Làm thế nào để truy cập dữ liệu sản xuất một cách bảo mật


Giới thiệu
Sự phát triển của Ethernet hiện nay gây ra rủi ro cho sản xuất do sự xâm nhập vô
tình và có chủ ý của các đối tượng bên ngoài. Các biện pháp an ninh theo yêu cầu
của môi trường sản xuất là bắt buộc để giữ cho các hoạt động được bảo mật và
đem lại nhiều lợi nhuận.
Tuy nhiên để bảo vệ môi trường công nghiệp không phải là một công việc dễ dàng.
Do thiết bị sản xuất và hệ thống kết nối cũng như điều khiển nó ngày càng trở nên
phức tạp và tinh vi.
Trong khi Ethernet tiêu chuẩn trong môi trường văn phòng có thể không bị tổn hại
bởi lỗi truyền tín hiệu thì trong môi trường công nghiệp đây là một chuyện hoàn
toàn khác. Mạng ở đây phải có khả năng chịu được những môi trường khắc nghiệt.

Các thi
ết bị Hirschmann Eagle Firewall/VPN đảm bảo bảo
vệ tối đa các khu vực công nghiệp và loại trừ vi
ệc thao tác
dữ liệu tình cờ và trái phép.
Nhu cầu về một cơ chế bảo vệ đặc biệt
Các cơ chế an ninh và kiểm soát được sử dụng để bảo vệ mạng doanh nghiệp là
khá đơn giản, không đủ hoặc không hiệu quả.
Mặc dù chúng cùng sử dụng một loại thiết bị và giao thức kết nối mạng, mạng
công nghiệp và doanh nghiệp có đặc điểm khác nhau, tuân thủ tiêu chí công suất
khác nhau, và có thể bị ảnh hưởng bởi cùng loại sự kiện theo nhiều chiều hướng

khác nhau.
Mạng công nghiệp là một môi trường hoàn toàn khác. Môi trường của chúng là từ
phòng sạch được điều hòa không khí tới các môi trường sản xuất nguy hiểm.
Các mạng điều khiển tất định thường hoạt động trong sự ràng buộc theo thời gian
và được duy trì ổn định. Việc bị ngừng trệ là điều không chấp nhận được. Mọi sự
ngắt quãng là quá dài và có thể dẫn tới phung phí hoặc làm bẩn vật liệu thô hay vật
liệu hoặc hàng quá đang được xử lí. Điều đó cũng có nghĩa là toàn bộ quá trình cần
được khởi động lại.
Việc ngắt quãng không theo dự kiến có thể phát sinh rủi ro cho thiết bị sản xuất.
Phải có khả năng khôi phục hệ thống hoạt động càng nhanh càng tốt. Ngoài ra,
máy móc sản xuất ít khi có thể được bảo vệ với một miếng vá phần mềm, một hệ
thống chống virus, hoặc một cơ chế dò phát hiện xâm nhập.
Lúc nào cũng vậy, chúng phải được nhà cung cấp cập nhật, với sự tốn kém về thời
gian và tiền bạc.
Hiện nay cách thức mạng công nghiệp được nối với mạng doanh nghiệp đã thay
đổi rất nhiều. Một số được nối trực tiếp trên tên miền của doanh nghiệp.
Một số mạng gồm các mạng được phân đoạn được kết nối bằng router hoặc VLAN
(Mạng nội bộ ảo).
Trong khi số khác vẫn được tách biệt hoạt toàn khi chia sẻ các nguồn tài nguyên
chung qua mạng Internet. Trong quá nhiều trường hợp, các biện pháp an ninh cho
các mạng này chiếu theo các biện pháp và cơ chế kiểm soát được sử dụng trong
mạng doanh nghiệp và thường không đáp ứng các yêu cầu của bên công nghiệp.
Những gì cần là một phương pháp bảo mật mạng tốt hơn bằng cách lắp vào, chỉnh
sửa và cấu hình các phương pháp an ninh thử nghiệm và phù hợp được doanh
nghiệp phát triển để sử dụng trong môi trường công nghiệp.

