Làm thế nào để truy cập dữ liệu sản xuất một cách bảo mật

Làm thế nào để truy cập dữ liệu sản xuất một cách bảo mật Giới thiệu Sự phát triển của Ethernet hiện nay gây ra rủi ro cho sản xuất do sự xâm nhập vô tình và có chủ ý của các đối tượng bên ngoài. Các biện pháp an ninh theo yêu cầu của môi trường sản xuất là bắt buộc để giữ cho các hoạt động được bảo mật và đem lại nhiều lợi nhuận. Tuy nhiên để bảo vệ môi trường công nghiệp không phải là một công việc dễ dàng. Do thiết bị sản xuất và hệ thống kết nối cũng như điều khiển nó ngày càng trở nên phức tạp và tinh vi. Trong khi Ethernet tiêu chuẩn trong môi trường văn phòng có thể không bị tổn hại bởi lỗi truyền tín hiệu thì trong môi trường công nghiệp đây là một chuyện hoàn toàn khác. Mạng ở đây phải có khả năng chịu được những môi trường khắc nghiệt. Các thiết bị Hirschmann Eagle Firewall/VPN đảm bảo bảo vệ tối đa các khu vực công nghiệp và loại trừ việc thao tác dữ liệu tình cờ và trái phép. Nhu cầu về một cơ chế bảo vệ đặc biệt Các cơ chế an ninh và kiểm soát được sử dụng để bảo vệ mạng doanh nghiệp là khá đơn giản, không đủ hoặc không hiệu quả. Mặc dù chúng cùng sử dụng một loại thiết bị và giao thức kết nối mạng, mạng công nghiệp và doanh nghiệp có đặc điểm khác nhau, tuân thủ tiêu chí công suất khác nhau, và có thể bị ảnh hưởng bởi cùng loại sự kiện theo nhiều chiều hướng khác nhau. Mạng công nghiệp là một môi trường hoàn toàn khác. Môi trường của chúng là từ phòng sạch được điều hòa không khí tới các môi trường sản xuất nguy hiểm. Các mạng điều khiển tất định thường hoạt động trong sự ràng buộc theo thời gian và được duy trì ổn định. Việc bị ngừng trệ là điều không chấp nhận được. Mọi sự ngắt quãng là quá dài và có thể dẫn tới phung phí hoặc làm bẩn vật liệu thô hay vật liệu hoặc hàng quá đang được xử lí. Điều đó cũng có nghĩa là toàn bộ quá trình cần được khởi động lại. Việc ngắt quãng không theo dự kiến có thể phát sinh rủi ro cho thiết bị sản xuất. Phải có khả năng khôi phục hệ thống hoạt động càng nhanh càng tốt. Ngoài ra, máy móc sản xuất ít khi có thể được bảo vệ với một miếng vá phần mềm, một hệ thống chống virus, hoặc một cơ chế dò phát hiện xâm nhập. Lúc nào cũng vậy, chúng phải được nhà cung cấp cập nhật, với sự tốn kém về thời gian và tiền bạc. Hiện nay cách thức mạng công nghiệp được nối với mạng doanh nghiệp đã thay đổi rất nhiều. Một số được nối trực tiếp trên tên miền của doanh nghiệp. Một số mạng gồm các mạng được phân đoạn được kết nối bằng router hoặc VLAN (Mạng nội bộ ảo). Trong khi số khác vẫn được tách biệt hoạt toàn khi chia sẻ các nguồn tài nguyên chung qua mạng Internet. Trong quá nhiều trường hợp, các biện pháp an ninh cho các mạng này chiếu theo các biện pháp và cơ chế kiểm soát được sử dụng trong mạng doanh nghiệp...và thường không đáp ứng các yêu cầu của bên công nghiệp. Những gì cần là một phương pháp bảo mật mạng tốt hơn bằng cách lắp vào, chỉnh sửa và cấu hình các phương pháp an ninh thử nghiệm và phù hợp được doanh nghiệp phát triển để sử dụng trong môi trường công nghiệp. Các phương thức xây dựng cơ chế bảo vệ cho mạng Hãy xem xét một cách chi tiết các đặc điểm này, chúng ảnh hưởng tới sự phát triển của mạng truyền thông bảo mật như thế nào, một số phương pháp, thủ tục và thiết bị có thể được áp dụng để cung cấp khả năng bảo vệ. Yêu cầu của mạng lưới an ninh công nghiệp so với khả năng của một mạng lưới an ninh hệ thống IT là gì? Mục tiêu chung của bất kỳ chiến lược bảo vệ mạng nào là bảo vệ tất cả các khu vực nhạy cảm của quy trình sản xuất đồng thời hỗ trợ tích hợp dài hạn các mạng văn phòng và công nghiệp trong môi trường công ty. Mạng công nghiệp không thể chỉ đơn thuần copy các biện pháp an ninh được sử dụng trong môi trường văn phòng. Làm như vậy sẽ để lại các lỗ hổng an ninh. Thách thức đối với nhà sản xuất là làm quen với các điểm dễ bị tổn thương trong hoạt động của mình, hiểu biết về các công cụ an ninh hiện có và xây dựng một hệ thống cung cấp khả năng bảo vệ tương ứng. Hiện nay có rất nhiều kỹ thuật và công nghệ an ninh và có hàng nghìn sản phẩm có thể giúp thực hiện tác vụ này. Một số trong đó là các firewall và bộ Router kết nối mạng công nghiệp; các thiết bị an ninh; các thiết bị VPN, sự xác nhận và các thiết bị mã hóa được bàn ở đây. Khi được áp dụng và lắp đặt một cách phù hợp, các cơ chế và kỹ thuật này có thể cung cấp an ninh cho mạng công nghiệp của bạn mà nó đòi hỏi để kết nối trực tiếp các thiết bị mạng và sản xuất riêng lẻ với mạng internet, các văn phòng từ xa, các xưởng sản xuất từ xa, các khu sản xuất giống hệt nhau, hay các khu vực khác cần có giao tiếp bằng Ethernet công nghiệp bảo mật. Firewall và Firewall/Router. Firewall có nhiều loại. Các thiết bị cắm và chạy này có thể được lắp đặt ở bất kỳ đâu trên mạng mà không cần cấu hình hay tái cấu hình thiết bị cuối. Không có bất cứ sự thay đổi nào đối với cách thiết lập mạng (các địa chỉ IP, các mặt nạ mạng phụ, các cổng giao tiếp mặc định); mạng không cần phải được chia nhỏ thành các mạng con IP tách biệt. Firewall/Router thường là những thiết bị kết hợp. Chúng là các router với các tính năng firewall được cài đặt vào hoặc firewall với các tính năng Router được cài vào. Các thiết bị này có thể phân khúc mạng, có thể được sử dụng như một cổng giao tiếp, và cho phép truy cập an toàn vào Internet. Các chức năng của Firewall bao gồm cách li các thiết bị tới hạn với các nguồn gây hại, tách mạng thành những vùng an ninh, hạn chế giao tiếp giữa các vùng, và bảo vệ các bộ điều khiển khỏi các lỗ hổng đã biết. Trong một hoạt động firewall/định tuyến điển hình, tất cả các dòng dữ liệu IP được gửi từ một mạng an toàn tới mạng không an toàn hay xa hơn được phép đi ngang qua firewall/router. Lưu lượng được gửi từ mạng bảo mật tới mạng không bảo mật sẽ bị khóa tự động. Cấu trúc liên kết Ethernet mô tả việc tích hợp mạng doanh nghiệp với nhà máy sản xuất. An ninh đạt được thông qua việc sử dụng các thiết bị Hirschmann® Eagle Firewall/ VPN trong 3 khu vực: Khai thác công nghiệp (được làm nổi bật bằng màu xanh lam nhẹ) và 2 khu vực của sàn nhà máy trong Building B (được làm nổi bật với màu cam nhẹ). Các thiết bị Eagle VPN lí tưởng cho truy cập từ xa, bảo mật – tách biệt mạng bằng cách điều khiển dữ liệu nào được phép đi qua theo hướng nào và thực hiện NAT (dịch địa chỉ mạng). Thiết bị an ninh. Các thiết bị an ninh là một loại phần cứng nội tuyến được sử dụng để bảo vệ một thiết bị đơn hay một nhóm nhỏ các thiết bị trong thời gian thực khỏi các dòng dữ liệu không mong muốn. Trong đó các loại mới nhất là các loại cung cấp an ninh cấp khu vực, bao gồm việc kiểm tra gói dữ liệu sâu đối với các nhóm PLC, DCS, RTU và HMI cũng như các giao thức truyền thông chuyên ngành của mình. Những thiết bị này thường cài đặt đơn giản hơn các sản phẩm an ninh khác, và có thể được lắp