正如多數(shù)人了解的那樣，大多SCADA和ICS協(xié)議并不支持網絡消息的粒度檢測。在TCP/IP層，讀數(shù)據包看起來就和PLC固件升級包一樣。如果你允許讀數(shù)據包通過傳統(tǒng)防火墻，你也讓固件升級包通過了。這就是一個很嚴重的問題了。

       ConneXium Tofino產品在自身每個單元中配置了我公司的Modbus TCP Enforcer模塊，就可以解決這個問題。Modbus TCP Enforcer只允許被認可的Modbus指令從被核準的設備發(fā)出并通過防火墻。這被稱為“深度包檢測”，這項技術阻止了不恰當?shù)倪h程編程或來自于惡意軟件和黑客的蓄意破壞消息等多種攻擊。類似于這樣的技術在防火墻領域中是非常稀缺的。

       再次說明，使用的便利性對Modbus TCP Enforcer來說非常關鍵。這就無需要求控制工程師們掌握應用程序所使用的特定Modbus功能編碼，因為很多標準應用場景已經定義好了。比如，若你想讓ConneXium Tofino只允許讀數(shù)據指令在PLC和HMI之間傳送，那你可以直接選Read Only選項。

針對產品漏洞的多芬諾安全文件

       在之前的一篇博客中我討論過需要在不停地打補丁這一措施之外尋找其他備選方案。ConneXium Tofino防火墻通過支持多芬諾安全文件實現(xiàn)了這一目標。他們是定制規(guī)則，以及為抵御最新公開的漏洞和惡意軟件所定義協(xié)議的集合。每個多芬諾安全文件都是已經打包好的，因而能夠迅速配置且不會影響運行，從而提供抵御新威脅的快速且有效的安全屏障。

        例如，上周我發(fā)布了針對CoDeSys漏洞的安全文件。CoDeSys漏洞是影響上百個不同控制產品安全的威脅。由于CoDeSys公司還沒有提供產品補丁，因此我們與Joel Langill公司 (www.scadahacker.com)合作，即時發(fā)布了解決方案。

網絡安全防護是有效果的

        如果你是本博客專欄的定期讀者的話，你會了解我們刊登的大部分文章旨在普及相關知識而非營銷。不過這一篇的確是在“為自己宣傳”，因而非常感謝大家一如既往的支持！

        然而更重要的是，我希望本篇博客能夠說明科學技術能夠設計的讓工業(yè)網絡安全易于實現(xiàn)。不論你是否選擇使用多芬諾技術，我們都希望你能夠看到網絡安全技術是可以交付使用的，這樣控制器使用者們就能確保他們的系統(tǒng)是安全的——而且也就能夠專注于安全可靠的生產活動，做好本職工作。

        我再從Bob Lockhart在Pike Research上的發(fā)言中引用兩句作為本文的結尾：

        “自動化系統(tǒng)面臨著特殊的網絡安全挑戰(zhàn)，需要由了解這些系統(tǒng)如何運行的企業(yè)提供安全防護……那些想要專注于他們的核心業(yè)務，而非技術的公司?！?/span>