Các phương thức xây dựng cơ chế bảo vệ cho mạng
Hãy xem xét một cách chi tiết các đặc điểm này, chúng ảnh hưởng tới sự phát triển
của mạng truyền thông bảo mật như thế nào, một số phương pháp, thủ tục và thiết
bị có thể được áp dụng để cung cấp khả năng bảo vệ. Yêu cầu của mạng lưới an

ninh công nghiệp so với khả năng của một mạng lưới an ninh hệ thống IT là gì?
Mục tiêu chung của bất kỳ chiến lược bảo vệ mạng nào là bảo vệ tất cả các khu
vực nhạy cảm của quy trình sản xuất đồng thời hỗ trợ tích hợp dài hạn các mạng
văn phòng và công nghiệp trong môi trường công ty. Mạng công nghiệp không thể
chỉ đơn thuần copy các biện pháp an ninh được sử dụng trong môi trường văn
phòng. Làm như vậy sẽ để lại các lỗ hổng an ninh.
Thách thức đối với nhà sản xuất là làm quen với các điểm dễ bị tổn thương trong
hoạt động của mình, hiểu biết về các công cụ an ninh hiện có và xây dựng một hệ
thống cung cấp khả năng bảo vệ tương ứng. Hiện nay có rất nhiều kỹ thuật và công
nghệ an ninh và có hàng nghìn sản phẩm có thể giúp thực hiện tác vụ này. Một số
trong đó là các firewall và bộ Router kết nối mạng công nghiệp; các thiết bị an
ninh; các thiết bị VPN, sự xác nhận và các thiết bị mã hóa được bàn ở đây. Khi
được áp dụng và lắp đặt một cách phù hợp, các cơ chế và kỹ thuật này có thể cung
cấp an ninh cho mạng công nghiệp của bạn mà nó đòi hỏi để kết nối trực tiếp các
thiết bị mạng và sản xuất riêng lẻ với mạng internet, các văn phòng từ xa, các
xưởng sản xuất từ xa, các khu sản xuất giống hệt nhau, hay các khu vực khác cần
có giao tiếp bằng Ethernet công nghiệp bảo mật.

Firewall và Firewall/Router.
Firewall có nhiều loại. Các thiết bị cắm và chạy này có thể được lắp đặt ở bất kỳ
đâu trên mạng mà không cần cấu hình hay tái cấu hình thiết bị cuối. Không có bất
cứ sự thay đổi nào đối với cách thiết lập mạng (các địa chỉ IP, các mặt nạ mạng
phụ, các cổng giao tiếp mặc định); mạng không cần phải được chia nhỏ thành các
mạng con IP tách biệt.

Firewall/Router thường là những thiết bị kết hợp.
Chúng là các router với các tính năng firewall được cài đặt vào hoặc firewall với
các tính năng Router được cài vào.
Các thiết bị này có thể phân khúc mạng, có thể được sử dụng như một cổng giao
tiếp, và cho phép truy cập an toàn vào Internet. Các chức năng của Firewall bao

gồm cách li các thiết bị tới hạn với các nguồn gây hại, tách mạng thành những
vùng an ninh, hạn chế giao tiếp giữa các vùng, và bảo vệ các bộ điều khiển khỏi
các lỗ hổng đã biết.
Trong một hoạt động firewall/định tuyến điển hình, tất cả các dòng dữ liệu IP được
gửi từ một mạng an toàn tới mạng không an toàn hay xa hơn được phép đi ngang
qua firewall/router. Lưu lượng được gửi từ mạng bảo mật tới mạng không bảo mật
sẽ bị khóa tự động.

Cấu trúc liên k
ết Ethernet mô tả việc tích hợp mạng doanh nghiệp với
nhà máy sản xuất. An ninh đạt đư
ợc thông qua việc sử dụng các thiết bị
Hirschmann® Eagle Firewall/ VPN trong 3 khu v
ực: Khai thác công
nghiệp (được làm nổi bật bằng màu xanh lam nhẹ) và 2 khu vực của s
àn
nhà máy trong Building B (được làm nổi bật với màu cam nhẹ). Các

thiết bị Eagle VPN lí tưởng cho truy cập từ xa, bảo mật – tách bi
ệt
mạng bằng cách điều khiển dữ liệu nào được phép đi qua theo hư
ớng
nào và thực hiện NAT (dịch địa chỉ mạng).

Thiết bị an ninh.
Các thiết bị an ninh là một loại phần cứng nội tuyến được sử dụng để bảo vệ một
thiết bị đơn hay một nhóm nhỏ các thiết bị trong thời gian thực khỏi các dòng dữ
liệu không mong muốn. Trong đó các loại mới nhất là các loại cung cấp an ninh
cấp khu vực, bao gồm việc kiểm tra gói dữ liệu sâu đối với các nhóm PLC, DCS,
RTU và HMI cũng như các giao thức truyền thông chuyên ngành của mình. Những