đặt cũng như thực thi trên một mạng sống mà không cần đào tạo đặc biệt, không cần phải cấu hình trước hay không phải ngừng hệ thống. Những loại sản phẩm này được cung cấp như một giải pháp an ninh phân tán. Phần mềm quản lí trung tâm đi kèm các thiết bị cho phép cấu hình dạng module, quản lí và giám sát nhiều thiết bị từ một trạm làm việc quản lí. Phần mềm quản lí cho phép một model ảo của toàn bộ mạng điều khiển được phát triển nhanh chóng; trong đó nhiều phần mềm cung cấp các công cụ kéo thả nhằm đơn giản hóa việc tạo lập, chỉnh sửa và kiểm tra cấu hình của thiết bị được triển khai trong mạng của bạn. Trạng thái của toàn bộ hệ thống có thể quan sát được trên một màn hình, cung cấp thông tin thời gian thực về các sự kiện không phù hợp với quy định trong mạng của bạn. VPN, xác nhận người sử dụng và mã hóa. Truyền thông bảo mật có thể được mở rộng ra ngoài biên của mạng, vùng an ninh nội tại, hoặc cấp thiết bị sử dụng cơ chế kết nối xác nhận người sử dụng từ xa hay VPN (mạng riêng ảo). Hầu hết các firewall có thể hỗ trợ thiết lập các kết nối VPN sử dụng tầng socket (SSL) được bảo vệ, phím chia sẻ sẵn (PSK) hay các xác nhận X.509 để cung cấp khả năng truy cập được mã hóa trên các mạng trung gian hoặc không đáng tin cậy như mạng Internet. Các giao tiếp bảo mật có thể được thiết lập sử dụng phương pháp xác định đúng người sử dụng và các nền tảng nguyên tắc firewall cụ thể cho người sử dụng. Firewall có thể được sử dụng trên đường biên mạng giữa văn phòng và sàn nhà máy hay các khu vực sản xuất giống nhau, hoặc đóng vai trò như một cổng giao tiếp với mạng Internet. Thí dụ, giải pháp VPN sẽ tạo ra các đường truyền bảo mật trên các mạng không đáng tin cậy, bao gồm mạng Internet hoặc mạng lưới kinh doanh của doanh nghiệp. Giải pháp này cần dễ triển khai, kiểm tra và quản lí cũng như cần cung cấp các phương pháp để xây dựng các file cài đặt được cấu hình sẵn nhằm giúp đảm bảo rằng an ninh không bị tổn thương do lỗi cấu hình. Ngoài ra, giải pháp này cần hỗ trợ các thiết bị và giao thức tự động hóa công nghiệp, có khả năng được kết hợp với thiết bị khác để tạo ra một giải pháp an ninh toàn diện. Kết hợp tất cả các biện pháp với nhau Lựa chọn các thiết bị để bảo vệ mạng truyền thông công nghiệp không chỉ là một phần của thách thức. Lắp đặt thiết bị phù hợp cũng đóng một vai trò quan trọng. Các thiết bị khác nhau được sử dụng cho những mục đích khác nhau. Thí dụ, một thiết bị an ninh bảo vệ tại cấp thiết bị và không có khả năng định tuyến hoặc phân đoạn mạng. Đối với một nhà máy nhỏ không có nhân viên IT tại hiện trường cần kết nối với Internet để kết nối với văn phòng công ty, firewall sẽ là một lựa chọn phù hợp hơn. Thiết bị an ninh thường không đóng vai trò như một firewall hay router truyền thống. Nó không thể xây dựng các phân đoạn mạng tách biệt bằng cách tạo ra một phân đoạn mạng IP trên một bề mặt phân giới và một phân đoạn mạng IP. Mặc dù nó sẽ không thay đổi hay định tuyến dòng dữ liệu sang một phân đoạn mạng khác, tuy nhiên nó sẽ bảo vệ thiết bị cuối thông qua việc giám sát dòng dữ liệu toàn diện và các cơ sở nguyên tắc dạng hạt có thể tùy biến. Do các hệ thống biến đổi rất nhiều, nên các trường hợp cụ thể không thể liệt kê được trong bài viết này. Tuy nhiên, nhìn chung, khi kết hợp với nhau thành một hệ thống như vậy, chúng ta phải tự tìm ra câu trả lời cho các câu hỏi sau đây: Thiết bị hoặc hệ thống có cung