An ninh mạng: mạng S.M.A.R.T từ nhà tới nơi làm việc

Cuộc đại dịch gần đây đã thay đổi các cách thức tương tác thường ngày một cách mãnh liệt, biến các hoạt động trực tiếp trở nên xa vời, thế nhưng các cuộc gặp dựa trên nền tảng số đã trở thành trung tâm giải quyết vấn đề này. Từ việc phải làm việc từ xa đến giãn cách xã hội, các ngành công nghiệp đang thích nghi nhanh chóng với trạng thái bình thường mới. Các nhà máy cũng không ngoại lệ và hiện đang thích ứng với những nhu cầu thiết yếu mới sau sự bùng nổ của COVID-19. Dưới đây là hai ví dụ về thay đổi trong các nhà máy hoạt động riêng lẻ.

• Tăng tốc chuyển dịch sang tự động hóa: Các nhà máy dựa vào nhân công để hoạt động đang tăng tốc để chuyển dịch sang dây chuyền lắp ráp tự động với muc tiêu để giảm bớt tác động của đại dịch, do người lao động không thể đến nhà máy. Tuy nhiên, hệ thống tự động hóa yêu cầu nhiều hơn nữa các thiết bị được kết nối với Internet, và vì thế rủi ro bởi các cuộc tấn công vào hệ thống an ninh mạng tăng lên rất nhiều.
• Mở rộng quy mô bảo mật thông tin: Trước đây, tất cả các thiết bị phục vụ sản xuất và nhân viên đều làm việc gói gọn trong khuôn khổ nhà máy, nhưng ngày nay các nhà máy được vận hành từ xa. Khi mọi người bắt đầu làm việc từ xa, hệ thống bảo mật cho nhà máy cần phải được mở rộng để bảo vệ các thiết bị, vì những thiết bị này rất dễ bị tấn công mạng khi kết nối vào Internet.

Giải quyết các rủi ro này, Jesse Ku, một chuyên gia về bảo mật cho các hệ thống điều khiển trong công nghiệp làm việc tại Moxa, trước đó cũng đã làm việc cho hệ thống an ninh quốc gia, và đã được chứng nhận IEC 62443. Anh đưa ra 5 điểm “S.M.A.R.T” cho chiến lược an toàn thông tin:

• Kiểm tra tất cả những thứ bạn muốn bảo vệ (Scan what you want to secure): Trong lĩnh vực bảo mật, phương thức thông dụng nhất để năng cao bảo mật là năng cao hiệu quả bảo vệ. Bằng cách thưởng xuyên quét máy tính và thiết bị sản xuất trong nhà máy với phần mềm diệt virus để loại mã độc, phần mềm độc hại, nguy cơ về dừng hoạt động không mong muốn có thể giảm đáng kể. Làm việc từ xa ngày càng phổ biến trong lĩnh vực sản xuất, tuyến phòng thủ đầu tiên này phải được mở rộng để bao phủ bất kỳ thiết bị nào được sử dụng từ xa.
• Quản lý kiến trúc bảo mật (Manage security architecture): Điều cần thiết là các mạng trong nhà máy phải ổn định và dễ quản lý. Khái niệm bảo vệ theo chiều sâu được yêu thích bởi các chuyên gia an toàn thông tin, nó hỗ trợ nhiều giao thức bảo vệ đa lớp, thường bị bỏ qua do tính phức tạp của nó. Tuy nhiên, các nhà máy bắt đầu đầu tư mạnh vào tự động hóa, quản lý bảo mật, ví dụ như các mạng phân đoạn thường liên quan đến việc thiết lập giữa Firewall và thiết bị tự động hóa, trung tâm quản lý, trở nên cần thiết. Trong yêu cầu gia tăng bảo mật của bất kỳ thiết bị thông tin nào, các giao thức của chúng nên được thực hiện nhanh chóng.
• Tăng tốc việc vá lỗi (Accelerate patching): Trước đây, có hai nguyên tắc chỉ đạo chính để vận hành nhà máy: đảm bảo an toàn cho con người và duy trì sản xuất ổn định. Và không may, các bản cập nhật phần mềm do các nhà sản xuất thiết bị cung cấp thường bị bỏ qua nếu thiết bị sản xuất vẫn hoạt động. Sự giám sát này trong việc vá lỗi bảo mật có thể gây ra hậu quả thảm khốc vì phần mềm vẫn dễ bị tấn công và cho phép vi phạm an ninh mạng. Theo một báo cáo của Trend Micro [1], kể từ năm 2014, các vi phạm an ninh mạng liên quan đến cách thức lưu trữ thông tin trong thiết bị điều khiển công nghiệp đã gia tăng đáng kể. Điều quan trọng là phải luôn ghi nhớ rằng các lỗ hổng phần mềm có thể gây ra hậu quả nghiêm trọng nếu chúng không được xử lý ngay lập tức.
• Bảo mật kiểm soát từ xa (Remote control security): Khi làm việc tại nhà trở nên bình thường, việc kết nối từ xa máy tính gia đình với máy chủ của công ty diễn ra thường xuyên. Tuy nhiên, điều này gây ra những lo ngại đáng kể về an ninh mạng. Do đó, các cơ chế xác thực và bảo mật kết nối, chẳng hạn như ủy quyền đa yếu tố (MFA- multi-factor authorization) và xác thực người dùng, nên được triển khai để giảm đáng kể nguy cơ tấn công mạng
• Hướng dẫn mọi người (Teach everyone): Mạng an toàn nhất đòi hỏi sự tham gia của mỗi cá nhân truy cập mạng. Bằng cách đào tạo mọi người về tầm quan trọng của an ninh mạng thông qua các khóa đào tạo thích hợp, lý do đằng sau các quyết định và những thay đổi liên quan đối với các giao thức, sẽ làm tăng cơ hội thành công của chính sách bảo mật. Hơn nữa, được trang bị với sự hiểu biết đầy đủ về những thay đổi sắp tới, nhân viên có thể thích ứng một cách trơn tru với khuôn khổ và quy định bảo mật mới.

Khi các công nghệ tự động hóa tiếp tục được cải thiện, bất kỳ thiết bị mạng OT cũ nào sẽ trở thành gánh nặng hơn vì thiết bị này dễ bị tấn công bởi các lỗ hổng bảo mật hơn nhiều. Thật không may, những lỗ hổng bảo mật này cùng với việc thiếu đào tạo về bảo mật cho nhân viên nhà máy đã khiến các nhà máy dễ bị tấn công bởi mã độc. Vào tháng 6 năm 2020, một máy chủ của nhà sản xuất ô tô Honda, đã bị tấn công mạng. Cuộc tấn công đã đóng cửa nhiều nhà máy của công ty đặt tại các quốc gia khác nhau. Hàng nghìn nhân viên đã phải về nhà và chờ hệ thống hoạt động trở lại. Một ví dụ khác là Norsk Hydro, công ty hàng đầu toàn cầu về sản xuất nhôm, cũng bị tấn công bằng phần mềm độc hại vào năm 2019, dẫn đến việc chuyển đổi khẩn cấp từ hoạt động tự động sang thủ công tại dây chuyền sản xuất chính. Norsk Hydro đã mất hơn một tuần để hoạt động sản xuất của họ trở lại công suất bình thường, gây thiệt hại ước tính hơn 75 triệu USD. Khi các nhà máy dần trở nên tự động hơn và thông minh hơn, điều cần thiết là phải thực hiện xem xét cẩn thận chiến lược bảo mật hiện tại của họ. Đại dịch đã thay đổi không chỉ các chuẩn mực xã hội của chúng ta mà còn cả cách chúng ta làm việc. Khi làm việc từ xa trở thành tiêu chuẩn mới, tương lai của an ninh mạng sẽ là biên giới mới và quan trọng đối với mọi nhà quản lý của một nhà máy thông minh. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/cybersecurity-get-smart-from-home-to-the-workplace

Các phương pháp tối ưu giúp Tăng cường an ninh mạng công nghiệp – Hệ thống lưu trữ năng lượng

Ngày càng có nhiều sự cố an ninh mạng tương tự nhau xảy ra trong các hệ thống OT (Operation Technology), chủ doanh nghiệp và các cơ quan quản lý muốn tìm kiếm các giải pháp tăng cường an ninh mạng công nghiệp đảm bảo các hoạt động của doanh nghiệp diễn ra ổn định. Trong các bài viết trước, chúng tôi đã giới thiệu về khái niệm bảo vệ chuyên sâu cho phép bạn tận dụng cơ sở hạ tầng mạng hiện có và đầu tư để xây dựng các bước đầu tiên trong hệ thống an ninh mạng của bạn. Trong bài viết này, chúng tôi sẽ chia sẻ các phương pháp tốt nhất, mà trong đó chúng tôi đã phối hợp tích cực với các khách hàng toàn cầu của mình, để đảm an toàn cho cơ sở hạ tầng quan trọng của họ – hệ thống lưu trữ năng lượng cho lĩnh vực năng lượng tái tạo.

