与传统网络不同的环境中,您将面临许多挑战,例如必须考虑标准和法规,以及覆盖包含许多物理挑战的大型扩展网络。但对网络可见性的需求是真实存在的。当涉及到关键基础设施时,公司无法承受盲点、丢包、流量瓶颈或网络停机的损失。根据SANS 2019年OT/ICS网络安全状况调查,“可见性对于管理OT/ICS系统至关重要。根据调查受访者的说法,提高控制系统网络资产和配置的可见性是企业在未来18个月预算的首要任务。”在整个工业以太网框架中部署网络tap可确保正常运行时间,并消除SPAN/镜像端口不可避免地引入的数据包传输问题。体育博彩平台还拥有各种基于工业的TAP和配件,包括DIN轨道网络TAP, DC-DC电源转换器,螺钉电源锁连接器,媒体转换TAP和数据二极管TAP -所有这些都为克服您可能面临的连接和环境挑战提供了额外的保证。希望在您的工业部署中添加可见性解决方案,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
