关键基础设施和工厂自动化是最常见的网络攻击目标。这些系统的网络安全与性能一样重要。

网络攻击已经成为一个越来越复杂、高技术和高风险的事件，工业网络安全正在发展，保护网络系统和资产、确保安全、防止经济损失，这涉及到多个层面和参与者，包括组件制造商、网络系统制造商、服务提供商和网络系统运营商。

Phoenix Contact公司的解决方案工程师及全球工业网络安全专家（Global Industrial Cyber Security Professional ）乔治·里德（George Reed）指出：“管理网络安全的首要框架是NIST CSF，其次是IEC 62443标准。该标准指导网络设备制造商、网络服务提供商实施部件规范、设计以及最终用户的网络安全。IEC 62443 4-1和4-2中的安全设计是一个关键特性，它采用了一种全面的方法，定义了程序和技术措施。”

里德说：“我们帮助人们实施这些不同框架，或决定选择哪些网络产品。我们在开发大多数具有通信或接口功能的网络设备时，需要遵循62443 4-1和4-2标准。比如交换机、路由器、无线设备和控制器。我们遵循这一标准，将安全放在最重要的位置。每个网络系统项目都具备实施不同安全控制的功能，如加密、身份验证和更改默认密码，这些功能都融入了网络系统设计中。”

例如，设计应用的安全网络可能从设计制造安全网络开始，该网络系统设有正确的区域和通道，并配置入网的产品。“我们将把网络安全纳入讨论，要使网络安全，”里德说。

向欧洲市场销售产品的制造商需在2027年12月前遵守CRA (Cyber Resilience Act) ，即网络安全法，获得产品CE认证。此外，自2024年10月起生效的《网络与信息安全指令》（NIS 2）适用于欧盟内的公司。自2025年8月1日起，所有含有无线电技术的网络设备制造商必须遵守欧盟《无线电设备指令》（RED）2014/53/EU下的新网络安全要求。

系统运营商面临的问题和风险

关键基础设施，包括水处理、电力供应和石油天然气行业，是面临最大风险并需要加强网络安全措施的领域。交通系统、铁路和公共交通系统，以及制造设施，也是潜在的目标。恶意行为者能够关闭变电站，导致整个国家的部分地区停电。例如，一家制造商因遭受勒索软件攻击而被封锁生产线，每天可能损失数百万美元。根据美国环保署（EPA）的报告，未经授权的远程用户通过利用人机界面（HMI）查看和调整实时系统设置，可能破坏水处理设施，从而影响处理过程。在这些网络系统中内置安全措施可以最大化其有效性。

开源情报调查研究组织（OSINT）提供了调查公司和识别目标的能力。有人可以攻击大量的IP地址，以及其它网络攻击方式。《财富》500强公司因为拥有大量资金和资源而成为吸引人的目标，但小型和中型组织也面临风险，因为它们的网络安全措施往往不够完善。根据成本考虑，公司支付赎金可能比重新安装整个系统更划算，后者可能会非常昂贵。里德说:“如果赎金是20万美元，但更换系统的费用将是50万美元，他们就会选择支付赎金。当然，这不是一个理想的解决方案，应该促使公司采取更加积极主动的网络安全措施。”

开发网络安全系统的注意事项

“预算可能是首要考虑因素，”里德说。“如果预算不足以实施保护网络系统所需的措施，他们需要回去制定一个可行计划。”

里德说：“第二个考虑因素是公司是否有专人负责监督这些措施。我总是会问他们是否有人能够管理和实施框架中规定的措施。安全需求不断变化。理想情况下，跟踪网络产品中的常见漏洞（CVE）和监控新发展应该是负责人的主要职责。然而，有时这一职责由IT部门和OT部门共同承担。有时，设施经理也需承担这一职责。”

Phoenix Contact的360°全方位安全理念始于产品开发阶段，严格遵循IEC 62443 4-1和4-2标准。“我们的网络产品在其整个生命周期中都内置了安全控制措施，”里德表示。“我们的网络产品开发团队持续为这些网络产品提供固件更新，而我的团队则专注于构建具有安全意识的网络系统解决方案。我们的网络产品安全事件响应（PSIRT）团队密切关注网络市场上的新威胁，评估这些威胁如何影响我们的网络产品，并及时发布新的CVE通知，帮助客户确保未来的网络安全。”