Khi nói đến năng lượng tái tạo, chúng ta thường nghĩ đến các trang trại năng lượng mặt trời hoặc gió mang lại điện sạch hơn cho người sử dụng. Đây là một sáng kiến tuyệt vời tiếp tục thúc đẩy nền kinh tế toàn cầu trong khi giảm lượng khí thải carbon dioxide. Cả lĩnh vực công và tư nhân đều đang nghiên cứu cùng nhau để hướng tới tương lai lành mạnh này. Tuy nhiên, một trong những bất cập của năng lượng tái tạo là khó khăn trong việc kết nối cung với cầu. Mặt trời không phải lúc nào cũng chiếu sáng khi người tiêu dùng cần điện trong thời gian cao điểm và gió không ngừng thổi trong thời gian thấp điểm. Một trong những cách tốt nhất để ổn định lưới điện và cung cấp nguồn điện ổn định hơn là sử dụng pin có thể lưu trữ năng lượng dư thừa khi nguồn cung cấp cao và có thể xả điện khi nguồn cung cấp thấp.

Những thách thức bảo mật của hệ thống lưu trữ năng lượng

Hệ thống lưu trữ năng lượng (ESS) là gì?

Một hệ thống lưu trữ năng lượng có thể chuyển đổi năng lượng điện được tạo ra thành một dạng có thể được lưu trữ. Một ví dụ phổ biến về lưu trữ năng lượng trong lĩnh vực năng lượng tái tạo là pin có thể tái sạc. Một ESS (Enenergy Storage System) điển hình trong trang trại gió hoặc năng lượng mặt trời bao gồm hệ thống quản lý năng lượng (EMS- Energy Management System) và bộ điều khiển nhà máy điện để giám sát và kiểm soát hoạt động của ESS trong thời gian thực. Bộ điều khiển nhà máy điện tổng hợp dữ liệu được thu thập từ các hệ thống chuyển đổi điện năng (PCS- Power Converstion System) và hệ thống quản lý pin (BMS- Battery Management System). Tất cả các thiết bị được đặt trong các container thường được triển khai trong môi trường khắc nghiệt như sa mạc hoặc Bắc Cực, nơi các nguồn năng lượng tái tạo như ánh sang mặt trời và gió dồi dào.

Sơ đồ: Kịch bản điển hình của một hệ thống lưu trữ năng lượng

Những thách thức bảo mật

ESS, như đã đề cập trước đó, bao gồm nhiều hệ thống để đảm bảo tính ổn định của toàn bộ quá trình lưu trữ và cung cấp điện. Giao tiếp mạng giữa EMS, PCS và BMS cần được bảo vệ khỏi sự truy cập trái phép và bất kỳ hoạt động không mong muốn nào có thể làm gián đoạn hoạt động. Do đó, chúng tôi khuyên bạn nên xem xét các rủi ro bảo mật tiềm ẩn từ hai khía cạnh. Đầu tiên là ranh giới bảo mật mạng tổng thể: quyền truy cập có được xác thực và ủy quyền không, và các lệnh có được gửi như mong đợi không? Hai là bảo mật giao tiếp ở biên: giao tiếp và truy cập của thiết bị có được bảo vệ an toàn không? Các cơ chế bảo mật này cần được thiết kế khi các container được sản xuất tại các địa điểm sản xuất, cho phép toàn bộ hệ thống được phân phối và kết nối hiệu quả với trang trại và lưới điện.

Các phương pháp tốt nhất bảo vệ hệ thống lưu trữ năng lượng

Để đi sâu hơn vào hai quan điểm này, chúng ta sẽ xem xét các trường hợp điển hình sau đây để hiểu các phương pháp có thể bảo vệ cả cho mạng Ethernet và Nối tiếp (Serial) từ biên đến cấp độ mạng truyền thông.

Xây dựng ranh giới bảo mật theo chiều dọc và chiều ngang

Để bảo vệ truyền thông thông tin giữa hệ thống năng lượng tái tạo, bộ điều khiển nhà máy điện, hệ thống chuyển đổi điện và hệ thống trạm biến áp, chúng tôi khuyên bạn nên triển khai trạng thái tường lửa với khả năng kiểm tra gói tin chuyên sâu Modbus (DPI-Deep Packet Inspection).

• Bảo vệ dọc: tường lửa đóng một vai trò quan trọng như một người gác cổng để bảo vệ giao tiếp giữa các hệ thống.
• Bảo vệ ngang: công cụ kiểm tra gói Modbus có thể kiểm tra các lệnh đi qua và loại các gói không được ủy quyền hoặc không được liệt kê.

Sơ đồ: Tường lửa và công cụ kiểm tra gói Modbus xây dựng cả bảo vệ dọc và ngang. Cổng giao thức tạo điều kiện giao tiếp ở biên

Vì các trang trại năng lượng mặt trời hoặc gió thường được đặt ở các khu vực xa xôi, việc triển khai giải pháp tường lửa /NAT /VPN /switch tất cả trong một có tính năng dự phòng mạng, có thể giúp các nhà tích hợp hệ thống thiết kế hiệu quả kiến trúc mạng trước khi hệ thống được đưa vào vận hành tại hiện trường. Chức năng NAT cũng có thể giúp quản lý tính nhất quán của địa chỉ IP cho thiết bị trong mỗi container, giảm bớt sự phức tạp phát sinh từ các địa chỉ IP xung đột.

Tăng cường bảo mật kết nối từ xa cho hệ thống lưu trữ Li-ion

Để truyền thông liên tục và an toàn giữa ESS và trung tâm điều khiển, chúng tôi đề xuất một giải pháp kết nối biên đáng tin cậy được triển khai ở giữa.

• Tạo điều kiện giao tiếp ở biên: triển khai các cổng giao thức giữa pin dựa trên  Modbus Serial và RPU dựa trên Ethernet để đảm bảo giao tiếp liền mạch.
• Bảo mật thông tin liên lạc: tận dụng các tính năng bảo mật như HTTPS, quản lý SNMPv3 và Địa chỉ IP có thể truy cập để đảm bảo giao tiếp và truy cập của thiết bị được bảo vệ an toàn, giảm rủi ro và nâng cao độ tin cậy của thông tin liên lạc từ xa.

Sơ đồ: Tăng cường bảo mật kết nối từ xa ở biên

Để đảm bảo hoạt động trơn tru của ESS, bạn cần chú ý đến một số điều kiện hoạt động. Thông tin như mức pin, độ ổn định nguồn điện và điều kiện môi trường yêu cầu giám sát liên tục từ trung tâm điều khiển. Do đó, một cổng giao thức có các công cụ cấu hình dễ sử dụng có thể giúp các nhà khai thác thu thập dữ liệu từ nhiều loại thiết bị trường nối tiếp(serial-based) và kết hợp nó vào các hệ thống Ethernet (Ethernet-based) một cách trơn tru. Ngoài ra, các cổng giao thức được bảo mật cứng có tính năng bảo mật cùng với hướng dẫn bảo mật cứng (security hardening) từng bước có thể tăng cường bảo mật thiết bị nỗ lực tối thiểu. Moxa đã giúp khách hàng xây dựng các mạng truyền thông an toàn trên toàn thế giới. Tải xuống các Case study để tìm hiểu thêm thông tin.

