隨著 OT/IT 融合的趨勢不斷普及，幾乎所有工業(yè)企業(yè)都開始著手加固網(wǎng)絡(luò)安全，采取預(yù)防措施保障正常運(yùn)營。企業(yè)之所以這么做，主要是因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施和生產(chǎn)設(shè)備更容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。這并不是在杞人憂天。我們?？吹竭@樣的新聞：某家企業(yè)由于遭受網(wǎng)絡(luò)攻擊，停產(chǎn)一天（甚至更久）。網(wǎng)絡(luò)攻擊不但會帶來資金損失，還有可能會讓公司成為新聞焦點(diǎn)，損害公司聲譽(yù)。勒索軟件攻擊的目標(biāo)也在日益擴(kuò)大，即使是已經(jīng)采取預(yù)防措施的大型企業(yè)也難以幸免。這些攻擊事件表明，如今高度互聯(lián)的世界充滿風(fēng)險(xiǎn)，沒有任何機(jī)構(gòu)可以高枕無憂。

毫無疑問，首席安全官 (CSO) 和首席信息安全官 (CISO) 亟需進(jìn)一步理解 OT 環(huán)境，以及如何在不干擾正常生產(chǎn)運(yùn)營的前提下有效部署網(wǎng)絡(luò)安全措施。這是個十分復(fù)雜的問題，公司在決定采用哪些措施和架構(gòu)之前需要審慎考慮。本文將探討當(dāng)前最常用的兩個安全架構(gòu)并提供實(shí)用建議，幫助工業(yè)企業(yè)更好地將這些架構(gòu)應(yīng)用于各自的 OT 環(huán)境。

深度防御與零信任架構(gòu)

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 特刊 800-207，零信任架構(gòu)的關(guān)鍵在于為需要操作網(wǎng)絡(luò)的人員開放最低限度的訪問權(quán)限。我們可以讓有正當(dāng)事由的人員訪問網(wǎng)絡(luò)，但沒有必要授予無限制訪問權(quán)限讓他們自由訪問所有網(wǎng)絡(luò)，因?yàn)檫@會增加網(wǎng)絡(luò)遭遇攻擊的概率。零信任架構(gòu)則可以規(guī)避這一點(diǎn)。

我們還可以采取深度防御策略，其中包括多層安全防護(hù)，為生產(chǎn)運(yùn)營網(wǎng)絡(luò)安全保駕護(hù)航。深度防御背后的原理是，即使第一層防護(hù)失效，還有第二次機(jī)會來保護(hù)其他區(qū)域和線路免受侵害。網(wǎng)絡(luò)安全標(biāo)準(zhǔn) IEC 62443 建議，部署深度防御時(shí)應(yīng)根據(jù)所需防護(hù)等級為網(wǎng)絡(luò)分區(qū)。每個分區(qū)叫做區(qū)域 (Zone)，區(qū)域內(nèi)的所有通信設(shè)備同屬一個安全等級，也就是說他們的防護(hù)等級相同。如果想要進(jìn)一步加強(qiáng)保護(hù)，還可以將一個區(qū)域置于另一個具備額外安全措施的區(qū)域內(nèi)。

將上述兩個措施結(jié)合起來，我們可以在多層保護(hù)的基礎(chǔ)上進(jìn)行生產(chǎn)運(yùn)營，再利用零信任策略，確保根據(jù)具體情況授予有限的訪問權(quán)限，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全。對這兩種措施進(jìn)行分析可以看出，網(wǎng)絡(luò)安全問題沒有絕佳方案，需要多角度全面考慮，確保網(wǎng)絡(luò)安全無虞。

零信任與深度防御網(wǎng)絡(luò)應(yīng)用示例

提高網(wǎng)絡(luò)安全意識

除了應(yīng)用零信任架構(gòu)和深度防御網(wǎng)絡(luò)以外，提高各部門的網(wǎng)絡(luò)安全意識、確保所有團(tuán)隊(duì)成員以同樣的理念看待網(wǎng)絡(luò)安全也十分重要。應(yīng)鼓勵員工了解遵循技術(shù)安全要求的益處，從而提高他們遵守安全指南的意愿。

這需要：

統(tǒng)籌協(xié)調(diào)安全響應(yīng)及網(wǎng)絡(luò)監(jiān)管

假設(shè)所有設(shè)備和網(wǎng)絡(luò)都會遭受攻擊，為最壞的情況做準(zhǔn)備

確保具備強(qiáng)大的恢復(fù)能力和響應(yīng)流程

對用戶和網(wǎng)絡(luò)設(shè)備執(zhí)行嚴(yán)格的授權(quán)認(rèn)證

用戶憑證泄露是工業(yè)網(wǎng)絡(luò)面臨的一大險(xiǎn)境。如果網(wǎng)絡(luò)訪問沒有遵循零信任原則，入侵者可能只需要一條用戶憑證就可以訪問整個網(wǎng)絡(luò)。但在零信任網(wǎng)絡(luò)架構(gòu)中，入侵者需要同時(shí)獲得設(shè)備訪問控制和用戶授權(quán)認(rèn)證才能訪問網(wǎng)絡(luò)。此外，還可以利用信任列表對網(wǎng)絡(luò)進(jìn)行更精細(xì)的控制。

