過去兩年，新冠疫情重塑了我們的工作模式，實(shí)行遠(yuǎn)程操作變得更加迫在眉睫。為了快速適應(yīng)這些有目共睹的環(huán)境變化，企業(yè)必須提升運(yùn)營韌性。工業(yè)企業(yè)自然也不例外，它們普遍認(rèn)為，實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵是 IT/OT 融合。近年來，隨著先進(jìn)技術(shù)不斷發(fā)展，IT/OT 融合已觸手可及，不再是空想。

根據(jù)國際數(shù)據(jù)公司 (IDC) 對(duì)工業(yè)企業(yè)的調(diào)查1顯示，40% 的受訪者已經(jīng)未雨綢繆，在工廠和生產(chǎn)場(chǎng)所投資部署了自動(dòng)化系統(tǒng)。在推進(jìn) IT/OT 融合的過程中，您可能首先會(huì)考慮安全問題，因?yàn)榫W(wǎng)絡(luò)攻擊日益猖獗，攻擊分子越來越肆無忌憚地瞄準(zhǔn)世界各地的關(guān)鍵基礎(chǔ)設(shè)施，包括鐵路、變電站、管道等。工業(yè)經(jīng)營者意識(shí)到，網(wǎng)絡(luò)安全問題已不容忽視。

IDC 在 2021 年發(fā)布的《全球 IT/OT 融合未來發(fā)展預(yù)測(cè)》報(bào)告中指出：“到 2030 年，50% 的工業(yè)企業(yè)將依照統(tǒng)一數(shù)據(jù)管理戰(zhàn)略部署架構(gòu)，從而安全地采集傳輸運(yùn)營數(shù)據(jù)，供企業(yè)上下廣泛使用?！贝送?，IDC 的 IT/OT 融合策略研究總監(jiān) Jonathan Lang 解釋說：“IT 人員需要研究如何針對(duì)運(yùn)營數(shù)據(jù)落實(shí)安全措施，同時(shí)確保生產(chǎn)活動(dòng)不受干擾。”他最近還亮相“Moxa 安全對(duì)談”第七集，介紹了 IT 運(yùn)營可能面臨的影響。

雖然工業(yè)經(jīng)營者已充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，但如何提高 IT/OT 融合的網(wǎng)絡(luò)安全仍然是不小的挑戰(zhàn)。例如，IT/OT 融合要求構(gòu)建起統(tǒng)一網(wǎng)絡(luò)，其中接入的設(shè)備和系統(tǒng)數(shù)量將增加，這使得網(wǎng)絡(luò)管理和安全保障愈發(fā)困難。除此之外，由于 IT 和 OT 系統(tǒng)的運(yùn)營目的不同，安全要求自然也存在差異，兩者相互融合必然不易。本文將從三個(gè)方面，引導(dǎo)您克服困難，筑牢網(wǎng)絡(luò)安全防線。

一、審視使用場(chǎng)景，保障工業(yè)網(wǎng)絡(luò)安全

隨著工業(yè)網(wǎng)絡(luò)中接入的設(shè)備和系統(tǒng)不斷增多，攻擊者侵入系統(tǒng)的可乘之機(jī)也將增加。我們需要綜合考慮各種使用場(chǎng)景，重新審視網(wǎng)絡(luò)安全，制定周密的防入侵計(jì)劃。其中兩個(gè)重要場(chǎng)景必須得到重視，否則，當(dāng) IT/OT 網(wǎng)絡(luò)融合后，企業(yè)可能面臨重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

審視使用場(chǎng)景，保障工業(yè)網(wǎng)絡(luò)安全

遠(yuǎn)程操作效率更高，因此備受用戶青睞。然而，在構(gòu)建 IT/OT 網(wǎng)絡(luò)融合時(shí)，如果不采取適當(dāng)?shù)谋Ｗo(hù)措施，就直接將遠(yuǎn)程機(jī)器與互聯(lián)網(wǎng)設(shè)備相連，遠(yuǎn)程連接就可能成為整個(gè)系統(tǒng)的短板。經(jīng)營者必須分配和控制網(wǎng)絡(luò)訪問權(quán)，例如，要明確誰可以訪問網(wǎng)絡(luò)，并能驗(yàn)證訪問者的身份。這將有效防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)。此外還有其他保護(hù)措施，例如，通過 VPN 訪問機(jī)器和系統(tǒng)，對(duì)傳輸?shù)臄?shù)據(jù)全部加密處理。通過采取這些防范舉措，工業(yè)經(jīng)營者可以減少遠(yuǎn)程連接的安全漏洞。

