网络安全:防火墙设备创建自己的规则

创建深度网络防御通常涉及在控制系统的内部级别添加小型防火墙设备。现在，这些设备已经足够智能，可以根据对流量模式的观察来创建自己的防火墙规则。

MTL仪器而且Byres安全公司．为Tofino工业安全设备发布了新的可加载安全模块(LSM)，据报道，它可以发现和识别网络

Tofino提供设备级工业以太网安全性。

来自IT世界的资产管理工具已经出现了十多年，但它们通常基于向网络发送探测消息以发现所部署内容的原则。不幸的是，对于工业用户来说，有许多记录案例表明这些发现消息导致SCADA和过程控制系统崩溃。

2005年，桑迪亚国家实验室(Sandia National Laboratories)发布了一份报告，描述了使用这些工具导致的一系列严重事件，其中包括这样一个例子:“为了库存目的，正在执行ping扫描，以识别连接到网络的所有主机，它导致了一个控制制造工厂集成电路创建的系统挂起。结果是毁掉了价值5万美元的威化饼。”

因此，许多主要的能源和制造公司已经限制或禁止在工业网络上使用it风格的资产工具，使得控制工程师没有任何技术来确定在任何给定时刻实际连接到他们的网络的是什么。

该公司表示，新模块提供了一种安全可靠的方法来定位控制系统网络上的内容。专为石油和天然气、制造业、公用事业和发电等关键行业的工业控制操作而设计，Tofino从不探测控制设备。相反，它监听流量，然后使用特殊的特征技术来确定网络上控制设备的类型。

当它发现一个新设备时，它会提示系统管理员接受它的扣除额并将新设备插入网络库存图，或者将该设备标记为潜在的入侵者。这样，控制工程师就可以随时获得最新的网络地图。

Byres Security Inc.的首席技术官Eric Byres指出:“被动扫描技术之前已经在学术文献中讨论过，或者在开源项目中发布过，但据我们所知，这可能是该技术在世界上第一次成功的商业应用。”

该模块还指导用户创建适当的防火墙规则来允许或阻止消息，这是基于它对网络流量的了解。诸如IP寻址和TCP/UDP端口号等复杂的技术可以在幕后进行管理，从而使控制专业人员更容易配置防火墙。同样来自控制工程:

内部观察:MTL仪器如何适合库柏工业

-由过程工业编辑彼得·韦兰德编辑，PWelander@cfemedia.com，
《过程与先进控制月刊
在这里注册，向下滚动选择您选择的免费电子新闻。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。