thiết bị này thường cài đặt đơn giản hơn các sản phẩm an ninh khác, và có thể được
lắp đặt cũng như thực thi trên một mạng sống mà không cần đào tạo đặc biệt,
không cần phải cấu hình trước hay không phải ngừng hệ thống.
Những loại sản phẩm này được cung cấp như một giải pháp an ninh phân tán. Phần
mềm quản lí trung tâm đi kèm các thiết bị cho phép cấu hình dạng module, quản lí
và giám sát nhiều thiết bị từ một trạm làm việc quản lí. Phần mềm quản lí cho phép
một model ảo của toàn bộ mạng điều khiển được phát triển nhanh chóng; trong đó
nhiều phần mềm cung cấp các công cụ kéo thả nhằm đơn giản hóa việc tạo lập,
chỉnh sửa và kiểm tra cấu hình của thiết bị được triển khai trong mạng của bạn.
Trạng thái của toàn bộ hệ thống có thể quan sát được trên một màn hình, cung cấp
thông tin thời gian thực về các sự kiện không phù hợp với quy định trong mạng của
bạn.
VPN, xác nhận người sử dụng và mã hóa.
Truyền thông bảo mật có thể được mở rộng ra ngoài biên của mạng, vùng an ninh
nội tại, hoặc cấp thiết bị sử dụng cơ chế kết nối xác nhận người sử dụng từ xa hay
VPN (mạng riêng ảo). Hầu hết các firewall có thể hỗ trợ thiết lập các kết nối VPN
sử dụng tầng socket (SSL) được bảo vệ, phím chia sẻ sẵn (PSK) hay các xác nhận
X.509 để cung cấp khả năng truy cập được mã hóa trên các mạng trung gian hoặc
không đáng tin cậy như mạng Internet.
Các giao tiếp bảo mật có thể được thiết lập sử dụng phương pháp xác định đúng
người sử dụng và các nền tảng nguyên tắc firewall cụ thể cho người sử dụng.
Firewall có thể được sử dụng trên đường biên mạng giữa văn phòng và sàn nhà
máy hay các khu vực sản xuất giống nhau, hoặc đóng vai trò như một cổng giao
tiếp với mạng Internet.
Thí dụ, giải pháp VPN sẽ tạo ra các đường truyền bảo mật trên các mạng không
đáng tin cậy, bao gồm mạng Internet hoặc mạng lưới kinh doanh của doanh
nghiệp. Giải pháp này cần dễ triển khai, kiểm tra và quản lí cũng như cần cung cấp
các phương pháp để xây dựng các file cài đặt được cấu hình sẵn nhằm giúp đảm
bảo rằng an ninh không bị tổn thương do lỗi cấu hình. Ngoài ra, giải pháp này cần
hỗ trợ các thiết bị và giao thức tự động hóa công nghiệp, có khả năng được kết hợp

với thiết bị khác để tạo ra một giải pháp an ninh toàn diện.

Kết hợp tất cả các biện pháp với nhau
Lựa chọn các thiết bị để bảo vệ mạng truyền thông công nghiệp không chỉ là một
phần của thách thức. Lắp đặt thiết bị phù hợp cũng đóng một vai trò quan trọng.
Các thiết bị khác nhau được sử dụng cho những mục đích khác nhau. Thí dụ, một
thiết bị an ninh bảo vệ tại cấp thiết bị và không có khả năng định tuyến hoặc phân
đoạn mạng. Đối với một nhà máy nhỏ không có nhân viên IT tại hiện trường cần
kết nối với Internet để kết nối với văn phòng công ty, firewall sẽ là một lựa chọn
phù hợp hơn. Thiết bị an ninh thường không đóng vai trò như một firewall hay
router truyền thống. Nó không thể xây dựng các phân đoạn mạng tách biệt bằng
cách tạo ra một phân đoạn mạng IP trên một bề mặt phân giới và một phân đoạn
mạng IP. Mặc dù nó sẽ không thay đổi hay định tuyến dòng dữ liệu sang một phân
đoạn mạng khác, tuy nhiên nó sẽ bảo vệ thiết bị cuối thông qua việc giám sát dòng
dữ liệu toàn diện và các cơ sở nguyên tắc dạng hạt có thể tùy biến.
Do các hệ thống biến đổi rất nhiều, nên các trường hợp cụ thể không thể liệt kê
được trong bài viết này. Tuy nhiên, nhìn chung, khi kết hợp với nhau thành một hệ
thống như vậy, chúng ta phải tự tìm ra câu trả lời cho các câu hỏi sau đây:
Thiết bị hoặc hệ thống có cung cấp tính năng an ninh có thể mở rộng hay không?
Có dễ tích hợp với kiến trúc hiện nay hay không?
Có dễ lắp đặt, vận hành và bảo dưỡng hay không?
Nó có chức năng quản lí toàn bộ như quản lí Web-based và đèn LED chỉ trạng thái
hay không?
Nó có hỗ trợ cơ chế dự phòng hay không?
Khi lựa chọn bảo vệ, phải giành thời gian để xác định liệu thiết bị được xem xét có
được nhân viên của bạn phát triển hay không. Liệu hệ thống được thiết kế để nhân
viên của bạn có thể sử dụng hiệu quả mà không cần đến chuyên gia IT, hay phải
gọi ai đó khi có sự cố xẩy ra hay không? Ngoài ra, mọi thiết bị an ninh công nghiệp
phải được thiết kế, chứng nhận và tăng độ bền cho các môi trường khắc nghiệt. Nó
cần có vỏ bọc bền vững, bộ cấp nguồn dự phòng và một dải nhiệt độ hoạt động

