IDS/IPS助阵 进阶控管产业网络资讯安全

作者：新汉电脑股份有限公司

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 前言： 回顾以往，仅有企业区域网络(LAN)管理者，需费心思索资讯安全防御，至于产业机台、装置因不具连线能力，或采用封闭式网络，因此多无资讯安全顾虑。然今随着各行各业纷纷走向IP通讯化、物联网化，导致资讯安全威胁骤增，如何为产业网络做好资讯安全风险管控已是不容忽视的重要课题。 随着工业4.0、智慧工厂或工业物联网等趋势浪潮席卷，过去大量“与世隔绝”的机台设备，开始向IP通讯靠拢。新汉网络通讯事业群协理刘宏益指出，因远端监控与预防保养需求，制造业者串联工控网络与网际网络，让资讯安全风险急剧增高。 又例如医疗产业希望藉于移动、远距医疗照护，提高服务水准的同时，亦需将资料安全纳入考量，确保病患隐私。各产业已开始留意资讯安全议題，着手导入产业防火墙，一来确保远端连线安全，二来顺势扼阻可疑的资讯交换。 IDS/IPS智能分析 与防火墙相辅相成 防火墙是发展历程超过20年的老技术，它仅能依据IP 或MAC位址等基本资讯，简单比对来者是否名列黑名单，如果是便加以阻拦，如果不是就予以放行；恶意人士相当娴熟防火墙运作原理，也不断研究如何以正常外表包覆恶意软体的方式，借此蒙混过关。故针对防火墙日志(Log)再做进一步检查与分析，补防火墙之不足，方能阻止有心人士乘虚而入。 例如整合具有入侵侦测／防御(IDS/IPS)进阶功能的资讯安全设备，借助智能控制与比对引擎，自动滤除掉防火墙难以辨识的恶意封包，甚至还能结合产业用特殊协定或惯性行为模式比对，进一步阻断可疑连线，使其无法潜入产业网络与位于网络底层的终端设备。 分散式架构严控资讯安全风险 防制灾情、遏制扩散 企业网络将安全机制集中部署在网络出口，即为內外资料进出的闸道，但产业网络的重点保护对象是机台、装置，故应将资讯安全设备分散部署在产业网络下每个子网域的出入口，就近提供防护。如此一来，即使某个子网域中已有机台受到恶意软体感染，但当恶意软体隐藏在资讯中企图潜越，IDS/IPS一经察觉问题资讯，即可丟弃封包、或切断该网络对外连线，进而将恶意软体限缩在子网域內，不致让病毒扩散至整个产业网络。 曾有制造业主管透露，过去一些跳电或故障停机事件，乍看之下似有合理解释，但若深入剖析，会发现机台中毒恐怕才是问题症结。对于高度倚重生产线持续高效率运作的制造业者而言，病毒或恶意程式引发的机台设备故障，轻则造成生产作业短暂中断、影响产能，重则酿成制程报废、原物料尽付东流，乃至于冲击交期，损失可谓不轻。 有鉴于此，新汉推出的产业型防火墙，兼具VPN、防火墙与IDS/IPS功能，提供整合型防御措施，一次解決产业网络的各种安全威胁。刘宏益表示，新汉提供的IDS/IPS引擎，拥有丰富的特征资料库可供比对，可以透过日志分析、安全性资讯和事件管理(SIEM)关联分析等途径，深入挖掘出埋藏在正常表象之中的异常程式或档案。且即便工厂內部的机台采用浮动IP，搭配虚拟私有网络(VPN)穿透层层限制，总部仍能在远端监看现场。 当业者励精图治，借由设备走向IP通讯化、物联网化来提升管理、营运效率的同时，对于产业网络的资讯安全风险也不能等闲视之。故应导入VPN、防火墙与IDS/IPS等整合式防御机制，将病毒、恶意程式屏蔽在产业网络外，借以保护位于产业网络底层的终端装置，消弥干扰机台设备正常运作的潜在风险，更可防堵骇客入侵，杜绝机密智财、隐私外泄。(end)

文章内容仅供参考 (投稿) (10/21/2015)