cấp tính năng an ninh có thể mở rộng hay không? Có dễ tích hợp với kiến trúc hiện nay hay không? Có dễ lắp đặt, vận hành và bảo dưỡng hay không? Nó có chức năng quản lí toàn bộ như quản lí Web-based và đèn LED chỉ trạng thái hay không? Nó có hỗ trợ cơ chế dự phòng hay không? Khi lựa chọn bảo vệ, phải giành thời gian để xác định liệu thiết bị được xem xét có được nhân viên của bạn phát triển hay không. Liệu hệ thống được thiết kế để nhân viên của bạn có thể sử dụng hiệu quả mà không cần đến chuyên gia IT, hay phải gọi ai đó khi có sự cố xẩy ra hay không? Ngoài ra, mọi thiết bị an ninh công nghiệp phải được thiết kế, chứng nhận và tăng độ bền cho các môi trường khắc nghiệt. Nó cần có vỏ bọc bền vững, bộ cấp nguồn dự phòng và một dải nhiệt độ hoạt động rộng cho phép lắp đặt bất cứ khi nào cần đến an ninh. Các hệ thống an ninh trang bị nhiều phương tiện kết nối mạng, thông dụng nhất là kết nối cáp đồng và cáp quang và kết nối không dây hay trong một số trường hợp là sự kết hợp các phương tiện trên. Mặc dù tất cả đều đem đến công suất truyền tín hiệu tối ưu, các thiết bị có độ rủi ro cao có thể thiên về sử dụng cáp quang, loại kết nối cung cấp bandwidth cao, không dễ bị nhiễu (EMI hoặc RFI), và cung cấp khả năng một phương tiện kết nối ít bị hacker tấn công. Tuy nhiên, khi cáp quang được lựa chọn, một số yêu cầu lắp đặt đặc biệt phải được đáp ứng - trong đó có các giới hạn bán kính chỗ nối, tải tối đa, sự nguy hiểm của môi trường, đặc biệt là độ ẩm. Nói tóm lại, các thiết bị an ninh Ethernet công nghiệp cần có khả năng được quản lí riêng rẽ sử dụng cả trình duyệt Internet hay với phần mềm từ nhà cung cấp thiết bị. Thiết bị an ninh có thể được áp dụng tại biên mạng công nghiệp, cấp hệ thống con, khu vực sản xuất hoặc chính tại máy móc. Phát triển bảo vệ theo chiều sâu Khi không được bảo vệ, sẽ gây ra nguy cơ ngừng máy và hỏng hóc tốn kém cũng như mất thời gian cho công ty của bạn. An ninh là một quá trình bao gồm, bên cạnh công sức ban đầu bỏ ra, là bảo dưỡng và nâng cấp thường xuyên; đánh giá và cập nhật định kỳ; và giáo dục thường xuyên. Mọi cơ sở sản xuất cần làm việc với nhà cung cấp giải pháp an ninh để thực hiện đánh giá rủi ro an ninh và xem xét các biện pháp có thể được đưa ra, đặc biệt có thể thay đổi quy trình và sản xuất. Nên nhớ rằng việc thay đổi có thể tạo ra nhiều lỗ hổng mới, và cần biết rằng sản phẩm tiếp tục phát triển, đem đến công suất cao hơn và hiệu quả lớn hơn. Không có một nguồn nào có thể cung cấp tất cả các câu trả lời. Giành thời gian để tìm hiểu các phương pháp và những tiến bộ trong an ninh. Bạn sẽ có câu trả lời ngay: Hãy hỏi nhà cung cấp, tham dự các buổi hội thảo và semina, nhờ chuyên gia tư vấn và tận dụng các nguồn tài nguyên online. Các website chính phủ Mỹ có thể hữu ích cho bạn bao gồm US-CERT của Bộ nội vụ với nhiều thông tin online và thông qua các tài liệu an ninh được xuất bản (truy cập www.us-cert.gov để biết thêm thông tin). Trung tâm tài nguyên an ninh máy tính, nhóm an ninh máy tính (csrc.nist.gov) thuộc Viện Tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST) cũng là một nguồn hữu ích. Các tổ chức quốc tế có thể giúp ích cho bạn bao gồm Ủy ban Kỹ thuật điện quốc tế, hay viết tắt là IEC (www.iec.ch) và Tổ chức tiêu chuẩn quốc tế, ISO (www.iso.org). Các tổ chức độc lập như Hiệp Hội tự động hóa Công nghiệp, ISA (www.isa.org), cũng cung cấp các vật liệu và thiết bị.