‘Data diode’硬化行业4.0网络安全

物联网和行业4.0网络需要可靠,安全和安全的数据链接。但是,如今,即使通过传统的安全方法固定,任何网络也容易发生网络攻击。要解决此问题,数据二极管,硬件和软件设备仅允许数据上传到外部世界并出于安全原因,避免任何向后数据下载。

网络二极管​​扩展了传统解决方案的网络安全解决方案的能力。安全和安全网络的重要性是由BundesamtFürSicherheit在Der Informationstechnik(BSI或英语,德国联邦信息安全办公室英语)进行的网络攻击的研究。根据该研究,在2019年6月和5月20日至1170亿之间增加了恶意软件,包括特洛伊木马,赎金书软件和涓饰,以及2020年的恶意软件的变化和强度继续上升。在互连的行业和关键基础设施中最佳安全性的要求非常高,并且必须完全保护工业设备接口,以避免任何负面影响。另一个重要点是传输的数据必须是机密和不可操纵的。


Genua's Steve Schoner

“但即使与现有的安全解决方案,仍然存在剩下的风险,”Venua GmbH的战略产品营销经理Steve Schoner告诉 欧洲时代。 “通过网络二极管​​,我们正在关闭这个差距。” GenAn GmbH成立于1992年,是Bundesdruckeere(德国联邦印刷办公室)的业务部门。它具有广泛的体验,私有实体处理分类信息,专门用于保护任何网络和数字通信。

工业网络和OT的差的安全性越来越越来越互联是为什么许多公司通过互联网将工厂与外界建立的进展所取得的进展的原因。网络可以实现高效,经济高效,灵活的制造到批量1.它还允许监控和优化机器和系统(例如,用于预测性维护和分析)。然而,通过互联网连接,行业4.0网络正在成为网络犯罪分子破坏和间谍的目标。

最大化的网络安全

“因为网络安全的现有解决方案要么是专有的还是非常昂贵,所以我们开发了我们的工业网络二极管​​,这确保了安全,可靠,制造商和平台 - 独立的沟通,”Schoner解释说。 “它在全球范围内基于经过认证的机密产品的数据二极管。”为了在工业环境中的安全数据传输,它支持OPC UA协议(OPC统一架构),是交换机器数据的开放标准。它还允许通过IPSec VPN加密数据传输到客户端应用程序。如果激活IPSec,则外部客户端只能使用加密通信与二极管通信。这是由二极管内部防火墙确保的,并且它使得能够将数据传输极其安全到云中的任何所需的服务或任何其他外部位置。

细节网络二极管

网络二极管​​硬件通过使用I / O存储器管理单元(Iommu)来确保用于隔间分离。功能框图中的黑隔室(左)示出了发送器,即在这种情况下,这是OPC UA客户端。在中心,专利的单向任务表示单向数据传输函数。红色隔间(右)是VPN就绪的侧,它通过网络接口(NIC)传输到外部目标系统的VPN安全数据。额外的更新隔间(顶部)允许为安全原因提供网络不允许的新功能或升级。可以仅通过网络设置上传到设备本身的更新,无需更改基本配置。硬件适用于节省空间的DIN导轨或19架架子,并提供UEFI和安全启动支持。该公司表示,网络二极管​​可以通过移动电话(LTE)和WLAN扩展以便连接。


网络二极管​​的框图(图像源:genua)

软件的核心建立在简单的硬化的Microkernel和硬化的OpenBSD操作系统上。两者都包含几行代码,最小化黑客和攻击向量的入口点。 “这样的架构极难攻击,”Schoner说。即使是操作系统中的漏洞也没有对专利单向功能的影响。只能在网络二极管​​上运行Genna提供的软件。 “它是经济效益的,作为一生许可证,包括一个系统的硬件和整个软件,”Schoner说。也保证了热线服务或完整的系统管理服务。网络中所需的网络二极管​​的金额取决于用户的风险要求和网络结构。

提高安全功能


网络二极管​​在工业4.0网络中启用安全数据传输

Schoner声称,与空气隙,防火墙和光纤等传统方法相比,防火墙和光纤等传统方法提供了各种优势。例如,空气差距与避免任何自动化数据交换的OT网络分离,从而确保安全性。但在工业4.0中,无论如何必须在不同的网络之间交换环境数据。在这种情况下,数据传输通常通过USB棒或其他存储器设备进行,这些内存设备不高效并且容易出现故障。 USB棒和其他内存设备可能包含一些恶意软件。

替代方案是防火墙,可以配置为在一个方向上传输数据。这可能是一个解决方案,但它非常复杂,因为几乎所有防火墙都具有超过一组规则。这也意味着可以通过意外改变这些规则或多年来已经过时改变这些规则。这使得将新的网段联系起来,或者需要至少伟大的知识来实现​​。可能会发生单向功能将被停用。

这些风险被排除在网络二极管​​之外。光纤二极管,第三种传统选项,能够阻止反向的数据,但需要单独的通道知道数据传输是否成功。为了增加可靠的数据传输,网络二极管​​通过仅发送一位来证实成功的数据传输。最后,网络二极管​​可以很容易地集成到现有的工业网络中。

>>本文最初发表在我们的姐妹网站上, 欧洲时代.


相关内容:

更嵌入, 订阅嵌入式’S每周电子邮件时事通讯.

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.