Kết luận

Hệ thống lưu trữ năng lượng an toàn và tin cậy (ESS) có thể giúp mở rộng công suất điện của ngành năng lượng tái tạo để đáp ứng vấn đề tăng tỷ trọng năng lượng tái tạo và ổn định cung cấp điện. ESS cũng đóng một vai trò quan trọng để duy trì bảo mật của cơ sở hạ tầng quan trọng. Dựa trên toàn bộ hệ sinh thái điện, chúng tôi khuyên bạn nên bảo mật mạng và thông tin liên lạc bằng cách xác định ranh giới an ninh mạng để xác định ai có thể truy cập mạng và thông tin cách họ có thể xâm nhập vào mạng đó. Ngoài ra, để nâng cao độ tin cậy của hệ thống quản lý và lưu trữ điện, bắt buộc phải đảm bảo tính bảo mật của thông tin liên lạc giữa các thiết bị kết nối pin và cảm biến bên trong các container. Các dòng sản phẩm chuyển đổi giao thức MGate cung cấp nhiều tùy chọn chuyển đổi giao thức cho các ứng dụng ESS. Các thiết bị chuyển đổi giao thức của Moxa được thiết kế dựa trên tiêu chuẩn IEC 62443 để tăng cường bảo mật thiết bị và kết nối của bạn khi bạn kết nối dữ liệu trường quan trọng với mạng IP. Ngoài ra, các thiết bị chuyển đổi giao thức MGate của có các công cụ khắc phục sự cố và dễ cấu hình, cài đặt, giúp đơn giản hóa việc triển khai thiết bị và giúp bảo trì dễ dàng hơn cho các kỹ sư. Các bộ định tuyến công nghiệp dòng EDR-G9010 giúp tăng cường an ninh mạng không chỉ hình thành bảo vệ biên mà còn ngăn chặn sự di chuyển ngang của lưu lượng truy cập độc hại hoặc trái phép. Với công cụ kiểm tra gói tin chuyên sâu, dòng router/firewall EDR-G9010 có thể nhận diện các giao thức công nghiệp như Modbus TCP/UDP, DNP3 để bảo vệ truyền thông giữa ESS và trạm biến áp. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/best-practices-enhance-industrial-cybersecurity-engergy-storage-system

Hai nguyên tắc cơ bản giúp đưa ra các quyết định tối ưu cho an ninh mạng truyền thông công nghiệp

Quản lý an ninh mạng hiệu quả là điều bắt buộc đối với tất cả các tổ chức. Có nhiều tiêu chuẩn và hướng dẫn có sẵn cho các tổ chức tham khảo để xây dựng hệ thống theo sự phát triển công nghệ. Trong bài viết này, chúng tôi sẽ giới thiệu các hạng mục hành động cụ thể dựa trên các khuôn khổ và tiêu chuẩn được xác định rõ khi xây dựng hệ thống quản lý an ninh mạng cho ICS (hệ thống điều khiển công nghiệp) của doanh nghiệp. Thực hiện phương pháp tiếp cận chuyên sâu về an ninh bảo mật để xây dựng mạng truyền thông và lựa chọn các giải pháp bảo mật theo thiết kế từ các nhà cung cấp đáng tin cậy có thể giúp đơn giản hóa quy trình ra quyết định về an ninh mạng của ICS.

Các yếu tố chính của Hệ thống quản lý an ninh mạng

Để hiểu các yếu tố chính của hệ thống quản lý an ninh mạng (CSMS), chúng ta có thể xem xét sâu hơn một trong những tiêu chuẩn ngành được xác định rõ ràng, loạt tiêu chuẩn IEC 62443, cung cấp cách tiếp cận toàn diện và rộng rãi đối với bảo mật hệ thống điều khiển công nghiệp (ICS). Mặc dù các tiêu chuẩn này cung cấp nhiều thông tin cho chủ sở hữu tài sản, người quản lý chuỗi cung ứng và nhóm phát triển sản phẩm trong phạm vi ứng dụng thực địa ngày càng mở rộng, nhưng có thể khó khăn để chắt lọc các mục hành động cụ thể để xây dựng hệ thống quản lý an ninh mạng ICS của riêng bạn. Ở đây, chúng tôi xác định các yếu tố chính trong quá trình phát triển CSMS do tiêu chuẩn IEC 62443 đề xuất.

Bảng 1: Các yếu tố quan trọng được đưa ra theo tiêu chuẩn IEC 62443

Các chủ sở hữu tài sản, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm đóng vai trò quan trọng trong toàn bộ hệ thống quản lý an ninh mạng như được đề xuất trong tiêu chuẩn IEC 62443. Cụ thể, tiêu chuẩn IEC 62443 khuyến nghị chủ sở hữu tài sản phân tích, giải quyết, giám sát và cải thiện khả năng tự bảo vệ của hệ thống quản lý an ninh mạng trước các rủi ro phù hợp với khả năng chịu rủi ro của công ty. Ngoài ra, tiêu chuẩn IEC 62443 khuyến nghị phát triển bảo mật trong suốt vòng đời sản phẩm để duy trì mức độ bảo mật có thể chấp nhận được trong các sản phẩm và hệ thống mà nhà cung cấp giải pháp hoặc nhà tích hợp hệ thống cung cấp.

Hình 1: Ví dụ về phạm vi về vòng đời sản phẩm

Có hai nguyên tắc được đề cập trong khuôn khổ ở trên khuyến khích bạn thực hiện các hành động cụ thể sau:

• Thực hiện cách tiếp cận theo chiều sâu hệ thống để xây dựng mạng.
• Chọn nhà cung cấp cung cấp các giải pháp bảo mật theo thiết kế, bao gồm dịch vụ sau bán hàng và các quy trình phản hồi bảo mật đã thiết lập.

Tuân thủ theo hai nguyên tắc này sẽ giúp bạn bảo vệ thiết bị trong hệ thống khỏi các lỗ hổng bảo mật và giúp quản lý các rủi ro bảo mật tốt hơn.

Xây dựng mạng chuyên sâu về phòng vệ

Một trong những điểm yếu bảo mật phổ biến nhất trong hệ thống ICS là việc sử dụng mạng “phẳng” cho phép tất cả các thiết bị trên mạng giao tiếp với nhau, ngay cả khi không cần thiết. Kiến trúc mạng “phẳng” góp phần vào việc thiếu kiểm soát thông tin trên mạng và tạo điều kiện cho cả việc lan truyền mối đe dọa và suy giảm thông tin liên lạc. Tham khảo cẩm nang của quân sự, chủ sở hữu tài sản có thể áp dụng phương pháp tiếp cận chuyên sâu khi xây dựng mạng lưới của họ. Trong danh sách bảo vệ, phòng vệ theo chiều sâu đề cập đến việc thực hiện nhiều cấp độ hoặc nhiều lớp bảo vệ để ngăn chặn kẻ xâm nhập tiến sâu vào trong. Tương tự, các mạng bảo vệ theo chiều sâu được phân chia thành nhiều khu vực và đường dẫn, mỗi khu vực được ấn định các cấp độ bảo mật khác nhau tùy thuộc vào các rủi ro liên quan.

Đánh giá mức độ bảo mật

Một phần quan trọng của chiến lược bảo vệ theo chiều sâu là xem xét các biện pháp đối phó với các khu vực và các sản phẩm nội bộ. Theo đó, tiêu chuẩn IEC 62443 đưa ra khái niệm về mức độ bảo mật có thể được áp dụng cho các vùng, ống dẫn, kênh và sản phẩm. Mức độ bảo mật (SL-Security Level) được xác định bằng cách nghiên cứu một thiết bị cụ thể, và sau đó xác định mức độ bảo mật mà nó phải có, tùy thuộc vào vị trí của nó trong hệ thống. Các cấp độ bảo mật có thể được phân loại thành bốn cấp độ riêng biệt từ 1 đến 4, (mặc dù tiêu chuẩn cũng đề cập đến cấp "mở" 0 hiếm khi được sử dụng):

• Mức độ bảo mật 1 (SL1): mức độ thông thường.
• Mức độ bảo mật 2 (SL2): một cuộc tấn công có chủ đích với tài nguyên thấp.
• Mức độ bảo mật 3 (SL3): một cuộc tấn công có chủ đích với tài nguyên vừa phải.
• Mức độ bảo mật 4 (SL4): một cuộc tấn công có chủ đích với các nguồn tài nguyên mở rộng.

Cân bằng rủi ro và chi phí

Khi mức độ bảo mật yêu cầu của một vùng được xác định, cần phải được phân tích xem các thiết bị bên trong vùng có thể đáp ứng mức độ bảo mật tương ứng hay không. Nếu không, cần phải lập kế hoạch các biện pháp đối phó có thể giúp đạt mức độ bảo mật yêu cầu. Các biện pháp đối phó này có thể là kỹ thuật (tường lửa), quy trình (chính sách và thủ tục) hoặc vật lý (khóa). Điều quan trọng cần lưu ý là không phải mọi khu vực, ống dẫn hoặc thiết bị đều yêu cầu bảo mật Cấp 4. Chủ sở hữu tài sản hoặc nhà tích hợp hệ thống cần tiến hành phân tích rủi ro chi tiết để xác định mức độ rủi ro thích hợp cho từng khu vực và đường dẫn trong hệ thống của họ. Nói cách khác, có sự cân bằng vốn có giữa rủi ro và chi phí mà chủ sở hữu tài sản và nhà tích hợp hệ thống cần phải xem xét.

