Xây dựng hệ thống biên công nghiệp an toàn: Thiết kế và triển khai máy chủ thiết bị nối tiếp (Serial Device Server)
1.06.2025
IEC 62443-4-2 : Chuẩn mực toàn cầu về an ninh mạng công nghiệp
- IEC 62443-4-2 đề ra các yêu cầu kỹ thuật toàn diện về an ninh mạng dành cho Hệ thống Tự động hóa và Điều khiển Công nghiệp (IACS).
- Đối với các thiết bị kết nối biên — như bộ chuyển đổi thiết bị nối tiếp (Serial Device Server) và cổng giao thức (Protocol Gateway) — tiêu chuẩn IEC 62443-4-2 đóng vai trò đặc biệt quan trọng. Những thiết bị này thường là cầu nối giữa các thiết bị công nghiệp cũ và mạng hiện đại. Vì vậy, các thiết bị này nằm trong phạm vi tấn công của cả các mối đe dọa từ IT và OT. Việc đảm bảo các thiết bị này tuân thủ IEC 62443-4-2 giúp tổ chức giảm thiểu đáng kể rủi ro an ninh mạng tại một trong những lớp dễ bị tổn thương nhất trong hệ thống công nghiệp.
- Việc tích hợp các thiết bị biên đáp ứng tiêu chuẩn IEC 62443-4-2 không còn là lựa chọn tùy ý — mà là một yêu cầu chiến lược tất yếu trong việc xây dựng môi trường công nghiệp hiện đại và an toàn.
Triển khai an toàn với kiến trúc bảo mật toàn diện
| Xác thực và phân quyền người dùng
Việc truy cập thiết bị được bảo vệ thông qua chính sách mật khẩu mạnh, hệ thống xác thực tập trung, và cơ chế phân quyền tùy chỉnh theo từng nhóm người dùng. Cách tiếp cận này giúp hạn chế truy cập trái phép và tăng cường kiểm soát an ninh.
| Bảo vệ tính toàn vẹn của thiết bị
Để đảm bảo tính toàn vẹn của các thiết bị kết nối biên, sản phẩm tự động thực hiện xác minh SHA-256 trước khi tiến hành bất kỳ cập nhật firmware nào.
| Triển khai bảo mật
Kết nối biên an toàn được đảm bảo bằng cách vô hiệu hóa các dịch vụ không cần thiết nhằm tăng cường bảo mật và ngăn chặn truy cập trái phép.
| Giao tiếp an toàn
Giao tiếp an toàn được thực hiện thông qua các giao thức mã hóa, sử dụng TLS 1.3 và HTTPS cho kết nối bảo mật, cùng với SNMPv3 cho quản lý mạng an toàn.
| Kiểm soát truy cập
Danh sách IP truy cập cổng nối tiếp cho phép người dùng xác định các địa chỉ IP đáng tin cậy được phép truy cập vào các cổng nối tiếp, qua đó tăng cường bảo mật bằng cách chặn các kết nối trái phép.
Sản phẩm EKIG tuân thủ tiêu chuẩn IEC 62443-4-2
| Sản phẩm | EKI-122x/EKI-152x (1/2/4 cổng) |
EKI-1526x-D (Sắp ra mắt) |
| Tính năng bảo mật cho triển khai thiết bị an toàn | ||
| Xác thực và phân quyền người dùng | Bảo vệ mật khẩu: kiểm soát độ dài và yêu cầu ký tự đặc biệt
Xác thực máy chủ (RADIUS/LDAP) Phân quyền tùy chỉnh cho từng người dùng |
Bảo vệ mật khẩu: kiểm soát độ dài và yêu cầu ký tự đặc biệt
Xác thực máy chủ (RADIUS/LDAP) Phân quyền tùy chỉnh cho từng người dùng |
| Bảo vệ tính toàn vẹn của thiết bị | Kiểm tra mã code SHA trước khi cập nhật thiết bị | |
| Triển khai bảo mật | Tài liệu kỹ thuật
Cho phép tắt các dịch vụ không cần thiết Vô hiệu hóa thiết lập mặc định của giao diện điều khiển Telnet/SSH |
Tài liệu kỹ thuật
Cho phép tắt các dịch vụ không cần thiết Vô hiệu hóa thiết lập mặc định của giao diện điều khiển Telnet/SSH |
| Giao tiếp an toàn | HTTPS (TLS 1.3 với chứng chỉ tự ký, cũng hỗ trợ nhập chứng chỉ công khai), SNMPv3 | HTTPS (TLS 1.3 với chứng chỉ tự ký, cũng hỗ trợ nhập chứng chỉ công khai), SNMPv3 |
| Kiểm soát truy cập | Danh sách IP được phép truy cập cổng nối tiếp | |
| Tăng cường bảo mật thiết bị nhờ quy trình bảo trì tối ưu | ||
| Quản lý cấu hình | WebGUI |
WebGUI |
| Quản lý thiết bị | Syslog (hệ thống ghi log từ xa) | Syslog (hệ thống ghi log từ xa) |
| Quản lý lỗ hổng bảo mật | Cập nhật firmware định kỳ và xử lý các lỗ hổng bảo mật CVE | |
| * Không áp dụng cho các dòng sản phẩm EKI-1211/1511 và EKI-1526(8)x-CE/EKI-1528x-DR.
** Bộ xử lý của dòng EKI-1526x-D hỗ trợ tính năng khởi động bảo mật (secure boot). |
||
/EKI-1222 _S20180125183153.jpg)
/EKI-1524_Front _S20180209105903.jpg)
/EKI-1521_Front _S20180627144304.jpg)
/EKI-1522_Front left _S20180209104616.jpg)
/EKI-1221_Front right _S20180125181744.jpg)
