提升工业无线网络的安全性
随着越来越多的设备接入到无线网络中,外部入侵者也就有更多、更好的机会来破坏工业生产过程。如果在系统的规划阶段,能够将各种因素考虑周全,那么无线网络也可以和有线网络一 样安全。
对于所有工业网络来讲,不管是有线的或者是无线的,安全问题正在获得越来越多的关注,但是由于无线数据在空中传输,因此会产生一些特殊的关注点。比如,经常会有类似这样的问题,“我的信息真的安全吗?”或者“这和有线网络一样安全吗?” 如果在系统的规划阶段,能够将各种因素考虑周全,确保其尽可能的安全,那么无线网络也可以和有线网络一样安全。
1
构建一个安全的无线网络
在考察无线网络平台时,除了从安全方面,还应从灵活性、功能以及未来的扩展性等方面对产品进行全面的考察,这一点非常重要。能否对无线网络进行变更,取决于系统是基于开放还是专有的标准。开放的无线网络标准,比如Wi-Fi 或蓝牙,运行在开放的标准之上,任何人都可以使用该标准。利用谷歌,简单的搜索一下如何攻击Wi-Fi网络,就可以找到数以百万计的搜索结果。
专有无线系统,只能与来自于同一个生产厂家的设备进行通讯,具有内置的安全防护层。对于入侵者来讲,学习这些设备的相关知识要困难,因为第三方设备没有连接到那些特定网络上。
然而,在很多应用场合,由于反向兼容性或互操作性等原因,公共无线网络有时也是一种更好的选择。由于这些技术是公开的,因此被广泛理解,易于安装。一个Wi-Fi网络,可以有多个由不同厂家生产的设备,彼此之间相互通讯。然而,事情总是两面的,如果某人动机不纯,那么“广泛理解”就是一个缺点。同样的,通过选择适当的技术并充分利用智能的安装实践,就可以大大降低非预期网络通讯故障发生的几率。
图1:很多工厂,通过Wi-Fi 和蓝牙将笔记本电脑和智能手机接入到工艺流程中。这样,使用者就可以更容易进行互动,但是如果没有适当的预防措施,这样做就是为网络攻击打开了大门。图片来源:菲尼克斯公司
2
确保无线网络的安全
1. 加密。加密获取数据后,利用密钥来使数据不可读,然后再进行网络传输。如果某人在网络上进行“窃听”,即使入侵者获得数据,也没有任何意义。加密可以分成不同的等级,包括有线等效加密(WEP)、无线网络安全存取(WPA)以及 WPA2。
尽管它们都是某种形式的加密,但是WEP和WPA都比较容易被破解。WPA2利用先进加密标准(AES)来进行加密,为无线网络提供了最高等级的安全保护。现在,即使WPA2也有被攻破的可能,但是与其它类型的最优实践结合起来,可以降低被攻破的风险。
2. 授权。授权就是为自己网络上的所有人定义角色,并确定权限范围。网络会问你,“你是该网络的一份子吗?如果是,那么你能和哪个层级通讯?”
权限范围变化很大,从对网络有安全的控制权、到只能接触某些特定设备,不一而足。例如:生产线网络上可能存储所有的保密信息,只有特定的使用者才具有接入权限。而客户网络则对所有希望接入该网络的用户开放。
图2:纵深防御措施可以帮助整个网络改善安全性能,而不仅仅是针对无线。
3. 纵深防御。一个无线网络,即使具有最高等级的加密和授权,它仍可能是不安全的。对整个网络采用纵深防御措施(无论是在有线还是无线侧)意味着可以实施以下步骤:
■ 限制发射功率:考虑无线系统所使用的环境和应用。大多数无线设施都可以配置发射功率。如果应用范围较小,则可以考虑降低发射功率,这样在规定的区域之外,使其网络ID不可见。
■ 在必要的地方安装防火墙,并采取其它措施来限制网络接入:严格来讲,大多数网络设备都是某种数据管道。尽管某些设备确实安装了防火墙和路由功能,但其实很多只是提供了一个数据通道。如果在主要无线网络设备的有线侧安装硬件防火墙,这样就可以为网络提供保护,因为当有些人接入无线网络、或者远程接入有线网络时,它可以提供额外的保护层。
■ 执行严格的密码和移动存储政策:任何无线系统的完整性,都会随着其保护政策的增强而增强。强密码的实施需求(不要使用“password”,系统默认密码或者你家小狗的名字作为你的密码),要求周期性地修改密码,并且严格限制对网络设备物理端信息口的获取。
■ IT部门和工厂部门之间的良好沟通:由于设备相互连接,这样也就使得工厂车间和IT部门也就有了联系。两个部门之间的定时沟通,彼此之间就能相互了解在各自领域正在发生的事情,这样两个部门就可以更顺利的集成在一起。举个例子:如果工厂车间想要在库房安装一个Wi-Fi系统,IT部门就可以提供能够使用的通讯频道,从而确保通信尽可能的可靠。还有非常重要的一点是,人员发生变动时,也需要及时沟通。如果员工离开公司,非常关键的一点就是要尽快更改网络密码,以避免从公司外部非法登录。
工业网络遭到破坏的后果包括停机、生产暂停、环境问题,甚至对工厂的形象造成损坏。花费一定的时间,来考虑多种选择,最后制定决策,尽可能的确保网络的安全,这一点非常重要。大多数生产制造商提供培训、技术支持以及无线产品的白皮书等等,从而可以对现有的安全选项进行评估。现在,是时候采取确保工业网络安全的措施来应对下次攻击。
“一个无线网络,即使具有最高等级的加密和授权,它仍可能是不安全的,所以对整个网络采用纵深防御措施,无论是有线还是无线都是大有裨益的。”
“一个无线网络,即使具有最高等级的加密和授权,它仍可能是不安全的,所以对整个网络采用纵深防御措施,无论是有线还是无线都是大有裨益的。”(作者:Justin Shade)