Chọn lựa các thành phần phần cứng

Khái niệm về mức độ bảo mật cũng áp dụng cho các thành phần xây dựng hệ thống. Trên thực tế, tiêu chuẩn IEC 62443-4-2 xác định cụ thể các yêu cầu bảo mật cho bốn loại thành phần:

1. Phần mềm ứng dụng
2. Thiết bị nhúng
3. Các thiết bị thành phần trong mạng.
4. Thiết bị mạng

Đối với mỗi loại thành phần, tiêu chuẩn IEC 62443-4-2 cũng xác định bảy yêu cầu cơ bản:

1. Kiểm soát nhận diện và xác thực
2. Giám sát ứng dụng hoạt động
3. Tính toàn vẹn của hệ thống
4. Bảo mật dữ liệu
5. Luồng dữ liệu bị hạn chế
6. Phản ứng kịp thời với các sự kiện
7. Nguồn lực sẵn sàng

May mắn rằng, có một số phòng thí nghiệm, chẳng hạn như Bureau Veritas và ISA Secure, có thể chứng nhận sản phẩm để đảm bảo chúng tuân thủ các yêu cầu của IEC 62443-4-2. Các phòng thí nghiệm này có thể đơn giản hóa quá trình lựa chọn chủ sở hữu. Tất cả những gì bạn cần làm là xác định mức độ bảo mật cần thiết và chọn một sản phẩm được chứng nhận đáp ứng yêu cầu đó. Thành phần đảm bảo an ninh này, còn được hiểu là sự tăng cường, thêm một lớp bảo vệ khác vào hệ thống như một phần của chiến lược phòng vệ theo chiều sâu (Defense-in-depth).

Chọn các nhà cung cấp thiết kế bảo mật với các hỗ trợ sau bán hàng

Bên cạnh việc lựa chọn các thiết bị tăng cường bảo mật, chủ sở hữu tài sản cũng cần chú ý cẩn thận đến các phương pháp quản lý chuỗi cung ứng. Trên thực tế, hỗ trợ sau bán hàng và ứng phó với các lỗ hổng bảo mật cũng quan trọng như cách thiết bị được thiết kế và xây dựng. Đó là bởi vì các thành phần xây dựng hệ thống quản lý an ninh mạng thường đến từ các nhà cung cấp riêng biệt. Nếu thiết bị của nhà cung cấp bị xâm phạm, thì thiết bị và có thể là toàn bộ hệ thống của bạn cũng có thể bị xâm phạm. Vì vậy, bên cạnh bảo mật cấp độ thiết bị, bạn cũng sẽ muốn chọn các nhà cung cấp cung cấp bảo mật trong toàn bộ vòng đời sản phẩm, bao gồm hỗ trợ, kiểm soát chất lượng, xác nhận hiệu suất và phản hồi lỗ hổng bảo mật, trong số các khía cạnh khác. Nói cách khác, toàn bộ vòng đời sản phẩm cần được bảo mật theo từng thiết kế. Tiêu chuẩn IEC 62443 thậm chí còn dành riêng một tiểu mục cụ thể, IEC 62443-4-1, để chỉ rõ các yêu cầu để đảm bảo 'an toàn theo thiết kế' trong suốt vòng đời sản phẩm (nghĩa là thiết bị xây dựng, bảo trì và ngừng sản xuất). Các yêu cầu này thường được liên kết với sự hỗ trợ cần thiết cho quản lý bản vá, chính sách, thủ tục và thông tin liên lạc bảo mật về các lỗ hổng đã biết. Tương tự như tiêu chuẩn IEC 62443-4-2 về chứng nhận sản phẩm, có thể chứng nhận rằng nhà cung cấp giải pháp đang tuân thủ các thực tiễn quản lý an ninh tốt và tuân thủ các tiêu chí hữu hình trong tiêu chuẩn IEC 62443-4-1 giúp đơn giản hóa việc ra quyết định của chủ sở hữu tài sản quá trình. Hơn nữa, việc chọn một nhà cung cấp đáng tin cậy có cách tiếp cận chủ động để bảo vệ sản phẩm của họ khỏi các lỗ hổng bảo mật và giúp khách hàng của họ quản lý những rủi ro đó thông qua một nhóm phản hồi chuyên dụng, chẳng hạn như Moxa Cyber ​​Security Response Team (CSRT), cũng có thể giúp đảm bảo chuỗi cung ứng của bạn được bảo vệ ngay cả khi xuất hiện các lỗ hổng và mối đe dọa mới.

Kết luận

Bảo vệ các hệ thống kiểm soát công nghiệp để giữ cho cơ sở hạ tầng quan trọng trên toàn thế giới luôn hoạt động là nhiệm vụ khó khăn. Mặc dù có nhiều hướng dẫn và tiêu chuẩn để phát triển một hệ thống quản lý an ninh mạng toàn diện cho các mạng truyền thoogn công nghiệp, các chủ doanh nghiệp, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm cần phải làm việc cùng nhau khi xây dựng hệ thống và ứng dụng của riêng họ. Việc áp dụng phương pháp tiếp cận chuyên sâu để xây dựng mạng và lựa chọn các nhà cung cấp bảo mật theo thiết kế cung cấp các phản ứng chủ động đối với các lỗ hổng bảo mật có thể giúp đơn giản hóa sự phức tạp vốn có của việc xây dựng hệ thống quản lý an ninh mạng của riêng bạn. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/fundamentals-great-decisions-for-industrial-cybersecurity

Bảo mật dịch vụ đám mây cho các máy truy cập từ xa

Các dịch vụ bảo trì và khắc phục sự cố từ xa đang cho phép các nhà sản xuất thiết bị gốc (OEM) và các nhà chế tạo máy hỗ trợ khách hàng của họ với hiệu quả cao hơn, cũng như giúp họ nâng cao năng suất. Các dịch vụ từ xa này không chỉ tạo điều kiện cho các quyết định nhanh hơn và thông minh hơn, mà còn giảm thời gian và chi phí hỗ trợ sau bán hàng và bảo trì cho máy móc và thiết bị đã cung cấp.

Mặc dù việc sử dụng mạng riêng ảo (VPN) để truy cập từ xa vào các máy móc và thiết bị công nghiệp từ bên ngoài vào hệ thống không phải là công nghệ mới, các nhà sản xuất OEM và chế tạo máy thường phải đối mặt thêm với những thách thức như: các mối quan tâm khác nhau về quyền riêng tư của khách hàng, cài đặt VPN phức tạp, quản lý địa chỉ IP, và tuân thủ các tiêu chuẩn bảo mật CNTT. Để vượt qua những thách thức này, các kết nối từ xa dựa trên đám mây có thể cung cấp khả năng truy cập từ xa dễ dàng, an toàn và linh hoạt vào máy móc và thiết bị của khách hàng. Bây giờ chúng ta sẽ xem xét hai tình huống phổ biến và xem chúng có thể hưởng lợi như thế nào từ các kết nối từ xa dựa trên đám mây an toàn.

Tình huống 1: Thu thập dữ liệu từ xa

Trong một nhà máy xử lý nước, nước thô phải trải qua quá trình xử lý và lọc để tạo ra nước uống an toàn cho con người. Để đạt được điều này, hàng nghìn cảm biến được triển khai để đo chất lượng nước. Các cảm biến được đặt tại hàng trăm cơ sở và tất cả đều cần được giám sát một cách đáng tin cậy. Ngoài việc xử lý và lọc nước, việc xử lý và phân phối nước sau khi được xử lý cũng quan trọng không kém để đảm bảo nước tiếp tục an toàn cho con người. Một thực tế phổ biến để tránh tái nhiễm bẩn nước trong hệ thống phân phối là giữ lại các chất khử trùng còn lại trong nước đã xử lý. Để đảm bảo rằng các chất khử trùng không đạt đến mức nguy hiểm, nước được giám sát liên tục bằng các cảm biến đặt trong đường ống. Các cảm biến trong đường ống gửi dữ liệu thông qua hệ thống SCADA đến thiết bị được lắp đặt bên trong tủ ven đường dọc theo đường phân phối. Một lợi ích khác của các hệ thống này là chúng cho phép giám sát lượng nước tiêu thụ của mỗi hộ gia đình hoặc cơ sở để đảm bảo tính phí phù hợp. Kết nối VPN truyền thống thường được sử dụng tại các cơ sở này, nhưng rất khó để mở rộng quy mô và quản lý vì ngày càng nhiều nhà hoặc cơ sở được xây dựng và cần được giám sát nguồn cấp nước của họ.

Tại sao nên kết nối từ xa dựa trên đám mây

Do cấu trúc liên kết phân tán cao, liên lạc từ xa dựa trên đám mây có thể cung cấp một cách dễ dàng và rẻ hơn cho các trung tâm xử lý nước và nước thải để trích xuất dữ liệu. Kết nối truyền thông từ xa dựa trên đám mây giúp giảm bớt gánh nặng thiết lập và mua thêm máy chủ và máy khách VPN khi có một địa điểm mới cần được giám sát, cũng như tránh chi phí lấy các địa chỉ IP công cộng cần thiết cho mỗi máy chủ và máy khách VPN. Hơn nữa, việc quản lý các chứng chỉ cho mỗi kết nối đơn giản hơn khi sử dụng truyền thông từ xa dựa trên đám mây.

