金喜正规买球

摘要

 工业组织面临着日益严峻的挑战：如何访问工厂数据进行分析、优化和合规性，同时防止传入的网络攻击。数据二极管为运营技术 (OT) 网络提供了最强大的防御措施，但由于这些设备严格执行单向通信，因此与标准工业协议不兼容。本篇内容探讨了 Cogent DataHub 软件采用的隧道/镜像架构如何克服这些挑战，并提供安全、一致且灵活的远程数据访问。

关键要点：

数据二极管为 OT 网络提供最强的隔离，阻止所有入站数据流。

OPC 和 MQTT 等标准工业协议无法通过二极管运行。

 Cogent DataHub 软件采用的隧道/镜像方法可以通过数据二极管连接 OPC、MQTT 或其他协议，从而保持数据的兼容性、安全性和一致性。

介绍

 许多行业对实时过程数据的需求正在加速增长。人工智能驱动的分析、预测性维护系统和先进的运营仪表盘都需要来自工厂车间的持续、高质量的信息。然而，这种连接性在提供洞察力的同时，也带来了风险。针对工业控制系统的网络攻击正变得越来越复杂，也越来越频繁。在日益增长的安全威胁中，数据需求的不断增长，这种双重压力促使许多组织考虑使用数据二极管。

 数据二极管强制信息单向流动。如同其在电子学中允许电流单向流动的同名二极管一样，数据二极管从安全网络传输数据，同时完全阻止入站流量。无需检查或过滤入站数据包，因为从未交付过任何数据包。这种绝对屏障使数据二极管成为保护关键任务 OT 系统免受外部威胁的最有效方法。

DMZ 和防火墙

 在工业网络安全架构中，数据二极管可以替代或与其他常见的安全层（例如防火墙和非军事区 (DMZ)）协同工作。防火墙会根据规则过滤入站和出站流量，但仍必须允许某些数据包通过，而这些数据包可能会被利用。DMZ 会创建一个分段的网络区域来协调访问，但它并不在物理上强制单向流动。而数据二极管则是一种单向网关，可在物理或逻辑上确保数据仅向一个方向移动。对于即使只有一个入站数据包也不可接受的环境，数据二极管可提供最高级别的保护。

单向链接的协议挑战

 虽然数据二极管的安全优势显而易见，但其单向约束几乎会破坏所有工业通信协议。例如，OPC UA 和 MQTT 都是基于双向消息传递构建的。它们需要确认、订阅或握手交换，而真正的数据二极管会直接阻止这些交换。

 为了解决这个问题，OPC UA 的发布/订阅模型支持通过 UDP 进行单向传输。然而，UDP 不提供交付、顺序或完整性的保证。数据包可能会被丢弃或乱序到达，这在关键过程环境中是不可接受的。网络拥塞、MTU 大小限制以及缺乏固有的纠错机制都会增加可靠性风险。

 MQTT 需要一种不同的解决方法。尽管 MQTT 客户端可以通过防火墙向外连接到代理，但该协议仍然需要双向流来进行会话管理和服务质量监控。为了成功穿越数据二极管，MQTT 消息必须进行封装。

隧道/镜像解决方案

 隧道/镜像方法解决了数据二极管的协议挑战。在此架构中，源协议（OPC UA、MQTT或其他）被封装在可穿过二极管的单向传输中。在接收端，镜像实例会为消费应用程序重建原始协议的语义。

数据二极管模式硬件支持图

 这种方法不可避免地会改变某些行为。例如，同步事务变为异步事务，这在某些用例中可能会带来不便。从积极的一面来看，像 DataHub 隧道/镜像这样的实现方式可以用保证数据一致性来取代 MQTT 的服务质量功能，即使中间更新丢失，每个点的最新值也始终准确。DataHub 隧道/镜像还可以在协议之间进行转换。例如，OPC UA 中的源数据可以作为 MQTT 向外提供，而不会丢失值、时间戳或质量元数据。

将数据聚合到通用命名空间

 工业设施通常从各种来源生成和使用数据，包括PLC、传感器、SCADA系统、数据库和历史数据库。将这些数据源整合到一条二极管保护的路径中，可以降低基础设施的复杂性。一个能够在源端和客户端处理OPC UA、OPC Classic、MQTT、Modbus、ODBC等协议的隧道/镜像系统，可以创建一个通用的命名空间。这个统一的层可以直接使用，也可以馈送到现有的企业命名空间。

确保一致性

 确保数据的一致性对许多工业流程至关重要。通常，瞬态状态的准确顺序不如当前状态的准确性重要。如果传感器值快速变化，则消耗系统主要需要最新的读数。例如，如果阀门多次循环开启和关闭，操作员通常只需要确认其当前位置。保证数据一致性的隧道/镜像解决方案可确保这些最终状态的一致性和可靠性。

存储转发注意事项

 网络中断可能由多种原因引起，因此存储转发功能必不可少。然而，通过数据二极管转发历史数据本质上是单向的。如果没有回传的确认信息，就无法确认数据已送达。一些隧道/镜像工具（包括 DataHub 实现）允许发送方“回退”以重新传输丢失的数据。但是，如果接收方离线，这些信息可能会丢失。

软件仿真

 如果物理数据二极管不切实际，软件模拟可以提供类似的好处。例如，Cogent DataHub 数据二极管模式通过丢弃所有入站应用程序数据并阻止任何反向通信，使安全隧道连接的行为类似于硬件数据二极管。与数据二极管硬件不同，此类解决方案还可以支持 SSL 连接。但缺点是，如果接收方受到攻击，发送方的 SSL 堆栈可能会成为攻击目标。这种方法的一个优点是软件数据二极管可能更经济实惠，并且/或者更易于安装和维护。

数据二极管模式软件仿真图

考虑所有选项

 虽然数据二极管在高可靠性隔离方面表现出色，但并非普遍适用。您需要考虑所有选项。对于需要双向控制命令、频繁确认或跨链路事务完整性的进程，分层防火墙/DMZ 解决方案可能更适合。

 再次强调，安全的隧道/镜像实现至关重要。即使不在数据二极管模式下运行，DataHub 隧道/镜像也能让您保持所有入站防火墙关闭，并通过 DMZ 传输数据，从而保证从源到用户的数据一致性。

 无论如何，仅仅因为需要访问过程数据，就无需在安全性上妥协。Cogent DataHub 软件实现的隧道/镜像方法可以满足数据二极管最严格的安全要求，或通过封闭的防火墙和 DMZ 提供安全的双向数据流，几乎任何架构都有可行的选择。