使用信息技术(IT)的运营技术(OT)的收敛为工业空间暴露了许多挑战,包括增加对网络攻击和网络盲目的脆弱性。不幸的是,许多公司在发现他们没有适当的能够与他们的IT基础架构享受的情况下,许多公司都在一个黑客的错误方面。
也是如在IT环境中,大多数工业安全和网络监控工具是基于数据包。工程师倾向于遇到该基础架构内的一些固有挑战,就如何访问这些数据包 - 跨度端口可能在OT交换机上可用,但易于丢弃数据包,重复,可能已经在使用中,甚至一些较旧的旧交换机甚至可能都不会有跨度端口选项。他们还可能会质疑如何在基础设施中纳入水龙头。
一旦您决定了安全策略以及您的环境所需的网络监视和安全工具,展示可见性架构需要弄清楚所需的正确布线,连接器,安装和数据包捕获设备。在这里,我们将审查工业环境中最常见的可见性挑战,以及如何克服它们。
1)这不是您的传统网络
从不同的系统和法规到拓扑和DIN导轨安装,很明显这种环境非常不同。平衡多个系统和设备,从监督控制和数据采集(SCADA),分布式控制系统(DCS)到工业自动化和控制系统(IACS),然后在许多不同的拓扑概念中添加,如点对点,公共汽车,明星,环,网格,树,混合和菊花链,你可以看到为什么架构可见层可能会忽略棘手或平原。
在网络框架内,我们理解您不运行19英寸的机架,您无法运行交流电源。该环境中的目标是具有尽可能少的移动部件,以最大限度地降低拔除或中断网络的电缆的风险。许多工业控制面板的工业网络使用DIN导轨安装,这是一种用于保护或安装电气设备到网络的安装系统并运行DC电源。
2)按照标准和规定
标准,认证和规定确保工业流程标准化和无缝,导致精通安全环境。工业空间有许多,包括标准开发组织(SDO),如IEEE,可在电气变电站自动化系统中实现智能电子设备的IEC(国际电工委员会)实现无线局域网的规范监督与PROFINET,PROFIBUS和FIELD设备集成(FDI)相关的认证和标准的PROFIBUS用户组织(PNO)。
底线是,有许多关于可扩展性,收敛性,安全性,性能,灵活拓扑和低延迟的网络化要求,这在工业应用中保持关键挑战。一些欧盟和美国安全合规性要求现在甚至标准化要使用的安全工具或监控工具。当然,这些工具是基于数据包的。
3)克服距离
您的网络是否覆盖了制造工厂,炼油厂,公用事业系统或多个地点?我们知道这些不是传统的商业地点,每个地板都有其布线衣橱,你有漂亮的数据中心。这些设施可能是巨大的。这就是距离考虑在思考您的可见性架构时发挥的地方。
我们发现其中一个最大的符合公司必须处理的是限制布线长度。虽然支撑铜和光纤,但铜装置到装置连接不能超过100米。虽然铜以太网已快速成为标准并被广泛使用,但远程限制很容易成为广泛网络中的问题。对于进一步的距离,纤维连接更容易容纳,具有2,000米的限制 - 但光纤并不总是一种选择,这取决于环境。
>>免费下载:工业网络中的全双工捕获[白皮书]
4)访问您的身体挑战
身体挑战不仅仅是处理距离。许多工程师遇到了环境问题,并且必须考虑各种电缆问题。您是否正在运行一个非常冷或热的环境,具有紫外线暴露,或可能会破碎?您的电缆是否会暴露在工厂地板上的油,水浸,适度振动或化学物质?您的电缆是否会受到保护的特定控制室?这些因素是在制定可见性架构并确定如何访问该数据时的重要考虑因素。
5)您如何访问数据?
选择归结为网络挖掘或跨度端口。您是否会从交换机镜像港口或部署专为流量访问的目的内置设备?如果在OT开关上有跨度端口,则易于丢弃数据包,重复,并且可能已经在使用中。即使是一些较旧的遗留开关也可能甚至没有跨度端口选项。除了众所周知的问题跨度港口提出,还有一些专门针对工业环境的考虑因素。
首先,许多工业路由器和交换机都是非托管的,您是否需要与您的网络和安全工具的链接是非托管?管理跨境港口并经常需要重新配置,另一方面,大多数网络水龙头是“设置它并忘记它”。
其次,您是否使用单向网关?我们看到人们尝试在这些情况下使用跨度端口,并不意识到跨度端口是双向的,这创造了一个意外的黑客机会。在这种情况下,专门设计数据二极管抽头提供单向连接,提供所需的附加安全性。
“跨度可以在网络设备上添加开销,如果设备变得太忙,则跨度端口通常会丢弃镜像数据包。因此,水龙头是更好的选择。”-ema [企业管理员工]
6)电源损耗期间的网络恢复时间
根据您的知名度策略,考虑到您必须遵守的系统,基础设施,标准和法规,将这些因素进入如何被动地收集数据包或基于活动中继的设备。
两个主要问题成为,您的环境中需要的故障安全技术的水平是多少,您使用铜千兆字节?如果您在关键任务环境中遇到功率损耗条件,则网络恢复时间至关重要。该方案的最佳选择是使用被动光纤或10 / 100m铜抽头。这些是完全被动的设备,意味着它们可能会失去功率,链接将保持稳定。如果您使用的是铜以太网,则在环境中使用Active Tap解决方案,100 / 1000M可用于如果存在电源损耗,则链路将掉落,然后重新建立30-300毫秒。
7)越过电线
使用这么多的连接选项,操作系统和桥接传统设备,具有安全性和性能监控工具,许多工程师运行,您如何连接各种连接器或媒体类型?如果您的网络分析仪运行铜千兆位,您需要如何连接一个100base-fx链接?您的安全或性能监控设备没有100Base-FX NIC卡。
在架构您的可见性面料时,专门的网络水龙头,如花环技术所提供的,提供媒体转换,以便在提供全双工通行的全双工副本时轻松解决这些问题乐动体育菠菜100Base-FX / LX,LC,ST光纤连接。
解决您的知名度挑战
我们了解到,您正在反对可能因传统网络而异的环境中的许多挑战,例如必须考虑标准和规定,并涵盖具有许多身体挑战的大型广泛网络。但是对网络可见性的需求是真实的。当涉及关键基础设施时,公司无法承担盲点,丢弃的数据包,流量瓶颈或遭受网络停机时间。
根据SANS 2019OT / IC网络安全调查状态“可见性对于管理OT / ICS系统至关重要。根据调查受访者,对控制系统网络资产和配置的可见性增加是最高举例的组织在未来18个月内为预算中的预算。“
在整个工业以太网框架中部署网络抽头可确保正常运行时间,并消除跨度/镜像端口不可避免地引入的数据包传递问题。乐动体育菠菜花环技术也有各种各样的工业基条龙头和配件,包括DIN导轨网络龙头,DC-DC电源转换器,螺丝电源锁连接器,媒体转换龙头和数据二极管抽头 - 所有这些都提供额外的保证,以克服您可能面临的连接和环境挑战。
希望为您的工业部署添加可见性解决方案,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
