摘要

 工業(yè)組織面臨著日益嚴峻的挑戰(zhàn)：如何訪問工廠數(shù)據(jù)進行分析、優(yōu)化和合規(guī)性，同時防止傳入的網(wǎng)絡攻擊。數(shù)據(jù)二極管為運營技術 (OT) 網(wǎng)絡提供了最強大的防御措施，但由于這些設備嚴格執(zhí)行單向通信，因此與標準工業(yè)協(xié)議不兼容。本篇內(nèi)容探討了 Cogent DataHub 軟件采用的隧道/鏡像架構如何克服這些挑戰(zhàn)，并提供安全、一致且靈活的遠程數(shù)據(jù)訪問。

關鍵要點：

數(shù)據(jù)二極管為 OT 網(wǎng)絡提供最強的隔離，阻止所有入站數(shù)據(jù)流。

OPC 和 MQTT 等標準工業(yè)協(xié)議無法通過二極管運行。

 Cogent DataHub 軟件采用的隧道/鏡像方法可以通過數(shù)據(jù)二極管連接 OPC、MQTT 或其他協(xié)議，從而保持數(shù)據(jù)的兼容性、安全性和一致性。

介紹

 許多行業(yè)對實時過程數(shù)據(jù)的需求正在加速增長。人工智能驅動的分析、預測性維護系統(tǒng)和先進的運營儀表盤都需要來自工廠車間的持續(xù)、高質量的信息。然而，這種連接性在提供洞察力的同時，也帶來了風險。針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊正變得越來越復雜，也越來越頻繁。在日益增長的安全威脅中，數(shù)據(jù)需求的不斷增長，這種雙重壓力促使許多組織考慮使用數(shù)據(jù)二極管。

 數(shù)據(jù)二極管強制信息單向流動。如同其在電子學中允許電流單向流動的同名二極管一樣，數(shù)據(jù)二極管從安全網(wǎng)絡傳輸數(shù)據(jù)，同時完全阻止入站流量。無需檢查或過濾入站數(shù)據(jù)包，因為從未交付過任何數(shù)據(jù)包。這種絕對屏障使數(shù)據(jù)二極管成為保護關鍵任務 OT 系統(tǒng)免受外部威脅的最有效方法。

DMZ 和防火墻

 在工業(yè)網(wǎng)絡安全架構中，數(shù)據(jù)二極管可以替代或與其他常見的安全層（例如防火墻和非軍事區(qū) (DMZ)）協(xié)同工作。防火墻會根據(jù)規(guī)則過濾入站和出站流量，但仍必須允許某些數(shù)據(jù)包通過，而這些數(shù)據(jù)包可能會被利用。DMZ 會創(chuàng)建一個分段的網(wǎng)絡區(qū)域來協(xié)調(diào)訪問，但它并不在物理上強制單向流動。而數(shù)據(jù)二極管則是一種單向網(wǎng)關，可在物理或邏輯上確保數(shù)據(jù)僅向一個方向移動。對于即使只有一個入站數(shù)據(jù)包也不可接受的環(huán)境，數(shù)據(jù)二極管可提供最高級別的保護。

單向鏈接的協(xié)議挑戰(zhàn)

 雖然數(shù)據(jù)二極管的安全優(yōu)勢顯而易見，但其單向約束幾乎會破壞所有工業(yè)通信協(xié)議。例如，OPC UA 和 MQTT 都是基于雙向消息傳遞構建的。它們需要確認、訂閱或握手交換，而真正的數(shù)據(jù)二極管會直接阻止這些交換。

 為了解決這個問題，OPC UA 的發(fā)布/訂閱模型支持通過 UDP 進行單向傳輸。然而，UDP 不提供交付、順序或完整性的保證。數(shù)據(jù)包可能會被丟棄或亂序到達，這在關鍵過程環(huán)境中是不可接受的。網(wǎng)絡擁塞、MTU 大小限制以及缺乏固有的糾錯機制都會增加可靠性風險。

 MQTT 需要一種不同的解決方法。盡管 MQTT 客戶端可以通過防火墻向外連接到代理，但該協(xié)議仍然需要雙向流來進行會話管理和服務質量監(jiān)控。為了成功穿越數(shù)據(jù)二極管，MQTT 消息必須進行封裝。

隧道/鏡像解決方案

 隧道/鏡像方法解決了數(shù)據(jù)二極管的協(xié)議挑戰(zhàn)。在此架構中，源協(xié)議（OPC UA、MQTT或其他）被封裝在可穿過二極管的單向傳輸中。在接收端，鏡像實例會為消費應用程序重建原始協(xié)議的語義。