網(wǎng)絡(luò)管理

另一個(gè)重要場(chǎng)景是大規(guī)模網(wǎng)絡(luò)管理，因?yàn)楸Ｗo(hù)網(wǎng)絡(luò)安全不是一時(shí)之功，而要持續(xù)監(jiān)管。IT/OT 網(wǎng)絡(luò)融合后，網(wǎng)絡(luò)使用者需要一眼知悉大量網(wǎng)絡(luò)設(shè)備的狀態(tài)，監(jiān)控網(wǎng)絡(luò)安全狀態(tài)。Moxa 網(wǎng)絡(luò)基礎(chǔ)設(shè)施部門業(yè)務(wù)開發(fā)經(jīng)理 Marty Wachi 說：“我們的許多客戶需要更先進(jìn)的解決方案來提高網(wǎng)絡(luò)的可視化程度。他們一方面需要定期監(jiān)控現(xiàn)有網(wǎng)絡(luò)節(jié)點(diǎn)和新增節(jié)點(diǎn)，另一方面還需了解用戶將要使用哪些應(yīng)用程序，以及具體是哪些用戶需要訪問網(wǎng)絡(luò)?？蛻粢Ｗo(hù)系統(tǒng)和資產(chǎn)，就必須一手掌握網(wǎng)絡(luò)狀態(tài)。”為了增強(qiáng)網(wǎng)絡(luò)安全的可視性，企業(yè)需要部署有效的網(wǎng)絡(luò)管理解決方案，監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備的安全狀態(tài)，并確保發(fā)生意外時(shí)運(yùn)維人員第一時(shí)間收到警報(bào)。

專家建議

全面了解用戶在 IT/OT 融合項(xiàng)目中可能遇到的場(chǎng)景，以便采取必要的防范措施，減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

二、全局把控，保障工業(yè)網(wǎng)絡(luò)安全

IT/OT 融合將多種系統(tǒng)集成于同一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。只有全局把控網(wǎng)絡(luò)基礎(chǔ)設(shè)施，才能確保所有網(wǎng)絡(luò)設(shè)備都得到保護(hù)。我們建議從以下三個(gè)層面入手，構(gòu)建深度防御安全架構(gòu)：

管理層面

掌握網(wǎng)絡(luò)的安全狀態(tài)對(duì)經(jīng)營者意義重大，企業(yè)既要有網(wǎng)絡(luò)管理解決方案，也離不開安全管理解決方案，只有如此，才能保障網(wǎng)絡(luò)安全。因此，除了采用網(wǎng)絡(luò)管理工具來查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施中每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的安全狀態(tài)，企業(yè)還可以考慮安裝安全儀表板，從而更輕松地管理網(wǎng)絡(luò)安全解決方案，記錄相關(guān)安全事件，并分析報(bào)告，為后續(xù)改進(jìn)提供參考。

網(wǎng)絡(luò)層面

要保護(hù)網(wǎng)絡(luò)免遭入侵，第一步是控制訪問權(quán)限，可通過部署防火墻和安全路由器實(shí)現(xiàn)。此舉還有助于管控網(wǎng)絡(luò)流量和數(shù)據(jù)傳輸，并對(duì)統(tǒng)一網(wǎng)絡(luò)分區(qū)，降低管理難度。如果有入侵者獲得了對(duì)某個(gè)網(wǎng)絡(luò)設(shè)備的訪問權(quán)限，其造成的威脅可以被控制在特定區(qū)域中，避免整個(gè)網(wǎng)絡(luò)遭到破壞。此外，企業(yè)還需安裝 OT 入侵防御系統(tǒng) (IPS) 來識(shí)別威脅，并在監(jiān)測(cè)到入侵時(shí)發(fā)出警報(bào)。