設(shè)備訪問控制

通過信任列表、速率控制和故障注銷，可以只允許配備安全啟動功能的受信設(shè)備訪問網(wǎng)絡(luò)設(shè)備，防止遭受暴力破解和其他依靠反復(fù)嘗試達(dá)成的網(wǎng)絡(luò)攻擊。

用戶授權(quán)認(rèn)證

登錄設(shè)備時(shí)驗(yàn)證用戶憑證，網(wǎng)絡(luò)設(shè)備即可記錄所有用戶的訪問嘗試，并根據(jù)不同職位開放最低限度的訪問權(quán)限。

信任列表

如果企業(yè)想要加強(qiáng)網(wǎng)絡(luò)安全，信任列表是控制網(wǎng)絡(luò)流量的好方法。常用做法是為 IP 地址和設(shè)備端口建立信任列表，利用深層數(shù)據(jù)包檢測技術(shù)精準(zhǔn)控制讀寫權(quán)限等網(wǎng)絡(luò)訪問行為。

利用網(wǎng)絡(luò)分區(qū)構(gòu)建深度防御

遠(yuǎn)程連接是工業(yè)控制系統(tǒng)的關(guān)鍵組成部分，必須有效管理。同時(shí)，內(nèi)部威脅也會給網(wǎng)絡(luò)帶來風(fēng)險(xiǎn)。必須采取措施減少遠(yuǎn)程連接和內(nèi)部威脅造成的風(fēng)險(xiǎn)。恰當(dāng)?shù)木W(wǎng)絡(luò)分區(qū)能防止侵害遠(yuǎn)程連接的入侵者和威脅系統(tǒng)安全的內(nèi)部人員訪問整個網(wǎng)絡(luò)。

網(wǎng)絡(luò)分區(qū)

網(wǎng)絡(luò)分區(qū)可以防止惡意數(shù)據(jù)在網(wǎng)絡(luò)中橫向移動。企業(yè)通常會在 IT 和 OT 網(wǎng)絡(luò)之間部署防火墻，創(chuàng)建高級別網(wǎng)絡(luò)分區(qū)。然而，如果網(wǎng)絡(luò)沒有正確分區(qū)，一旦攻擊者獲得用戶憑證，就很有可能有權(quán)訪問 OT 網(wǎng)絡(luò)及其中的設(shè)備。有許多手段能幫助實(shí)現(xiàn)網(wǎng)絡(luò)分區(qū)，部署防火墻就是其中之一。防火墻的優(yōu)勢之一在于它能幫助管理員為網(wǎng)絡(luò)分區(qū)，只有通過許可的數(shù)據(jù)才能在區(qū)域之間傳輸。此外，利用 IP 地址、經(jīng)授權(quán)訪問啟用端口等安全策略和規(guī)則，能將網(wǎng)絡(luò)劃分為更小、更易管理的區(qū)域，確保只有特定數(shù)據(jù)能進(jìn)入網(wǎng)絡(luò)。

網(wǎng)絡(luò)微分區(qū)

運(yùn)動控制器是工業(yè)控制系統(tǒng)的關(guān)鍵資產(chǎn)之一。如果這些關(guān)鍵資產(chǎn)受到攻擊，企業(yè)生產(chǎn)可能會陷入停滯，甚至導(dǎo)致威脅人員生命安全等嚴(yán)重?fù)p害。因此，資產(chǎn)所有者應(yīng)部署工業(yè)入侵防御系統(tǒng)，將網(wǎng)絡(luò)攻擊影響控制在遭受襲擊的區(qū)域內(nèi)，從而保護(hù)關(guān)鍵資產(chǎn)。

此外，持續(xù)監(jiān)控網(wǎng)絡(luò)中用戶和設(shè)備的異常行為能阻止攻擊擴(kuò)散，有利于專業(yè)人員快速恢復(fù)網(wǎng)絡(luò)。

選擇 Moxa 網(wǎng)絡(luò)安全解決方案，筑牢網(wǎng)絡(luò)安全防線 作為 35 年持續(xù)領(lǐng)跑工業(yè)網(wǎng)絡(luò)行業(yè)的先鋒，Moxa 致力于開發(fā)安全可靠的網(wǎng)絡(luò)解決方案，主動識別和消除 OT 環(huán)境中的網(wǎng)絡(luò)威脅。Moxa 信守承諾，嚴(yán)格遵守“安全始于設(shè)計(jì)”原則，根據(jù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) IEC 62443-4-2 開發(fā)具備安全功能的網(wǎng)絡(luò)設(shè)備。實(shí)用的安全功能可以幫助企業(yè)建立零信任網(wǎng)絡(luò)。同時(shí)，Moxa 利用分布式 OT 入侵系統(tǒng)和具備深層 OT 數(shù)據(jù)包檢測功能的工業(yè)安全路由器打造深度防御工業(yè)網(wǎng)絡(luò)。

了解 Moxa 網(wǎng)絡(luò)安全解決方案的更多信息，請?jiān)L問 Moxa微網(wǎng)站。