今日頭條
官方微信
官方抖音
案例頻道
生產和辦公環境的日益網絡化,使得業務流程效率日益提高。 因此,生產部門和IT部門的負責人需要同時確保各自系統的安全性和可用性。例如,控制生產機器人程序的工業計算機,必須防止病毒、蠕蟲以及來自網絡的其他攻擊——高危目標。在這一過程中,他們往往忽略來自系統外部的危險,而這些危險其實如同內部風險一樣巨大。 例如,對工業機器人進行維護期時,中央工業計算機經常會在無意間感染來自維修技術人員筆記本電腦的“惡意代碼”。所導致的損害可能非常巨大。
“切勿觸碰運行系統”
相比其他行業,這種有點陳舊的IT智慧再沒有比在工業生產環境下更一致地得到傳承。這是因為每次更新、升級或補丁都會影響計算機的功能,并且常常導致意料不到甚至令人煩惱的事情。因此,在修改機器人、控制計算機用軟件,特別是中央計算機所用軟件之前,必須首先在試驗環境下進行一系列的綜合試驗。這是一個復雜費時且代價不菲的過程,應盡可能地予以避免。然而,隨著公司范圍內聯通性的提高,需要考慮一些非常重要的安全因素。
另外一個問題由所謂的驗證系統造成。在這一方面,對硬件和軟件的修改只能在考慮到嚴格的規則后才能進行。 例如,此類系統通常應用于醫藥行業。使用軟件或硬件更新,幾乎不可能關閉這一方面的安全漏洞。盡管如此,要確保系統可靠,最重要的便是以一種經濟的方式對其提供防護,但這仍然是項極大的挑戰。
專有或標準:防爆安全問題
許多工業計算機運行的是專有操作系統,特別是那些有點老舊的計算機。人們常認為這些計算機比較安全,因為操作人員認為黑客沒有興趣將“惡意代碼”植入這些少數系統中。因此,系統中的一些安全漏洞常常不為人所知。另外,也很少有人想過如何屏蔽攻擊。也沒有人知道這些專業性的操作系統該如何應對現今流行的眾多病毒、蠕蟲或特洛伊木馬。同時,隨著公司范圍內聯網性不斷提高,這些系統極易遭受威脅。
目前,還有許多使用老舊處理器技術(即Intel 386或 486)和老版本操作系統的工業計算機系統。其的確具備某些優勢,例如運行時不用風扇,形式緊湊,而且系統運行穩健,可靠性高。但同時也存在些許弊端,其中最嚴重的問題便是由于升級和基于軟件的安全解決方案造成的性能下降。
現在,較新的生產機器通常運行是的像Windows、以太網、TCP/IP和HTTP等標準。但正是由于這些原因,此類系統才更容易遭受來自網絡的安全威脅。Windows程序存在的安全漏洞就是很好的證明,微軟公司已經發布了不少補丁程序,即使是最新的操作系統Windows XP也是如此,這表明牽扯到安全漏洞和高等級安全風險。另外,恐怕我們不會忘記:“切勿觸撞運行系統”。結果是:利用各種標準曾被視為優勢的內容事實證明卻是嚴重的弊端,這是因為在工業環境下實施補丁程序是一個復雜精細的過程。此外,較老的操作系統如Windows 95、Windows 98或Windows NT4都不再得到微軟支持。
為什么傳統的安全技術沒什么用處
如今,能結合工業計算機使用的安全技術可謂多種多樣。但是幾乎所有的安全技術,不論是基于硬件還是基于軟件,都有一個相同的缺陷:要實現這些技術的話,必須對系統進行改動。而且這也正是工業環境下應不惜一切代價予以避免的問題。
對于基于硬件的系統(如路由器、橋接器)而言,其缺點便是往往可通過其網絡IP地址被予以識別– 因此,很容易受到攻擊。特別是在許多系統中,為了讓數據傳輸不成問題,標準端口通常是開放的。
然而遺憾的是,基于軟件的解決方案(如私人防火墻和防病毒軟件)還存在其他方面的限制:也就是說,由于不兼容,它們無法在某些專有操作系統上運行。它們通常不能集成到使用老的處理器技術的系統中,因為這些解決方案缺少必要的性能。屏蔽病毒攻擊需要處理器大量性能,以至于系統可能癱瘓。更別提那些需要經常更新的軟件,否則,病毒會通過新發現的安全漏洞不斷輕易攻擊操作系統。 另外,這些更新程序比較復雜,需要大量的人力和財力。
mGuard保護工業計算機而不干擾系統
安全技術其他形式的缺陷要求對工業系統進行修改,但現在通過使用菲尼克斯電氣的mGuard產品,就可以簡單、可靠、經濟地得以解決。對mGuard而言,零部件始終兼容。 它們既不需要對計算機配置進行修改,也不需要定期進行軟件更新。此外,它們可獨立于所采用的處理器技術和操作系統之外運行。
安全等級最高,不依賴網絡
不管使用什么零件來保護網絡免遭“外部”攻擊,但公司內部本身就存在相當多的潛在危險。這些危險包括不知不覺通過員工混入的病毒,乃至蓄意的間諜活動和破壞活動。如果說病毒造成的郵件服務器死機相當致命,那么對中央計算機的攻擊則極具災難性。此時,中央計算機和生產機器人的功能會受到限制,乃至讓整個生產陷于癱瘓。