Tình huống 2: Bảo trì từ xa

Máy chế biến thực phẩm được sử dụng để tự động hóa quá trình sản xuất và chế biến thực phẩm với quy mô lớn. Để các nhà sản xuất thực phẩm có thể mở rộng kinh doanh, điều cần thiết là máy móc của họ không gặp phải thời gian mạng ngừng hoạt động. Các công ty liên quan đến sản xuất thực phẩm hy vọng rằng OEM có thể cung cấp thời gian phản hồi rất nhanh khi cần bảo trì máy móc để đảm bảo mọi vấn đề xảy ra với máy móc không ảnh hưởng đến hoạt động. Để đảm bảo rằng thời gian phản hồi đủ nhanh để ngăn cản sự can thiệp vào hoạt động sản xuất bình thường, các nhà chế tạo máy cần một phương pháp an toàn và hiệu quả hơn để khắc phục sự cố và thực hiện các nhiệm vụ bảo trì mà không cần phải cử nhân viên đến từng địa điểm.

Tại sao nên kết nối từ xa dựa trên đám mây

Việc cấp quyền truy cập từ xa không hạn chế vào các máy trên sàn sản xuất sẽ khiến các chủ doanh nghiệp phải đối mặt với những rủi ro bảo mật không thể chấp nhận được và khiến họ dễ bị tấn công mạng. May mắn thay, truy cập từ xa dựa trên đám mây không chỉ cho phép các kỹ sư thực hiện nhiều nhiệm vụ bảo trì mà không cần phải trực tiếp đến nhà máy của từng khách hàng mà còn cho phép khách hàng kiểm soát quyền truy cập vào mạng của họ. Một tùy chọn có sẵn cho các nhà chế tạo máy là cung cấp cho khách hàng của họ một khóa vật lý, khóa này phải được kích hoạt để máy có thể được truy cập từ xa. Khách hàng cũng có thể hạn chế các chương trình trong máy có thể được sử dụng bởi các kỹ sư dịch vụ từ xa. Ngoài ra, khách hàng cũng có thể hạn chế các kết nối từ xa đến các phân đoạn mạng cụ thể để các kỹ sư hỗ trợ bên ngoài không có quyền truy cập vào toàn bộ mạng.

Thách thức hiện nay

Mặc dù truy cập từ xa dựa trên đám mây mang lại lợi ích rõ ràng cho khách hàng IIoT, nhưng các kỹ sư công nghệ vận hành (OT), người quản lý nước và xử lý nước thải và nhà sản xuất máy móc có thể thấy khó khăn khi thiết lập và duy trì các máy chủ đám mây của riêng họ để cung cấp các dịch vụ và ứng dụng mới. Thật vậy, có những nỗ lực đáng kể liên quan đến việc thiết lập cơ sở hạ tầng mới, ngay cả khi nó ở trên đám mây.

Dịch vụ đám mây bảo mật thuận tiện

Thật may mắn, các nhà sản xuất OEM và nhà chế tạo máy hiện có thể cung cấp các dịch vụ dựa trên đám mây an toàn và quyền truy cập từ xa cho khách hàng của họ mà không cần phải duy trì các máy chủ đám mây của riêng họ. Đặc biệt, các cổng kết nối từ xa (MRC) của Moxa cung cấp tùy chọn liên kết nhanh MRC để cung cấp khả năng truy cập từ xa dễ dàng, an toàn và linh hoạt vào máy móc và thiết bị qua đám mây. Chỉ cần kích hoạt MRC Quick Link bằng cách đăng ký cổng MRC của bạn trên Phần mềm Moxa bản quyền và bạn sẽ nhận được năm nút trực tuyến đồng thời và 5 GB dữ liệu mỗi tháng cho mỗi MRC Quick Link được kích hoạt. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/secure-cloud-services-for-remote-machine-access 

Tối ưu truyền thông Serial-to-Ethernet cho ứng dụng giao thông thông minh

Dựa vào các công nghệ nâng cao, việc giám sát từ xa theo thời gian thực đối với các hệ thống giao thông băng qua một số lượng lớn các khu vực là thực tế, báo hiệu thời đại của giao thông thông minh. Tuy nhiên, nhiều thiết bị truyền thông tại các tuyến đường, nhà ga vẫn đang sử dụng truyền thông nối tiếp. Bên cạnh việc tìm kiếm giải pháp truyền thông S2E (Serial-to-Ethernet) cho phép các ứng dụng giám sát từ xa trên tất cả các tuyến đường đến trung tâm điều khiển, thì cũng cần một công nghệ truyền thông S2E tốt hơn để vượt qua thách thức như khoảng cách truyền và mức độ phức tạp của truyền thông yêu cầu trong các ứng dụng quy mô lớn. Dành cho một giải pháp S2E dễ dàng sử dụng, thiết bị NPort hỗ trợ đa dạng các chế độ vận hành giúp dễ dàng gửi và nhận dữ liệu trên mạng TCP/IP. Trong bài viết này, sẽ minh họa các thách thức truyền thông bằng các kịch bản khác nhau và cách để sử dụng chế độ vận hành TCP/UDP trên thiết bị NPort, từ đó tối ưu truyền thông S2E dành cho các ứng dụng giao thông thông minh.

Tình huống 1: Giám sát giao thông đường bộ

Sự đa dạng của các cảm biến và bộ điều khiển trên các tuyến đường giúp thu thập dữ liệu về cả điều kiện giao thông và môi trường. Triển khai xa nhau, các thiết bị cấp trường truyền thông với trung tâm điều khiển để cung cấp tới người vận hành các điều kiện về đường xá theo thời gian thực. Tương ứng, người vận hành phải cung cấp thông tin tức thì tới người đi đường liên quan đến vấn đề ùn tắc giao thông và thời tiết xấu. Để thu thập dữ liệu trường trong ứng dụng lớn và biến đổi nó thành các thông tin hữu ích đối với người đi đường, người vận hành có thể gặp phải khó khăn khi đối phó với nhiều dữ liệu nối tiếp yêu cầu từ các chương trình ứng dụng khác nhau và thời gian phản hồi dài hơn khi xảy ra lỗi.

Nâng cao độ chính xác truyền nhận với chức năng “từng lệnh một” (Command-by-command)

Thiết bị NPort hỗ trợ chế độ TCP server, thường dùng trong các ứng dụng giám sát từ xa để kết nối với các cảm biến hiện trường như là các bộ điều khiển giao thông, cảm biến đường bộ và các loại thiết bị khác. Hệ thống trung tâm trong trung tâm điều khiển chạy chương trình TCP client khởi tạo bắt tay với Nport, thiết lập kết nối và nhận dữ liệu nối tiếp từ thiết bị trường. Khi nhiều máy chủ liên hệ với NPort cùng lúc, chế độ TCP server hỗ trợ chức năng “Max connection” để cho phép nhiều máy chủ thu thập dữ liệu từ cùng thiết bị trường tại cùng thời điểm. Mặc dù, chức năng này cho phép gửi nhiều lệnh điều khiển tới slave, nó có thể dẫn tới khả năng xung đột dữ liệu. Do đó, chức năng từng lệnh một được thiết kế để ngăn chặn xung đột dữ liệu. Chức năng này cho phép Nport lưu trữ lệnh trong bộ nhớ đệm khi nhận lệnh từ bất kỳ một máy nào trong mạng. Các lệnh này sẽ được gửi tới cổng serial theo thứ tự vào trước ra trước (FIFO). Một thiết bị trường phản hồi, NPort sẽ lưu lại phản hồi đó trong bộ đệm và sau đó gửi tới máy đã gửi lệnh yêu cầu tương ứng.

Giảm thời gian khôi phục mạng với chức năng “TCP alive check timeout”

Khi máy chủ vận hành trong vai trò kích hoạt để thiết lập kết nối TCP (trong khi NPort hoạt động như một TCP server chờ client để kết nối), thiết bị NPort ko có cách nào để xác định liệu mạng đã mất kết nối và sẽ tiếp tục như thể kết nối vẫn còn. Thậm chí nếu kết nối mạng khôi phục thì client cũng ko thể thiết lập lại kết nối với máy chủ, bởi vì tài nguyên bộ nhớ của NPort đã được sử dụng. Do đó, cần có người đi tới hiện trường (field site) để khởi động lại NPort giúp giải phóng bộ nhớ. Về chi phí nhân công và thời gian là không hiệu quả. Để giải quyết vấn đề này, chế độ TCP server bao gồm chức năng TCP alive check timeout mang đến cho NPort cơ chế fail-safe nếu mạng bị mất kết nối. Do đó, chức năng này cung cấp trạng thái kết nối mạng Ethernet bằng việc kiểm tra trạng thái kết nối TCP/IP theo chu kỳ.

