Nâng cao tính bảo mật cho các hệ thống mạng công nghiệp

Theo xu thế công nghệ hiện nay, hiển nhiên rằng IoT công nghiệp đang ngày càng phát triển, giúp kết nối ngày càng nhiều các thiết bị vào hệ thống mạng một cách dễ dàng. Xu hướng này bắt nguồn từ nhu cầu mạnh mẽ của người sử dụng nhằm nâng cao hiệu quả vận hành. Tuy nhiên hiệu quả vận hành không phải là vấn đề duy nhất, người sử dụng phải chú trọng tới các nguy cơ bảo mật từ các cuộc tấn công mạng.

1

Thống kê tỷ trọng các cuộc tấn công mạng của các lĩnh vực

Mọi thiết bị được lắp đặt trong hệ thống mạng đều tạo ra một lỗ hổng tiềm tàng mà những tin tặc có thể tận dụng để tấn công vào toàn bộ hệ thống mạng. Do đó vấn đề an ninh mạng là một vấn đề rất quan trọng, tới mức các công ty thậm chí là các chính phủ đã bắt đầu chú trọng tới vấn đề này. Tháng 07/2016, Nghị viện Châu Âu đã công bố tài liệu hướng dẫn ngăn chặn các cuộc tấn công mạng. Những người sử dụng thiết bị đã kết hợp với nhu cầu của họ về các giải pháp an ninh mạng cho phép họ triển khai các hệ thống mạng và thiết bị bảo mật cho các ứng dụng công nghiệp.

Tiêu chuẩn IEC 62443 là gì ?

Tiêu chuẩn IEC 62443 không ngừng được phát triển để cung cấp các hướng dẫn bảo mật được cập nhật và danh sách các quy trình kỹ thuật tốt nhất cho các phần khác nhau của một hệ thống mạng. Nó cũng bao gồm các thông tin cho những người có những trách nhiệm khác nhau trong mạng nhằm bảo vệ để trước các lỗ hổng bảo mật đã được phát hiện và các cuộc tấn bất minh. Mục tiêu của tiêu chuẩn là giúp cải thiện sự an toàn của các hệ thống mạng và bổ sung các thiết lập bảo mật cho tự động hóa và điều khiển công nghiệp. Hiện nay, nhiều nhà tích hợp hệ thống (SI) yêu cầu các nhà cung cấp thiết bị hợp thành cần đáp ứng mục IEC 62443-4-2 của IEC 62443, tiêu chuẩn liên quan trực tiếp đến việc bảo mật các thiết bị đầu cuối. Các tiểu mục được biên soạn từ những yêu cầu cơ bản, bao gồm kiểm soát nhận dạng và xác thực, kiểm soát người dùng, tính bảo mật và toàn vẹn của dữ liệu, cũng như sao lưu các tài nguyên dữ liệu sẵn có.

Sự cần thiết của tiêu chuẩn IEC 62443

Hiểu rõ các nguy cơ bảo mật

Dựa trên các quan điểm chung của các chuyên gia bảo mật, có thể liệt kê ra 6 vấn đề an ninh mạng có thể ảnh hưởng đến các mạng nội bộ như sau: truy cập trái phép, truyền dẫn dữ liệu không được bảo mật, không mã hóa các dữ liệu quan trọng, các bản ghi sự kiện không đầy đủ, lỗ hổng trong giám bảo mật, và lỗi cài đặt của người dùng. Điều quan trọng nhất là các nhà quản trị mạng phải hiểu được các vấn đề này để họ có thể triển khai các thiết bị có đầy đủ các tính năng bảo mật và đảm bảo rằng hệ thống của họ được an toàn khỏi các mối đe dọa nội bộ và bên ngoài. Cần lưu ý một số tình huống có thể xảy ra những rủi ro bảo mật và một số các tùy chọn có sẵn cho các nhà quản trị mạng có thể đối phó với mối đe dọa đến hệ thống mạng của họ.