里德接下来尝试了解公司在网络安全成熟度方面的状况，然后根据这些信息提出建议。通过一系列问题，他展示了网络系统的实际面貌和起点。他们对网络安全的了解程度如何？目前有哪些措施？他们的政策和程序是什么？是否使用了旧网络产品？是否进行了网络设施跟踪？是否更新了固件？是否更改了默认密码？是否设置了VLAN（虚拟局域网）？是否有任何分段措施？网络是扁平的吗？

里德还问：“你们最重要的资产是什么？你们是如何保护这些资产的？你们是否对它们进行了分段管理？是否进行了微细分？是否设置了防火墙，还是这些措施只是整个扁平网络的一部分？在确定了这些资产的位置后，我们就可以开始制定未来的计划，实施新的实践。这包括制定政策，遵守X、Y、Z等原则，确保使用最小权限原则，即用户应拥有完成其工作所需最低限度的访问权限。我们遇到的人群非常广泛，从对网络安全一无所知的人到那些熟练且熟悉网络安全的人，他们可能需要一些帮助来将我们的网络产品集成到他们的网络中.”

BACnet SC与楼宇自动化安全

随着暖通空调、照明、遮阳和门禁等建筑系统越来越多地连接到云端，这些网络系统也变得更加容易受到网络威胁。这种连接虽然实现了远程管理和数据驱动的优化，但也为恶意行为者提供了潜在的网络攻击机会。BACnet/SC通过在BACnet协议中引入安全加密通信层，有效应对了这些网络安全漏洞。

BACnet是一种开源的网络数据通信协议，用于楼宇自动化和控制（BAC）网络。该协议由美国供暖、制冷与空调工程师学会（ASHRAE）开发，旨在实现不同制造商设备在楼宇网络上的互操作性。BACnet标准化了网络设备的通信和集成。BACnet/IP通过使用互联网协议（IP）在以太网上进行通信，扩展了这一功能，但依赖于用户数据报协议（UDP），而UDP缺乏固有的安全机制。因此，使用BACnet/IP的网络系统容易受到诸如窃听、欺骗和拒绝服务（DoS）攻击等网络威胁。虽然从暖通空调系统入侵其它网络系统获取私人数据的可能性不大，但并非完全不可能。然而，未经授权控制建筑的主要功能，包括访问权限，可能会造成重大损害。

METZ Connect的BACnet SC路由器。

METZ Connect的业务和品牌发展经理Dan Jamroz说：“BACnet/SC与BACnet/IP的工作方式相同，同时解决了早期协议的网络安全缺陷。BACnet/SC引入了使用现代IT标准的加密、认证通信，显著增强了建筑自动化网络的网络安全态势。”

BACnet/SC采用TLS（传输层安全）实现端到端加密。此外，每个BACnet/SC设备都必须提供数字证书以验证其身份。这一相互认证过程确保只有可信设备能够加入网络系统，从而显著降低了欺骗或冒充攻击的网络风险。BACnet/SC还使用TCP/IP上的WebSockets，而非UDP。这提高了网络系统的可靠性，并与现代IT网络标准更加一致。Jamroz说道：“WebSockets是服务器与设备之间的双向实时连接。一旦连接成功，就无法被他人侵入。”

BACnet SC的另一大优势在于它能够与BACnet IP设备通信。这意味着您可以在不升级所有网络设备的情况下，将网络系统升级到BACnet SC。“重要的是SC路由器确保您的IP设备正常运行，但这些网络设备将不具备SC的安全功能，它们仍然只能使用之前的功能，”Jamroz说道。

数据传输速度影响安全性

EPT的Colibri 0.5毫米间距SMT系列连接器

EPT的Colibri 0.5毫米间距SMT系列连接器采用PICMG COM Express、SFF-SIG CoreExpress和nano-ETXexpress规格精密制造，包括能够达到32Gb/s的版本，满足关键任务系统对可靠性的期望。

具有高数据传输速度（10、16、25，甚至32+ Gb/s）的连接器对于网络安全硬件至关重要，因为它们直接提升了依赖实时网络数据分析的安全系统性能和响应速度，包括网络流量监控和恶意软件检测。如果连接器速度过慢，可能会成为攻击点，并在加密和解密过程中造成瓶颈。内置的电磁干扰屏蔽是必要的，防止信号退化、串扰和信号泄漏，从而抵御利用硬件信号弱点的黑客攻击，如侧信道攻击。