Tình huống 2: Hệ thống điều khiển truy cập

Nhiều hệ thống giao thông thông minh, như hệ thống bãi đỗ xe và cổng vào tại các nhà ga sử dụng hệ thống điều khiển truy cập. Hệ thống như vậy thường yêu cầu kích hoạt thu thập dữ liệu nối tiếp thông qua đầu đọc thẻ (card reader) và truyền dữ liệu trên mạng TCP/IP quay trở lại các hệ thống để xác thực và tính toán chi phí thanh toán. Khi một kết nối thất bại, có thể làm mất thời gian và tiền bạc của người dùng và người vận hành. Để tăng độ tin cậy của kết nối, cần phải đảm bảo giải pháp S2E có thể gửi chính xác dữ liệu nối tiếp trên mạng TCP/IP và cung cấp đủ băng thông đường truyền cho cả hệ thống dự phòng.

Truyền tải dữ liệu nối tiếp với chức năng đóng gói dữ liệu trên thiết bị NPort

Thiết bị NPort hỗ trợ chế độ TCP client, thường dùng trong các hệ thống điều khiển truy cập để kết nối với các đầu đọc thẻ và các thiết bị nối tiếp khác. Trong kịch bản này, dữ liệu được gửi trở lại chương trình ứng dụng máy chủ để xử lý thêm. Một vấn đề liên quan đến việc truyền tải dữ liệu trên mạng TCP/IP là dữ liệu đó có thể đã được chia thành các gói tin tách rời, khiến chương trình ứng dụng không hoạt động đúng. Thiết bị NPort mang đến chức năng đóng gói dữ liệu để đảm bảo dữ liệu đến với gói tin hoàn chỉnh và được chấp nhận để ứng dụng có thể nhận và xử lý yêu cầu đúng. Do chương trình ứng dụng công nhận các ký tự đặc biệt như kết thúc của một luồng dữ liệu (the end of a data stream), chức năng Delimiter là một trong những chức năng đóng gói dữ liệu, cho phép NPort đóng gói tức thì và gửi tất cả dữ liệu trong bộ nhớ đệm đến mạng Ethernet khi một ký tự đặc biệt được nhận qua cổng serial của NPort. Bằng cách này, hệ thống thanh toán có thể nhận dữ liệu nối tiếp như yêu cầu.

Nâng cao hiệu quả kết nối với chức năng điều khiển kết nối

Khi Nport được cấu hình ở chế độ TCP client, nó có thể quyết định khi nào thiết lập hoặc ngắt kết nối TCP với máy chủ bằng việc bật chức năng điều khiển kết nối. Chức năng này cho phép giới hạn số lượng kết nối TCP đến những người yêu cầu và tăng hiệu suất của máy chủ bằng việc tự động ngắt các kết nối không sử dụng. Nhiều sự kiện khác nhau có thể được định nghĩa để thiết lập hoặc ngắt kết nối TCP. Một cái rất phổ biến là Any Character/Inactivity Timeout. Ở đây, bất cứ khi nào có một hoạt động dữ liệu nối tiếp, Nport được kích hoạt để thiết lập một kết nối TCP với máy chủ. Nếu kết thúc nối tiếp là không tải với thời gian định rõ, Nport sẽ ngắt kết nối TCP cho đến khi hoạt động dữ liệu nối tiếp khôi phục. Trong tình hình này, có thể sử dụng chức năng Max connection để kết nối một máy chủ dự phòng cho việc thu thập dữ liệu mà không phải lo lắng rằng nó sẽ chiếm băng thông đường truyền.

Tình huống 3: Hệ thống thông tin khách hàng

Giao thông thông minh sử dụng hệ thống thông tin khách hàng để cung cấp cho người đi làm với thông tin giao thông theo thời gian thực. Người vận hành cần phát đi các thông điệp giống nhau tới bộ màn hình LED để biểu diễn thông tin như lịch trình chuyến tàu tại nhà ga hoặc điều kiện đường xá trên cao tốc. Ứng dụng này yêu cầu truyền tải nhanh hơn để người đi làm có thể nhận được thông tin thời gian thực, từ đó điều chỉnh tuyến đường đi làm phù hợp.

Tăng tốc độ truyền tin với chế độ UDP

Nếu ứng dụng yêu cầu truyền tin thời gian thực và chương trình socket sử dụng giao thức UDP, có thể cài đặt NPort tới chế độ UDP. Sự khác biệt chính giữa 2 chế độ UDP và TCP server/client là việc kết nối không cần được thiết lập trước khi truyền dữ liệu với chế độ UDP. Nó gửi dữ liệu đi nhanh hơn chế độ TCP server/client vì thời gian yêu cầu dành cho việc bắt tay 3 chiều của TCP đã được loại bỏ. Chế độ UDP là phù hợp cho các ứng dụng yêu cầu truyền tin thời gian thực và vẫn có khả năng xảy ra mất mát dữ liệu. Trong chế độ UDP, một địa chỉ IP multicast có thể được cài đặt cho mỗi cổng serial và tất cả các thiết bị đăng ký tới cùng địa chỉ multicast IP sẽ nhận được thông điệp đã gán tới địa chỉ IP đó. Lợi ích của multicast là nó không chỉ hiệu quả trong việc gửi thông đệp tới nhiều thiết bị cuối mà còn tiết kiệm dung lượng băng thông, vì nó không truyền cùng một dữ liệu tới các thiết bị cuối khác nhau nhiều lần. Thiết bị NPort cung cấp đa dạng các chức năng cho các chế độ vận hành khác nhau để đáp ứng nhu cầu trong các ứng dụng công nghiệp. Tải xuống tại đây tài liệu hướng dẫn chi tiết các chức năng của NPort. Ngoài ra, Thiết bị NPort có thêm các chức năng bảo mật và driver hỗ trợ trên các hệ điều hành khác nhau để đảm bảo thiết bị kết nối dễ dàng và an toàn tới các hệ thống hiện đại. Tìm hiểu thêm về giải pháp của chúng tôi để giúp nâng cao hiệu suất của các thiết bị nối tiếp từ đó dễ dàng hoạt động trong các hệ thống mạng tương lai. Tham khảo bài viết gốc tại: https://www.eletimes.com/optimize-serial-to-ethernet-communication-for-smart-transportation

Tăng cường an ninh mạng cho Hệ thống tự động hóa trạm với IEC 61850 Gateways

Với sự gia tăng đáng kể của các nguồn năng lượng phân tán (DERs - Distributed Energy Resources) và hệ thống lưu trữ năng lượng, cùng với xu hướng gia tăng của các trạm biến áp không người trực, lưới điện đã trở nên phức tạp hơn rất nhiều. Cho đến nay, DERs đang có tác động lớn nhất đến lưới điện vì năng lượng được tạo ra không liên tục. Đôi khi, DERs tạo ra quá nhiều điện năng; những lần khác, sản lượng lại quá thấp. Những biến động này làm cho lưới điện không đáng tin cậy.

Nhờ vậy, các kỹ sư tại các trung tâm điều khiển trạm biến áp ngày càng khó quản lý việc điều động điện theo thời gian thực. Để giải quyết những bất ổn này trong lưới điện, các trạm biến áp kỹ thuật số, mang lại sự ổn định và linh hoạt trong việc cung cấp điện, ngày càng đóng vai trò quan trọng trong việc truyền tải điện. Tuy nhiên, việc chuyển đổi tất cả các trạm biến áp sang kỹ thuật số cùng một lúc không quá đơn giản vì ngân sách hạn chế để trang bị thêm một số lượng lớn các thiết bị. Truyền thông gateway có thể giúp khắc phục những vấn đề đó vì chúng giúp các thiết bị điện tử thông minh (IEDs - Intelligent Electronic Devices) giao tiếp với các mạng dựa trên Ethernet. Đây cũng là một giải pháp tiết kiệm chi phí so với các nền tảng máy tính. Tuy nhiên, khi vấn đề serial-to- Ethernet được giải quyết, một vấn đề khác lại xuất hiện: các cuộc tấn công mạng luôn tạo ra những mối đe dọa to lớn đối với các mạng Ethernet, đưa vấn đề an ninh mạng trong việc trang bị thêm các trạm biến áp kỹ thuật số được đặt lên hàng đầu.

Tầm quan trọng của an ninh mạng đối với các hệ thống tự động hóa trạm

Hệ thống điều khiển và bảo vệ trạm quản lý các hoạt động điện năng quan trọng thông qua các giao thức truyền thông. Trong các dự án trang bị thêm trạm biến áp, truyền thông gateways hoạt động như bộ tập trung dữ liệu, quản lý số lượng lớn các IEDs. Mặc dù có vai trò rất quan trong, truyền thông gateways hiếm khi kết hợp với các biện pháp an ninh. Do đó, nguy cơ cao tồn tại là những kẻ tấn công độc hại có thể dễ dàng truy cập IEDs thông qua các cổng này làm hệ thống ngừng hoạt động, mất điện và hư hỏng các thiết bị quan trọng, dẫn đến thiệt hại lớn về tài chính. Quan trọng hơn nữa, tính mạng con người cũng có thể gặp nguy hiểm.