Bước đầu tiên để ngăn chặn những truy cập trái phép vào hệ thống mạng đó là sử dụng mật khẩu. Trong khi mật khẩu chỉ có hiệu quả ở một mức độ nhất định, cũng như việc gia tăng số lượng người dùng và thiết bị, do đó khả năng mạng bị xâm phạm sẽ xảy ra. Lưu ý rằng một trong những rủi ro lớn nhất đối với an ninh mạng là từ một người dùng chiếm được quyền truy cập trái phép vào hệ thống điều khiển công nghiệp và khai thác hệ thống mạng. Một mật khẩu mạnh chắc chắn là một bước khởi đầu tốt nhằm ngăn chặn  những cuộc tấn công mạng, nhưng cũng có rất nhiều tính năng khác nên được sử dụng kết hợp với một mật khẩu mạnh nhằm gia tăng an ninh mạng.

2

Một quy trình quản lý nhận dạng thường sẽ bao gồm nhiều thông số nhằm gia tăng bảo mật cho hệ thống mạng. Những thông số này sẽ đảm bảo các tài khoản chỉ được sử dụng bởi người dùng đã tạo ra chúng, và người dùng sẽ chỉ được quyền truy cập vào phần hệ thống đã yêu cầu để họ thực hiện đúng công việc của họ. Các thiết bị được triển khai trên mạng cần có tính năng đăng xuất người dùng ra khỏi tài khoản khi họ không được quyền truy cập và thông báo cho người quản trị mạng về bất kỳ sự xâm phạm nào. Điều này sẽ giúp giảm bớt khả năng một ai đó giành được quyền truy cập trái phép vào hệ thống mạng hoặc thiết bị.

Tất cả các thiết bị trên mạng phải hỗ trợ mã hóa và bắt buộc phải mã hóa dữ liệu khi truyền dữ liệu trên mạng. Điều này sẽ loại trừ hầu hết các rủi ro về việc dữ liệu có thể bị đánh cắp trong quá trình truyền dẫn. Tính toàn vẹn của dữ liệu rất quan trọng bởi nó đảm bảo sự chính xác của dữ liệu, và do đó dữ liệu có thể được xử lý và khôi phục lấy lại một cách tin cậy và an toàn khi cần. Khi tính toàn vẹn của dữ liệu không được đảm bảo, các quản trị viên hệ thống không thể xác định được là dữ liệu có chính xác hay không. Khi kịch bản này xảy ra, dữ liệu sẽ trở nên vô nghĩa với các quản trị viên vốn đòi hỏi sự chính xác của dữ liệu. Điều đáng lo hơn là khi các dữ liệu bị lợi dụng để cung cấp những thông tin sai lệch, và khiến cho các quản trị viên điều chỉnh các thiết lập hoặc đưa ra những quyết định sai sót làm gia tăng nguy cơ cho hệ thống mạng.

3

Cũng như các dữ liệu được thu thập từ thiết bị, các dữ liệu khác được lưu trữ trên mạng IIoT là dữ liệu cấu hình. Cấu hình của các thiết bị mạng trong mạng điều khiển công nghiệp là rất quan trọng. Nếu các dữ liệu cấu hình không chính xác, hoặc sai lệch, nó có thể làm hệ thống mạng tê liệt. Để giảm thiếu nguy cơ sai lệch dữ liệu cấu hình, các thiết bị phải được hỗ trợ và bắt buộc phải mã hóa dữ liệu cấu hình.

Hệ thống mạng phải được theo dõi liên tục và mọi sự kiện xảy ra trên mạng phải được ghi lại để phân tích khi cần thiết. Mặc dù một phải giải pháp bảo mật có thể được áp dụng để ngăn chặn các cuộc tấn công mạng, tuy nhiên trong trường hợp nếu một cuộc tấn công đã thành công, sẽ rất khó khăn để xác định được thời điểm chính xác xảy ra. Bằng cách sử dụng các bản ghi dữ liệu, các quản trị viên có khả năng theo dõi các sự kiện xảy ra trước khi xuất hiện sự cố, và sau đó sẽ phân tích dữ liệu. Điều này cho phép các quản trị viên hệ thống có thể xác định vấn đề một cách chính xác. Họ cũng có thể sử dụng những thông tin có ích từ các bản ghi sự kiện nhằm cải thiện thiết kế và bảo mật của các hệ thống mạng, và giúp hệ thống mạng tránh được các sự cố trong tương lai. Các biện pháp an ninh khác bao gồm tính năng năng đăng xuất, xóa tài khoản và khởi động lại thiết bị

4

 

