你可能面臨著提高工業(yè)網(wǎng)絡(luò)信息安全的挑戰(zhàn)。

　　一方面，制造流程可能需要PLC和DCS等設(shè)備在設(shè)計(jì)上更注重可靠性和功能安全而非信息安全。另一方面，工業(yè)網(wǎng)絡(luò)已經(jīng)或者即將和企業(yè)網(wǎng)、互聯(lián)網(wǎng)相連。

　　在考慮如何降低網(wǎng)絡(luò)風(fēng)險(xiǎn)、保護(hù)資產(chǎn)時(shí)，尋找專門針對(duì)工廠而設(shè)計(jì)的技術(shù)解決方案是很重要的。

　　工廠網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的區(qū)別主要體現(xiàn)以下幾個(gè)方面：

• 環(huán)境不同 — 工業(yè)網(wǎng)絡(luò)通常處在惡劣的自然環(huán)境中 

• 員工技能不同 – 你可能擅長(zhǎng)于制造產(chǎn)品或PLC編程，但設(shè)計(jì)網(wǎng)絡(luò)安全解決方案并不是你的強(qiáng)項(xiàng)。 

• 優(yōu)先級(jí)不同 – 工廠操作人員更關(guān)心可靠性和功能安全，而辦公室IT人員通常將保密性視為最高的優(yōu)先級(jí) 

• 協(xié)議不同 – 工廠網(wǎng)絡(luò)需要支持工業(yè)協(xié)議來(lái)保持設(shè)備運(yùn)行。這些協(xié)議的安全防護(hù)較難實(shí)現(xiàn)

　　考慮到以上因素，這里給出了保護(hù)工業(yè)網(wǎng)絡(luò)安全的6個(gè)建議：

1. 選擇工業(yè)組件 　　首先，要確保所有的網(wǎng)絡(luò)組件，包括電纜、機(jī)柜和設(shè)備等，都達(dá)到工業(yè)級(jí)要求，并且擁有較高的MTBF（平均無(wú)故障時(shí)間）評(píng)級(jí)。眾所周知，工廠的要求比典型IT環(huán)境下的要求要嚴(yán)厲苛刻得多，其設(shè)備也要達(dá)到相應(yīng)的要求。

?

　　IT網(wǎng)絡(luò)系統(tǒng)的核心通常是氣候控制良好的、安全的數(shù)據(jù)中心，其設(shè)備一般都是標(biāo)準(zhǔn)的，并且使用時(shí)間往往在10年以下。相比之下，工廠里的工業(yè)網(wǎng)絡(luò)通常處于危險(xiǎn)環(huán)境中，設(shè)備的平均壽命都超過(guò)了10年。照片承蒙Good Health Group提供。

2.尋求冗余和健壯性 　　容易被破壞的設(shè)備為攻擊者的工作帶來(lái)便捷，同時(shí)也增加了支持人員工作的難度。網(wǎng)絡(luò)中的組件，如交換機(jī)和路由器，需要支持工業(yè)冗余技術(shù)。這樣的話如果部分系統(tǒng)遭受惡意軟件攻擊或者受到網(wǎng)絡(luò)事件的影響，依然能保證正常運(yùn)行。

　　這方面有許多首字母縮寫詞和專用術(shù)語(yǔ)，如“zero-failover”，并行冗余協(xié)議PRP（Parallel Redundancy Protocol）以及高可靠無(wú)縫冗余HSR（High-availability Seamless Redundancy）。重要的一點(diǎn)是確保網(wǎng)絡(luò)設(shè)備支持生產(chǎn)需求所要求的冗余等級(jí)。

3.尋求與工業(yè)網(wǎng)絡(luò)管理系統(tǒng)相結(jié)合的技術(shù) 　　融入工業(yè)管理系統(tǒng)對(duì)支持工作和安全事件監(jiān)控至關(guān)重要。使用這樣的系統(tǒng)有助于檢測(cè)網(wǎng)絡(luò)中的異?；顒?dòng)。

　　如果一臺(tái)遠(yuǎn)程的只讀操作站突然試圖對(duì)PLC進(jìn)行編程，應(yīng)當(dāng)立即向工廠人員發(fā)出警告。等到第二天早上IT團(tuán)隊(duì)再來(lái)分析事件，一切就太遲了。

4.部署可以保護(hù)工業(yè)協(xié)議安全的防火墻 　　防火墻應(yīng)當(dāng)優(yōu)化保護(hù)Modbus和OPC這樣的SCADA協(xié)議的安全，而不是email和web通訊。Web和email消息在工廠系統(tǒng)中沒(méi)有容身之處，檢測(cè)這些協(xié)議的產(chǎn)品只會(huì)增加安全解決方案的成本和復(fù)雜度。

5.采用區(qū)域級(jí)安全來(lái)實(shí)施縱深防御 　　實(shí)施縱深防御的最佳實(shí)踐，信息安全不應(yīng)以工廠網(wǎng)絡(luò)的邊界防火墻為終點(diǎn)。相反，應(yīng)依據(jù)ISA IEC 62443標(biāo)準(zhǔn)對(duì)生產(chǎn)網(wǎng)絡(luò)分區(qū)。每個(gè)區(qū)域都有專門的工業(yè)防火墻來(lái)保護(hù)，這些防火墻應(yīng)當(dāng)可以部署在工廠網(wǎng)絡(luò)中，同時(shí)不會(huì)對(duì)業(yè)務(wù)操作造成任何風(fēng)險(xiǎn)。

6.集中精力 　　有些資產(chǎn)如果遭受攻擊的話，將會(huì)對(duì)生產(chǎn)、安全或環(huán)境造成嚴(yán)重的影響，每套控制系統(tǒng)中都有一個(gè)或多個(gè)這樣的資產(chǎn)。比如煉油廠中的SIS（安全集成系統(tǒng)）、水過(guò)濾廠中控制氯含量的PLC以及變電所的RTU。工廠人員清楚哪些真正地關(guān)系到操作。如果這些資產(chǎn)都能被積極地保護(hù)，發(fā)生真正嚴(yán)重的網(wǎng)絡(luò)事件的機(jī)會(huì)將會(huì)大大減小。

　　采用專為工業(yè)而設(shè)計(jì)的解決方案來(lái)保護(hù)工業(yè)網(wǎng)絡(luò)安全。如果對(duì)如何提高工廠的網(wǎng)絡(luò)安全態(tài)勢(shì)沒(méi)有把握，遵循上述建議將縮短進(jìn)行改善所需的時(shí)間。