编者按
要在当前脆弱的工业环境网络中设计和构建其所需的关键网络保护系统,其实在很多方面与设计与建造中世纪城堡相似,从外围到城堡的核心都可以设置障碍物阻止入侵者,以便有充足的时间保护城堡内的关键人物和设施,护城河、吊桥、铁门等都为入侵者提供了障碍。
现代的“深度防御”模型就相当于这样一座城堡。该模型基于关键基础设施设置了多重保护层。
基于物理网络、计算机和设备安全的综合方式来定义安全策略和程序,深度防御是管理外部和内部威胁的最佳方式。该模型利用三个概念来确保快速检测、隔离和控制,最终限制错误或漏洞的影响,无论其发生在何处或者如何发生:
1. 多层防御:如果入侵者绕过其中一层,那么还有另一层能够提供安全防御。
2. 区分防御层:如果攻击者找到通过第一层的方法,但他们还是无法找到突破后续防御层的方法,因为每一层都与前面层的防御方式略有不同。
3. 针对特定威胁的防御层:专门针对特定的网络风险和漏洞,这种解决方案可以抵御各种对控制系统的网络威胁,如计算机的恶意软件、内部员工、拒绝服务(DoS)攻击和信息窃取。
鉴于黑客事件的发生频率不断上升,似乎有必要将所有内容打包在一起然后抛弃密钥。即便如此,企业仍然要做好安全防御方面的工作。在开始投资于硬件、软件和培训之前,企业还是要查看操作规范,以及对关键资产进行识别,找到其可能遭到网络攻击的漏洞和风险。了解整个企业内部和外部的通信流程,找到最关键的方法来确保业务的完成,以及这些领域对于停机的容忍度。设置好优先级,然后再继续执行企业计划。最后,了解如何改善你的网络安全态势,不仅可以使它更安全,也会更可靠和更稳健。
防火墙和深度防御实施纵深防御策略需要工具和技术的结合,以及支持分层的保护方法。有五种方法可以提供全面的安全防御,以显著降低漏洞风险,并减轻漏洞产生的影响。这些方法包括:
1. 预防性安全: 旨在防止事件发生,减少风险和漏洞的数量和类型。例如使用强密码策略和禁用交换机上未使用的端口,防止未经授权的设备访问。
2. 网络设计安全:最大限度地减少漏洞并将其隔离,使得攻击不会影响网络的其他部分。“区域和管道”方法可以帮助限制网络区域之间的连接数量,从而降低网络中攻击蔓延的风险。
3. 主动安全性:采取积极的措施和设备阻止网络上不允许或预先设置的操作。例如加密、特定协议的深度数据包检测、三层防火墙和防病毒使用。
4. 侦测安全:通过评估活动注册和日志(包括日志文件分析和入侵检测系统监控)来识别正在进行的事件或发生后的事件。
5. 纠正安全:旨在限制任何事件引起的损坏程度,如配置参数备份策略,防火墙和防病毒更新。
防火墙是确保工业互联网安全的一个特别重要和常用的工具,因为它们可以在网络中发挥各种作用,并防止外部威胁和内部错误的传播。防火墙通过仅允许设备之间的某些类型的通信来防止恶意攻击或操作员对设备的错误操作。在技术层面上,防火墙的功能是过滤数据包,在检查每个数据包是否合规后,防火墙会过滤或转发合规的数据包。
不同类型的防火墙提供了不同级别的包过滤。无状态防火墙确定与其进行通信的各个设备或应用程序,而状态防火墙则监视整个通信过程,并使用记录的信息(如启动或终止连接)作为数据包过滤的附加决策。深度数据包检测防火墙是状态包检测的扩展,检查完整的数据包,以查找格式不正确的工业控制系统(ICS)消息或深度隐藏在通信流中的高度专业的攻击模式。
根据网络位置对防火墙进行分类和考虑也很重要。广域网(WLAN)中的防火墙限制WLAN接入点与WLAN客户端之间的消息转发,以提高网络的整体安全。公司内部网络的防火墙可以控制进出外部站点到本地网络的网络流量。这就创建了公司内部网络和外部网络(如Internet)之间的边界。
界小编结语
作为企业管理人员,每天都要注意网络攻击。如果忽视网络攻击不是一个现实的选择。对于是对于工业操作,非常有必要了解防火墙在网络安全策略中的作用,这样可以随时对深度防御迅速采取多种方法,这也就意味着数百万对于网络安全防御的投资可以让受影响的工作和业务快速恢复,继续为客户和股东提供服务。
(文章来源于网络,版权归作者所有)
共有条评论 网友评论