設(shè)備層面

如果不采取防范措施，任何網(wǎng)絡(luò)設(shè)備都有可能給系統(tǒng)帶來安全風(fēng)險(xiǎn)。企業(yè)可以借助密碼策略等安全機(jī)制，以及禁用閑置端口和服務(wù)，來提高設(shè)備安全性，最大限度降低入侵風(fēng)險(xiǎn)。此外，為網(wǎng)絡(luò)設(shè)備制定適當(dāng)?shù)穆┒错憫?yīng)程序，也有助于降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

專家建議

從全局把控網(wǎng)絡(luò)安全，有助于筑牢安全防線，因?yàn)榻?jīng)營者可以全面了解如何保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，上到整個(gè)網(wǎng)絡(luò)，下至每臺(tái)設(shè)備，盡在管控之中。

三、參照安全標(biāo)準(zhǔn)，保障工業(yè)網(wǎng)絡(luò)安全

OT 和 IT 人員訪問網(wǎng)絡(luò)的目的和方式各不相同，保障網(wǎng)絡(luò)安全的手段也有差異。然而，如果企業(yè)上下不實(shí)行統(tǒng)一的安全指南，就很難確保網(wǎng)絡(luò)安全。好在業(yè)內(nèi)已有不少通用的安全標(biāo)準(zhǔn)，例如 IEC 62443 和 NERC CIP 讓同一個(gè)企業(yè)的 IT 和 OT 人員遵循相同的安全規(guī)范。如今，IEC 62443 標(biāo)準(zhǔn)日益普及，Moxa 工業(yè)網(wǎng)絡(luò)安全 (IACS) 專家 Felipe Costa 解釋道，這是因?yàn)椤八峁┝擞懻摪踩珕栴}的通用語言。此外，該標(biāo)準(zhǔn)還可指導(dǎo)用戶全面落實(shí)安全解決方案，執(zhí)行安全策略。最后，遵循這套標(biāo)準(zhǔn)的公司和設(shè)備能獲得認(rèn)證，客戶可以更輕松地找到滿足自身安全需要的供應(yīng)商和解決方案?！?/p>

IEC 62443 標(biāo)準(zhǔn)可以作為資產(chǎn)所有者、系統(tǒng)集成商和組件供應(yīng)商的通用語言。該標(biāo)準(zhǔn)還針對(duì)網(wǎng)絡(luò)安全的各項(xiàng)問題提供了實(shí)用指南，適合企業(yè)上下的各類相關(guān)人員使用。例如，IEC 62443-4-1 和 IEC 62443-4-2 標(biāo)準(zhǔn)均為網(wǎng)絡(luò)設(shè)備制定，前者關(guān)注的是企業(yè)的產(chǎn)品生命周期開發(fā)是否符合相應(yīng)的安全指南，而后者聚焦網(wǎng)絡(luò)設(shè)備的基本安全要求，獲得該標(biāo)準(zhǔn)認(rèn)證即表明設(shè)備安全。了解 IEC 62443 標(biāo)準(zhǔn)的更多信息，請(qǐng)點(diǎn)擊此處，查看專題文章。

專家建議

選擇獲得 IEC 62443 標(biāo)準(zhǔn)認(rèn)證的組件供應(yīng)商和網(wǎng)絡(luò)設(shè)備，可以確保連入網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備安全。

選擇 Moxa 網(wǎng)絡(luò)安全解決方案，筑牢網(wǎng)絡(luò)安全防線

作為 30 多年持續(xù)領(lǐng)跑工業(yè)網(wǎng)絡(luò)行業(yè)的先鋒，Moxa 致力于開發(fā)安全可靠的網(wǎng)絡(luò)解決方案，主動(dòng)識(shí)別和消除 OT 環(huán)境中的網(wǎng)絡(luò)威脅。為了踐行這一承諾，Moxa 嚴(yán)格遵循“安全始于設(shè)計(jì)”理念，打造分布式 OT 入侵防御系統(tǒng)功能，為您提供一系列穩(wěn)固可靠的聯(lián)網(wǎng)產(chǎn)品組合，全力完善工業(yè)應(yīng)用的安全防線。