Tiêu chuẩn IEC 62443 đã trở thành một trong những tiêu chuẩn an ninh mạng phổ biến nhất cho các hệ thống điều khiển và tự động hóa công nghiệp. Đối với các hệ thống điện tự động hóa nhất định, cũng cần xem xét thêm tiêu chuẩn cụ thể như IEC 62351. Khi kết hợp các công nghệ đã được xác nhận của cả hai tiêu chuẩn, điều cần thiết là phải xem xét các phương pháp có thể bảo vệ dữ liệu quan trọng và theo dõi trạng thái bảo mật mạng của hệ thống.

Mã hóa dữ liệu quan trọng để giảm các cuộc tấn công mạng

Một khi tin tặc xâm nhập vào mạng trạm biến áp, chúng có thể dễ dàng lấy dữ liệu và biết được quy trình truyền thông mạng. Hơn nữa, chúng có thể dễ dàng phá hỏng hệ thống bằng cách gửi sai lệnh để kiểm soát IEDs. Để chống lại các loại hoạt động độc hại này, truyền thông gateways phải mã hóa dữ liệu cho các giao thức truyền thông như DNP3 TCP và IEC 61850 MMS.

Giám sát trạng thái bảo mật của mạng và hành vi độc hại

Để giám sát và kiểm soát IED trong các trạm biến áp đã được tân trang lại, điều quan trọng là phải làm cho cơ sở hạ tầng mạng an toàn hơn. Trạng thái của các thiết bị mạng, chẳng hạn như Switch, IEDs và truyền thông gateways phải luôn được theo dõi. Ví dụ, nếu các liên kết của một cổng Ethernet của một thiết bị mạng bị hỏng hoặc hành vi độc hại được phát hiện, gateway sẽ gửi một thông báo cảnh báo đến hệ thống thông tin ngay lập tức. Khi hệ thống thông tin nhận được báo động, các kỹ sư có thể xử lý kịp thời sự cố này.

Gateways trạm IEC 61850 an toàn

Chúng tôi đã thiết kế Gateway MGate 5119 Series IEC 61850 để đảm bảo an toàn cho các thiết bị từ cấu hình đến bảo dưỡng hàng ngày. Chúng cũng tăng cường bảo mật thông tin liên lạc, an ninh mạng cho các trạm biến áp.

Cấu hình thiết bị an toàn với các chức năng nhúng bảo mật

Các trạm biến áp có nguy cơ tiềm ẩn các mối đe dọa khi kết nối với mạng. Do đó, tất cả các nút mạng cần được bảo vệ khỏi những kẻ xâm nhập. Dựa trên các nguyên tắc IEC 62443 và NERC CIP, Gateway MGate 5119 Series IEC 61850 cung cấp nhiều chức năng bảo mật để đảm bảo thiết bị được an toàn trong quá trình cấu hình ban đầu.

• Bảo vệ bẻ khóa mật khẩu: Sử dụng mật khẩu mặc định để thuận tiện không còn là một lựa chọn an toàn nữa. IEC 61850 gateway có chính sách mật khẩu khuyến khích sử dụng mật khẩu mạnh hơn để tránh truy cập không mong muốn.
• Sniffer và bảo vệ rò rỉ dữ liệu: Sử dụng văn bản thuần túy để cấu hình thiết bị của bạn có thể nguy hiểm. IEC 61850 gateway cung cấp SSL / TLS để mã hóa dữ liệu quan trọng trong quá trình cấu hình.
• File cấu hình và khả năng chống giả mạo chương trình: Khi xuất file cấu hình để sao lưu, IEC 61850 gateway sẽ mã hóa file để tăng cường tính toàn vẹn của file cấu hình.
• Bảo vệ DDoS với khả năng phát hiện tích hợp các hoạt động đáng ngờ: Các cuộc tấn công DDoS thường được thực hiện bằng cách chiếm băng thông mạng hoặc tấn công tài nguyên của các thiết bị mạng. IEC 61850 gateway giúp phát hiện các gói tin bất thường và đưa ra cảnh báo để có phản ứng với hành vi bất thường.

Tăng cường bảo mật thông tin liên lạc với mã hóa giao thức

Nếu dữ liệu truyền thông không được mã hóa, thì tin tặc có thể lấy dữ một cách dễ dàng. Từ đó, tin tặc có thể tìm ra cách kiểm soát IEDs và sau đó gửi lệnh điều khiển giả cho IEDs, điều này có thể gây nguy hiểm cho hoạt động của trạm biến áp. Gateway MGate 5119 Series IEC 61850 hỗ trợ TLS v1.2, đảm bảo truyền dữ liệu giữa gateway và hệ thống SCADA, sử dụng các giao thức truyền thông tiêu chuẩn như IEC 61850 MMS và DNP3 TCP.

Quản lý trạng thái bảo mật của thiết bị một cách dễ dàng

Bảo mật không phải là một sự kiện diễn ra một lần mà là một quá trình đòi hỏi phải liên tục theo dõi tình trạng bảo mật của thiết bị trong các hoạt động hàng ngày. Gateways MGate 5119 Series IEC 61850 hỗ trợ phần mềm quản lý mạng MXview, cung cấp cấu trúc liên kết mạng trực quan để giúp người dùng dễ dàng kiểm tra trạng thái thiết bị. Hơn nữa, có thể giám sát các sự kiện bảo mật do người dùng xác định và thông báo cho quản trị viên các vi phạm. Bằng cách này, các kỹ sư có thể dễ dàng kiểm tra và đảm bảo IEC 61850 gateway hoạt động ở mức bảo mật cho phép. Ngoài việc tăng cường bảo mật truyền thông, Gateway MGate 5119 Series IEC 61850 cũng đi kèm với các chức năng tiện dụng giúp cấu hình và khắc phục sự cố hiệu quả. Thiết kế cấp công nghiệp cũng đảm bảo độ tin cậy hoạt động cho các ứng dụng quan trọng trong các dự án trạm biến áp mới. Nếu bạn muốn tìm hiểu thêm về các cổng DNP3 / IEC 101 / IEC 104 / Modbus-to-IEC 61850 của chúng tôi, hãy truy cập trang sản phẩm của chúng tôi. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/boosting-cybersecurity-for-substation-automation-systems-with-secure-iec-61850-gateways

TSN – Tương lai của công nghệ Ethernet tiêu chuẩn

Mạng nhạy cảm với thời gian (TSN/Time-sensitive networking) được thiết lập để trở thành nền tảng tiếp theo trong sự phát triển của công nghệ Ethernet tiêu chuẩn bằng cách giới thiệu các tính năng như xác định đường truyền dữ liệu, tính thực tế cao, và năng cao khả năng bảo mật. Trong khi TSN ở giữa trung tâm tương lai của công nghiệp Vạn vật kết nối (Industrial Internet of Thing), câu hỏi đặt ra ở đây là, Khi nào công nghệ này sẽ được ứng dụng trong một dự án hay một ứng dụng thực tế. Chuyển từ lý thuyết sang thực tiễn là một phần cuối của câu hỏi “thực tế hóa việc hội tụ giữa OT (Operation technology/Công nghệ vận hành) và IT (Information technology/Công nghệ thông tin). Bước đầu tiên để tiến đến hiện thực hóa nền tảng hội tụ đã được đưa ra trong SPS Expo 2019 tại Nuremberg, nước Đức. MOXA đã hợp tác chặt chẽ với các đối tác trong mảng công nghiệp đến từ CC-Link Partner Association (CLPA) và OPC Foundation để chứng minh ứng dụng thực tế trên nền TSN.

Hợp tác chặt chẽ với các công ty trong ngành công nghiệp

Khuôn khổ giải pháp TSN là kết quả của sự hợp tác với những ngành khác trong lĩnh vực công nghiệp và đưa ra một nền tảng mạng thống nhất, nền tảng này hỗ trợ tính năng đánh giá và không đánh giá gói tin truyền trong một mạng hội tụ thực tế. Việc đưa ra chứng minh với Mitsubishi Electric, kịch bản một mạng TSN tích hợp CC-Link IE đưa ra nhiều thuận lợi đa dạng cho các ứng dụng yêu cầu băng thông cao, truyền thông thời gian thực, và mức độ xác định và hiệu suất cao, như việc điều khiển chuyển động.