您可以通過mGuard技術為包括中央計算機、控制計算機、生產機器人、自身安全部件在內的各個工業系統賦予各種安全等級、具體的訪問權和眾多其他獨特的好處,可利用菲尼克斯電氣安全配置管理器技術實現簡單集中式管理。
輕松集成,快速安裝
mGuard平臺是一個獨立的系統,它可以利用網線直接集成在工業計算機內,然后接至計算機,或者如果需要的話,作為PCI卡集成。對于集成到19英寸機箱系統的工業計算機而言,菲尼克斯電氣提供帶冗余電源的mGuard bladePack技術。 使用mGuard bladePack技術,可單獨保護高達12臺計算機,在熱備份模式下則可以保護高達六臺計算機。 此外,菲尼克斯電氣提供專門設計在基于導軌安裝方式工業環境下使用的mGuard 工業版。這兩種系統的實現同樣簡單快速,兩者的功能和運行性能也絕對相同。
不管您選擇的何種mGuard系統,計算機系統都無需重新配置,也不必增設驅動器設備或其他軟件。另外,操作系統無需使用安全補丁進行更新。這樣就能在提供最高級別永久性安全的同時節省時間和金錢。
mGuard的主要功能
來自菲尼克斯電氣“設備固有安全”解決方案的mGuard技術集所有功能于一身,能可靠保護IP連接,如用于系統的遠程管理:
■ VPN確保使用公用網絡進行的數據傳輸安全(基于硬件的DES、3DES和AES加密技術,IPsec協議);
■ 可配置的防火墻保護系統免于“外部”的未授權訪問。包過濾器根據源發地址和目標地址對數據包進行過濾,并阻止來自“外部”的不需要的數據流;
■ 集成式選配Kaspersky病毒防護技術支持HTTP、SMTP和POP3協議(建議只用于企業版和企業XL版)。病毒防護機制在mGuard上運行,從而確保系統的安全性得到增強,性能更高。
Innominae 隱藏模式下無懈可擊
來自菲尼克斯電氣的“設備固有安全”mGuard系統具有獨一無二的菲尼克斯電氣隱藏模式,可以讓設備絕對透明地工作,無需自己的IP地址。由于mGuard使用與其所保護計算機相同的IP地址,因此入侵者無法識別,從而使其無懈可擊。另外,它還有一種優勢,那就是 mGuard基于自動識別計算機IP地址而實現,且自動IP識別只需數秒時間。這具有決定性意義,特別是在對生產停頓時間具有極具嚴格要求的工業環境中更為如此。
對VPN和防火墻的最高數據流量
集成化安全解決方案的基礎是菲尼克斯電氣提供的嵌入式Linux系統,在專用網絡處理器上運行,處理器具備英特爾XScale內核(IXP 42x),處理能力高達533MHz,具備64兆SDRAM工作內存和16兆閃存。 英特爾處理器具備基于硬件的DES、3DES和AES加密技術。這樣就保證了對防火墻(最高99兆位/秒)和VPN(最高70兆位/秒)的最高數據流量。VPN連接也可以在隱身模式下快速可靠地建立。
概述:
■ “設備固有安全”系統:不依賴所使用的硬件平臺和操作系統;
■ 集成最簡單:無需改動系統,安裝驅動,從不需要更新;
■ 使用透明的菲尼克斯電氣隱身模式時,實現無反作用的網絡集成;
■ 使用基于硬件的加密技術,實現對高速VPN/防火墻的最高數據流量;
■ 基于Kaspersky技術(選配)的防病毒解決方案非常高效;
■ LAN/WAN網內可與其他標準安全解決方案(Ipsec)完全互操作;
■ 可完全集成到中央管理環境中(SNMP);
■ 使用菲尼克斯電氣安全配置管理器(選配),通過拖放操作可方便地實現公司范圍內對所有安全設備的配置。
方便集成和管理
mGuard設備的配置、展開和管理由菲尼克斯電氣安全配置管理器集中支持,該管理器以Solsoft策略服務器經過測試論證、基于規則的技術為基礎。使用圖形化網絡模型,可快速方便地對多個mGuard系統進行安全調整。界定的規則會被自動驗證。 防火墻規則、VPN配置和NAT設置被直接加載到所有設備上,并立即被激活。此外,mGuard設備之間的VPN連接,任兩者之間的VPN連接,以及與其他生產商網關的VPN連接,都能得到建立和管理。所有內容方便地顯示在圖形化界面上,通過鼠標實現輕松操作。
過去由于配置單個系統而造成的復雜、費時且易錯的過程,采用菲尼克斯電氣安全配置管理器之后,現在變得快速無缺陷。其最大優勢便是:大幅度降低了運營費用和勞動力成本。
北京市公安局海淀分局備案號:11010802023656號