rộng cho phép lắp đặt bất cứ khi nào cần đến an ninh.
Các hệ thống an ninh trang bị nhiều phương tiện kết nối mạng, thông dụng nhất là
kết nối cáp đồng và cáp quang và kết nối không dây hay trong một số trường hợp
là sự kết hợp các phương tiện trên.
Mặc dù tất cả đều đem đến công suất truyền tín hiệu tối ưu, các thiết bị có độ rủi ro
cao có thể thiên về sử dụng cáp quang, loại kết nối cung cấp bandwidth cao, không
dễ bị nhiễu (EMI hoặc RFI), và cung cấp khả năng một phương tiện kết nối ít bị
hacker tấn công. Tuy nhiên, khi cáp quang được lựa chọn, một số yêu cầu lắp đặt
đặc biệt phải được đáp ứng - trong đó có các giới hạn bán kính chỗ nối, tải tối đa,
sự nguy hiểm của môi trường, đặc biệt là độ ẩm.
Nói tóm lại, các thiết bị an ninh Ethernet công nghiệp cần có khả năng được quản
lí riêng rẽ sử dụng cả trình duyệt Internet hay với phần mềm từ nhà cung cấp thiết
bị. Thiết bị an ninh có thể được áp dụng tại biên mạng công nghiệp, cấp hệ thống
con, khu vực sản xuất hoặc chính tại máy móc.

Phát triển bảo vệ theo chiều sâu
Khi không được bảo vệ, sẽ gây ra nguy cơ ngừng máy và hỏng hóc tốn kém cũng
như mất thời gian cho công ty của bạn.
An ninh là một quá trình bao gồm, bên cạnh công sức ban đầu bỏ ra, là bảo dưỡng
và nâng cấp thường xuyên; đánh giá và cập nhật định kỳ; và giáo dục thường
xuyên. Mọi cơ sở sản xuất cần làm việc với nhà cung cấp giải pháp an ninh để thực
hiện đánh giá rủi ro an ninh và xem xét các biện pháp có thể được đưa ra, đặc biệt
có thể thay đổi quy trình và sản xuất. Nên nhớ rằng việc thay đổi có thể tạo ra
nhiều lỗ hổng mới, và cần biết rằng sản phẩm tiếp tục phát triển, đem đến công
suất cao hơn và hiệu quả lớn hơn.
Không có một nguồn nào có thể cung cấp tất cả các câu trả lời. Giành thời gian để
tìm hiểu các phương pháp và những tiến bộ trong an ninh. Bạn sẽ có câu trả lời
ngay: Hãy hỏi nhà cung cấp, tham dự các buổi hội thảo và semina, nhờ chuyên gia
tư vấn và tận dụng các nguồn tài nguyên online. Các website chính phủ Mỹ có thể
hữu ích cho bạn bao gồm US-CERT của Bộ nội vụ với nhiều thông tin online và

thông qua các tài liệu an ninh được xuất bản (truy cập www.us-cert.gov để biết
thêm thông tin). Trung tâm tài nguyên an ninh máy tính, nhóm an ninh máy tính
(csrc.nist.gov) thuộc Viện Tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST) cũng
là một nguồn hữu ích. Các tổ chức quốc tế có thể giúp ích cho bạn bao gồm Ủy ban
Kỹ thuật điện quốc tế, hay viết tắt là IEC (www.iec.ch) và Tổ chức tiêu chuẩn quốc
tế, ISO (www.iso.org). Các tổ chức độc lập như Hiệp Hội tự động hóa Công
nghiệp, ISA (www.isa.org), cũng cung cấp các vật liệu và thiết bị.