Phần mềm hiển trị trạng thái bảo mật của hệ thống mạng cho phép quản trị viên giám sát bất kỳ hoạt động bất thường và tiềm ẩn nguy cơ phá hoại nào tác động tới hệ thống mạng. Ngoài ra, dạng phần mềm này có thể hỗ trợ quản trị viên ngăn chặn các nguy cơ trước khi nó xảy ra, bằng cách cho phép quản trị viên thiết lập cấu hình chính xác cho từng thiết bị mạng một cách nhanh chóng. Nếu một thiết bị không đáp ứng tiêu chuẩn bảo mật, quản trị viên có thể xác định vấn đề nhằm giảm thiểu các nguy cơ xuất hiện từ những lỗ hổng bảo mật. Các tính năng bảo mật đặc trưng bao gồm chương trình mật khẩu, mã hóa, thông tin đăng nhập cũng như tính toàn vẹn của dữ liệu.

Lỗi do con người thường xuất hiện khi quản trị viên vô tình cài đặt sai một số thiết lập. Điều nay có khả năng gây ra một loạt các vấn đề nghiêm trọng, như sự vận hành không chuẩn xác của hệ thống mạng, thất thoát dữ liệu, hoặc thậm chí tạo ra những lỗ hổng nghiêm trọng cho tin tặc có thể khai thác. Khi bị cấu hình sai, hệ thống mạng có thể bị xâm nhập từ nội bộ hoặc bên ngoài bởi những kẻ tấn công giành được quyền truy cập trái phép. Đối với các cuộc tấn công xảy ra lỗi con người, quản trị viên thường không phát hiện ra hệ thống mạng đã bị xâm nhập trong một khoảng thời gian trước khi lỗ hổng xuất hiện, khiến hệ thống mạng bị hư hại nặng. Những cuộc tấn công mạng gây ra bởi lỗi con người là cách thức phổ biến nhất mà các hệ thống mạng bị xâm phạm, bởi vậy cần đặc biệt quan tâm đến việc đưa ra phương pháp để ngăn chặn các cuộc tấn công kiểu này.

Giải pháp của Moxa

Có một nguyên nhân chung dẫn tới sau nguy cơ bảo mật trên, dẫn tới các quản trị viên hệ thống mất khả năng kiểm soát và quản lý mạng. Moxa, cùng với nhiều chuyên gia bảo mật khác trong ngành tự động hóa công nghiệp, tin tưởng mạnh mẽ rằng cách tốt nhất để bảo vệ an ninh tổng thể của hệ thống mạng là bắt đầu với việc đảm bảo sự an toàn của các thiết bị switch cũng như các giải pháp kết nối serial tới Ethernet. Để đối phó với các mối nguy cơ bảo của với quản trị viên hệ thống mạng, Moxa đã bắt đầu phát triển các giải pháp đáp ứng các yêu cầu kỹ thuật bảo mật theo tiêu chuẩn IEC 62443-4-2 cấp 2.

  • Các bộ switch Ethernet công nghiệp của Moxa gồm firmware Turbo Pack 3 mới để đáp ứng các yêu cầu về công nghệ bảo mật của tiêu chuẩn IEC 62443-4-2 cấp 2, và cũng hỗ trợ xác thực địa chỉ MAC và RADIUS.
  • Kết nối Serial-to-Ethernet: các terminal servers công nghiệp bảo mật, dòng sản phẩm NPort, và các bộ switch Ethernet, dòng sản phẩm Mgate.
  • Phần mềm quản lý công nghiệp của Moxa, MXstudio bao gồm các chức năng mới cho phép người dùng trực quan hóa trạng thái bảo mật hệ thống nhằm theo dõi các sự kiện, và thực hiện cấu hình hàng loạt.

Nếu các tính năng bảo mật được nêu trong bài viết này được triển khai trên hệ thống mạng, và các quy trình bảo mật được thực hiện một cách chính xác, nó sẽ làm giảm đáng kể các nguy cơ an ninh nội bộ và bên ngoài.

Một số sản phẩm tham khảo:

    
           MXstudio    EDS-G508E/EDS-G512E/EDS-G516E Series      Nport 6000 Series         Mgate 5190 Series

Ứng dụng liên quan

backtotop
nng-cao-tnh-bo-mt-cho-cc-h-thng-mng-cng-nghip-safenergy-i-din-moxa-ti-vit-nam