万物联网时代来临 打破封闭内网提升网络安全

概念是把每一个运作的单元用防火墙区隔，要进出本区之外的网络都需要进行身分识别及留下存取纪录，并利用 VPN 的加密技术，把原本在网络上明码传递的信息加密。然后整体的 IT 网络跟 OT 网络也是用防火墙做切割，只有被允许的人才能存取另一边的网络。在这个架构下，OT 层的网络防护的机制说明如下：

网关安全防护

具备防火墙的防护机制（图 5），能够阻挡黑客的恶意扫描及碎片攻击等，能够阻挡的项目包含封锁 IP、封锁 Land 攻击、封锁Ｓmurf、封锁 Trace Route、封锁 Fraggle、封锁 Tear Drop 攻击、封锁 ICMP / SYN / PIN of Death 等攻击。

保护后端的服务器或是 PLC 等工业连网设备，避免 ICMP / SYN（TCP） / UDP 等通讯协议的洪水攻击（DOS）跟分布式洪水攻击（DDOS），导致服务被中断或式瘫痪，针对每一个通讯协议可以设定保护的力道。

图 5：检视网络流量，降低内网恶意攻击行为

提高网络威胁能见度（图 6）

主要有三点：

（1） 揭露隐藏的风险

加强对高风险活动、可疑流量和进阶型威胁的可见度。

（2） 阻止未知威胁

透过大数据分析、学习和系统漏洞补防，保护企业组织网络安全。

（3） 隔离受感染的系统

自动隔离网络中已经遭骇的系统，并阻止威胁扩散。

图 6：检测加密、非加密网络联机是否有恶意行为

管制 port 的建立联机机制

开越多的对外服务 Port，代表把自己暴露在外的风险因素增加，所以对于已知的联机对象，不管对方是使用动态或是固定 IP 地址，都可以利用防火墙普遍有的 IPSec VPN，建立安全的 VPN 信道传递信息（图 7），而不需要开 Port 的方式达成联机的需求。

图 7：透由 VPN 强化安全联机

建立白名单管理机制

由于恶意软件的变种速度太快，如果靠黑名单来做把关可能没那么可靠，所以对 IOT 设备的软件管理权限，应该都用白名单机制来进行控管。在 IOT 场域里具有极少变动的特性，通常系统在安装后，应用程序即维持不变。管理者可以决定哪些程序是允许被执行，其余的程序将被阻挡。当所有程序被允许执行时，应用程序白名单可以过滤内容或限定其带宽使用量。

图 8：ShareTech OTS 提供白名单防护机制

只允许特定的协议通过，避免非必要的数据泄出

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!