Linh hoạt hơn trong quản lý mạng công nghiệp

Trong cùng một mạng, khung giải pháp TSN cũng đưa ra chuẩn hóa OPC UA trên TSN sự hợp tác với B&N Industrial Automation. Qua việc tích hợp này, khung giải pháp TSN khởi động việc quản lý mạng công nghiệp linh hoạt cùng với chuẩn hóa OPC UA trên TSN cho tất cả các cấp truyền thông, bao gồm khối điều khiển – khối điều khiển và khối điều khiển - trường thiết bị, nó xây dựng nên nền tảng để đạt được sản xuất linh hoạt Plug-and-Produce.

Hơn nữa, phần mềm TSN cung cấp bởi các công nghệ acontis GmbH đóng vai trò quan trọng trong việc kết hợp tri tuệ biên vào khung. Phần mềm TSN mở rộng khả năng truyền lên tới tầng ứng dụng khi truyền và nhận dữ liệu từ phần cứng tới thiết bị thông minh, xác định mạng tới các thiết bị vùng biên.

Tham gia vào các thử nghiệm khả năng tương tác TSN

Khung giải pháp TSN là kết quả của một cuộc hợp tác lớn giữa MOXA và rất nhiều các công ty trong lĩnh vực công nghiệp. MOXA cũng đã tích cực tham gia vào các thử nghiệm khả năng tương tác TSN quan trọng nhất trên thế giới để giúp đảm bảo rằng công nghệ này ổn định và đáng tin cậy trước khi đưa ra thị trường. Với sự ra đời của khuôn khổ này, MOXA, cùng với các đối tác trong ngành, đang chứng tỏ rằng một cơ sở hạ tầng mạng tự động hóa thực sự thống nhất, có tính linh hoạt cao, hội tụ giữa OT và IT không chỉ là một khái niệm mà đã trở thành một khả năng hiện nay. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/tsn-the-future-is-now-time-sensitive

Tăng tốc cho hệ thống SCADA với cải tiến thu thập dữ liệu Modbus nhanh hơn 10 lần

Yêu cầu thu thập lượng lớn dữ liệu Modbus nối tiếp trong nền Ethernet của hệ thống SACADA có thể trở nên phức tạp và thách thức cho những kỹ sư. Bên cạnh đó một giải pháp dễ dàng sử dụng các bộ chuyển đổi giao thức để chuyển đổi giữa giao thức Modbus Serial và giao thức Modbus TCP, những kỹ sư cần một giải pháp hiệu quả để rút ngắn thời gian thu thập dữ liệu từ sô lượng lớn các thiết bị truyền thông kiểu nối tiếp trong một vùng mạng rộng lớn để ra lệnh chấp hành nhanh và dễ dàng.

Vấn đề đau đầu của các kỹ sư

Trong những ứng dụng được đánh giá là lớn, ví dụ như một hệ thống giám sát điện năng, hệ thống SCADA không thể có đủ khả năng  đợi các thiết bị cấp trường gửi câu trả lời của chúng để trả lời các yêu cầu giám sát dữ liệu cùng lúc. Hãy tưởng tượng, ta có 300 thiết bị đồng hồ truyền thông nối tiếp là thiết bị trường , và chỉ có một bộ chuyển đổi giao thức Modbus sử dụng để nhận dữ liệu. Nó sẽ mất ít nhất khoảng 30 giây để hoàn thành một vòng hỏi các metter. Điều đó không thể chấp nhận được bởi vì nó không dễ để theo dõi đường đi của dữ liệu hiện thời và phân tích lỗi. Thêm nữa, một yêu cầu thường mất từ 3 tới 5 vòng hỏi. Do đó các kỹ sư thường cân nhắc triển khai nhiều bộ chuyển đổi Modbus để làm giảm các vòng hỏi. Tuy nhiên, nó lại tốn kềm và các mạng yêu cầu hiệu suất tốt hơn cần nhiều chuyển đổi Modbus hơn. Kết quả là các kỹ sư đối mặt với vấn đề này: tăng ngân sách để giải quyết vấn đề hoặc chịu đựng thu thập dữ liệu thuộc tính nối tiếp sử dụng các vòng hỏi truyền thống.

Chủ động hỏi tiết kiệm thời gian

Tích cực hỏi, thiết kế để khắc phục tính năng lấy dữ liệu truyền thống theo vòng tròn , bằng cách thiết lập mỗi cổng của bộ chuyển đổi kết nối độc lập tới một thiết bị riêng biệt. Ở một phía, mỗi cổng serial của bộ chuyển đổi như một Modbus RTU Master, hoạt động hỏi các Modbus Slave như đồng hồ . Phía còn lại , chức năng của bộ chuyển đổi như một Modbus TCP server, được hỏi bởi hệ thống SCADA. Một điều quan trọng của bộ chuyển đổi hỗ trợ tính năng thăm dò chủ động là bộ nhớ trong tạo điều kiện truy xuất dữ liệu liền mạch.

Tích cực hỏi thể hiện một vài tiến bộ. Nó làm cho việc hỏi nhanh hơn 10 lần cách hỏi vòng tròn các thiết bị như truyền thống. Chỉ khoảng thời gian Modbus TCP yêu cầu và Modbus TCP trả lời mới tạo nên thời gian quét vì hệ thống SCADA không cần đợi Modbus RTU đi hỏi (vì các cổng của bộ chuyển đổi là master).

Một lợi ích nữa là tích cực hỏi chấp nhận tất cả các dữ liệu đã được ta ra bởi những thiết bị để chuyển tiếp thành các gói tin. Từ các điểm ưu thế của hệ thống SCADA, bộ chuyển đổi đại diện một ngân hàng dữ liệu nó phân phát các thông tin yêu cầu. Trong nó lại các khả năng như một Modbus RTU, mỗi cổng nối tiếp của bộ chuyển đổi tích cực hỏi các đồng hồ khác nhau và nhận dữ liệu từ thanh ghi dữ liệu của chúng. Việc tổng hợp dữ liệu là lưu trữ liên tục trong bộ đệm của bộ chuyển đổi. Nó chỉ yêu cầu một kênh TCP để chuyển các yêu cầu dữ liệu trong các gói tin thay vì đặt hàng tấn các lệnh trong SCADA. Tích cực hỏi có hai phương thức để phục vụ các viễn cảnh khác nhau, một phương thức dành cho các hệ thống thiết kế kiểu mới và phương thức thông minh dành cho hệ thống cũ được mở rộng.

Xây dựng một hệ thống mới với phương thức người quản lý

Chìa khóa để thành công của một hệ thống thiết kế mới là một bộ chuyển đổi gia tăng thêm hiệu suất của hệ thống SCADA, tăng sự linh hoạt của chương trình SCADA và dễ dàng cấu hình. Trong phương thức đại lý, các bộ chuyển đổi hỗ trợ tích cực hỏi để nâng cao hiệu suất của SCADA. Nói chung, bộ chuyển đổi có thể độc lập nhiều lệnh Modbus trong nó như một RTU Master. Mặc dù vậy, như khả năng cung cấp nhiều sự linh hoạt khi nó thiết kế một hệ thống lại làm gia tăng thêm các việc cần phải cấu hình. Để tiết kiệm thời gian cấu hình, các bộ chuyển đổi hỗ trợ CSV file, nó có thể dễ dàng cấu hình và đẩy ngược trở lại vào bộ chuyển đổi bởi MS Excel, đó là một điểm tiện lợi, đặc biệt hơn đó là giải pháp của một hệ thống lớn.

Mở rộng một hệ thống cũ với phương thức thông minh

Không như hệ thống mới thiết kế, mở rộng một hệ thống yêu cầu nhanh và thông minh trong việc thêm một thiết bị vào hệ thống trong khi vẫn giữ được hiệu suất, hoặc giải pháp tốt hơn thế. Với phương thức thông minh, các bộ chuyển đổi có thể tự động học các lệnh Modbus trong hệ thống SCADA mà không cần yêu cầu cài đặt thêm lệnh, như trường hợp ở phương thức quản lý. Những bộ chuyển đổi có thể sử dụng tích cực hỏi để thực thi như một Modbus master trong mỗi cổng nối tiếp . Nó là một chức năng hữu hiệu cho hệ thống, nó vẫn sẵn sang cho các hoạt động trước đó và có các lệnh yêu cầu.

Giải pháp của MOXA

Các cổng MGate MB3660 Modbus của Moxa là cổng giao thức mật độ cổng cao và có cơ chế tích cực hỏi bao gồm cả chế độ quản lý và chế độ thông minh, giúp thu thập dữ liệu của bạn nhanh hơn 10 lần so với các cơ chế truyền thống, bất kể bạn đang thiết kế hệ thống mới hay đang mở rộng một cái hiện có. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/speed-up-scada-with-10x-faster-modbus-data-acquisition