數(shù)據(jù)二極管模式硬件支持圖

 這種方法不可避免地會改變某些行為。例如，同步事務變?yōu)楫惒绞聞眨@在某些用例中可能會帶來不便。從積極的一面來看，像 DataHub 隧道/鏡像這樣的實現(xiàn)方式可以用保證數(shù)據(jù)一致性來取代 MQTT 的服務質量功能，即使中間更新丟失，每個點的最新值也始終準確。DataHub 隧道/鏡像還可以在協(xié)議之間進行轉換。例如，OPC UA 中的源數(shù)據(jù)可以作為 MQTT 向外提供，而不會丟失值、時間戳或質量元數(shù)據(jù)。

將數(shù)據(jù)聚合到通用命名空間

 工業(yè)設施通常從各種來源生成和使用數(shù)據(jù)，包括PLC、傳感器、SCADA系統(tǒng)、數(shù)據(jù)庫和歷史數(shù)據(jù)庫。將這些數(shù)據(jù)源整合到一條二極管保護的路徑中，可以降低基礎設施的復雜性。一個能夠在源端和客戶端處理OPC UA、OPC Classic、MQTT、Modbus、ODBC等協(xié)議的隧道/鏡像系統(tǒng)，可以創(chuàng)建一個通用的命名空間。這個統(tǒng)一的層可以直接使用，也可以饋送到現(xiàn)有的企業(yè)命名空間。

確保一致性

 確保數(shù)據(jù)的一致性對許多工業(yè)流程至關重要。通常，瞬態(tài)狀態(tài)的準確順序不如當前狀態(tài)的準確性重要。如果傳感器值快速變化，則消耗系統(tǒng)主要需要最新的讀數(shù)。例如，如果閥門多次循環(huán)開啟和關閉，操作員通常只需要確認其當前位置。保證數(shù)據(jù)一致性的隧道/鏡像解決方案可確保這些最終狀態(tài)的一致性和可靠性。

存儲轉發(fā)注意事項

 網(wǎng)絡中斷可能由多種原因引起，因此存儲轉發(fā)功能必不可少。然而，通過數(shù)據(jù)二極管轉發(fā)歷史數(shù)據(jù)本質上是單向的。如果沒有回傳的確認信息，就無法確認數(shù)據(jù)已送達。一些隧道/鏡像工具（包括 DataHub 實現(xiàn)）允許發(fā)送方“回退”以重新傳輸丟失的數(shù)據(jù)。但是，如果接收方離線，這些信息可能會丟失。

軟件仿真

 如果物理數(shù)據(jù)二極管不切實際，軟件模擬可以提供類似的好處。例如，Cogent DataHub 數(shù)據(jù)二極管模式通過丟棄所有入站應用程序數(shù)據(jù)并阻止任何反向通信，使安全隧道連接的行為類似于硬件數(shù)據(jù)二極管。與數(shù)據(jù)二極管硬件不同，此類解決方案還可以支持 SSL 連接。但缺點是，如果接收方受到攻擊，發(fā)送方的 SSL 堆棧可能會成為攻擊目標。這種方法的一個優(yōu)點是軟件數(shù)據(jù)二極管可能更經(jīng)濟實惠，并且/或者更易于安裝和維護。

數(shù)據(jù)二極管模式軟件仿真圖

考慮所有選項

 雖然數(shù)據(jù)二極管在高可靠性隔離方面表現(xiàn)出色，但并非普遍適用。您需要考慮所有選項。對于需要雙向控制命令、頻繁確認或跨鏈路事務完整性的進程，分層防火墻/DMZ 解決方案可能更適合。

 再次強調(diào)，安全的隧道/鏡像實現(xiàn)至關重要。即使不在數(shù)據(jù)二極管模式下運行，DataHub 隧道/鏡像也能讓您保持所有入站防火墻關閉，并通過 DMZ 傳輸數(shù)據(jù)，從而保證從源到用戶的數(shù)據(jù)一致性。

 無論如何，僅僅因為需要訪問過程數(shù)據(jù)，就無需在安全性上妥協(xié)。Cogent DataHub 軟件實現(xiàn)的隧道/鏡像方法可以滿足數(shù)據(jù)二極管最嚴格的安全要求，或通過封閉的防火墻和 DMZ 提供安全的雙向數(shù)據(jù)流，幾乎任何架構都有可行的選擇。