工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

三管齊下,筑牢網(wǎng)絡(luò)安全防線

三管齊下,筑牢網(wǎng)絡(luò)安全防線

1.png

過去兩年,新冠疫情重塑了我們的工作模式,實(shí)行遠(yuǎn)程操作變得更加迫在眉睫。為了快速適應(yīng)這些有目共睹的環(huán)境變化,企業(yè)必須提升運(yùn)營韌性。工業(yè)企業(yè)自然也不例外,它們普遍認(rèn)為,實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵是 IT/OT 融合。近年來,隨著先進(jìn)技術(shù)不斷發(fā)展,IT/OT 融合已觸手可及,不再是空想。

根據(jù)國際數(shù)據(jù)公司 (IDC) 對工業(yè)企業(yè)的調(diào)查1顯示,40% 的受訪者已經(jīng)未雨綢繆,在工廠和生產(chǎn)場所投資部署了自動(dòng)化系統(tǒng)。在推進(jìn) IT/OT 融合的過程中,您可能首先會(huì)考慮安全問題,因?yàn)榫W(wǎng)絡(luò)攻擊日益猖獗,攻擊分子越來越肆無忌憚地瞄準(zhǔn)世界各地的關(guān)鍵基礎(chǔ)設(shè)施,包括鐵路、變電站、管道等。工業(yè)經(jīng)營者意識到,網(wǎng)絡(luò)安全問題已不容忽視。

IDC 在 2021 年發(fā)布的《全球 IT/OT 融合未來發(fā)展預(yù)測》報(bào)告中指出:“到 2030 年,50% 的工業(yè)企業(yè)將依照統(tǒng)一數(shù)據(jù)管理戰(zhàn)略部署架構(gòu),從而安全地采集傳輸運(yùn)營數(shù)據(jù),供企業(yè)上下廣泛使用。”此外,IDC 的 IT/OT 融合策略研究總監(jiān) Jonathan Lang 解釋說:“IT 人員需要研究如何針對運(yùn)營數(shù)據(jù)落實(shí)安全措施,同時(shí)確保生產(chǎn)活動(dòng)不受干擾?!彼罱€亮相“Moxa 安全對談”第七集,介紹了 IT 運(yùn)營可能面臨的影響。

雖然工業(yè)經(jīng)營者已充分認(rèn)識到網(wǎng)絡(luò)安全的重要性,但如何提高 IT/OT 融合的網(wǎng)絡(luò)安全仍然是不小的挑戰(zhàn)。例如,IT/OT 融合要求構(gòu)建起統(tǒng)一網(wǎng)絡(luò),其中接入的設(shè)備和系統(tǒng)數(shù)量將增加,這使得網(wǎng)絡(luò)管理和安全保障愈發(fā)困難。除此之外,由于 IT 和 OT 系統(tǒng)的運(yùn)營目的不同,安全要求自然也存在差異,兩者相互融合必然不易。本文將從三個(gè)方面,引導(dǎo)您克服困難,筑牢網(wǎng)絡(luò)安全防線。

一、審視使用場景,保障工業(yè)網(wǎng)絡(luò)安全

隨著工業(yè)網(wǎng)絡(luò)中接入的設(shè)備和系統(tǒng)不斷增多,攻擊者侵入系統(tǒng)的可乘之機(jī)也將增加。我們需要綜合考慮各種使用場景,重新審視網(wǎng)絡(luò)安全,制定周密的防入侵計(jì)劃。其中兩個(gè)重要場景必須得到重視,否則,當(dāng) IT/OT 網(wǎng)絡(luò)融合后,企業(yè)可能面臨重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

審視使用場景,保障工業(yè)網(wǎng)絡(luò)安全

遠(yuǎn)程操作效率更高,因此備受用戶青睞。然而,在構(gòu)建 IT/OT 網(wǎng)絡(luò)融合時(shí),如果不采取適當(dāng)?shù)谋Wo(hù)措施,就直接將遠(yuǎn)程機(jī)器與互聯(lián)網(wǎng)設(shè)備相連,遠(yuǎn)程連接就可能成為整個(gè)系統(tǒng)的短板。經(jīng)營者必須分配和控制網(wǎng)絡(luò)訪問權(quán),例如,要明確誰可以訪問網(wǎng)絡(luò),并能驗(yàn)證訪問者的身份。這將有效防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)。此外還有其他保護(hù)措施,例如,通過 VPN 訪問機(jī)器和系統(tǒng),對傳輸?shù)臄?shù)據(jù)全部加密處理。通過采取這些防范舉措,工業(yè)經(jīng)營者可以減少遠(yuǎn)程連接的安全漏洞。

網(wǎng)絡(luò)管理

另一個(gè)重要場景是大規(guī)模網(wǎng)絡(luò)管理,因?yàn)楸Wo(hù)網(wǎng)絡(luò)安全不是一時(shí)之功,而要持續(xù)監(jiān)管。IT/OT 網(wǎng)絡(luò)融合后,網(wǎng)絡(luò)使用者需要一眼知悉大量網(wǎng)絡(luò)設(shè)備的狀態(tài),監(jiān)控網(wǎng)絡(luò)安全狀態(tài)。Moxa 網(wǎng)絡(luò)基礎(chǔ)設(shè)施部門業(yè)務(wù)開發(fā)經(jīng)理 Marty Wachi 說:“我們的許多客戶需要更先進(jìn)的解決方案來提高網(wǎng)絡(luò)的可視化程度。他們一方面需要定期監(jiān)控現(xiàn)有網(wǎng)絡(luò)節(jié)點(diǎn)和新增節(jié)點(diǎn),另一方面還需了解用戶將要使用哪些應(yīng)用程序,以及具體是哪些用戶需要訪問網(wǎng)絡(luò)??蛻粢Wo(hù)系統(tǒng)和資產(chǎn),就必須一手掌握網(wǎng)絡(luò)狀態(tài)。”為了增強(qiáng)網(wǎng)絡(luò)安全的可視性,企業(yè)需要部署有效的網(wǎng)絡(luò)管理解決方案,監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備的安全狀態(tài),并確保發(fā)生意外時(shí)運(yùn)維人員第一時(shí)間收到警報(bào)。

專家建議

全面了解用戶在 IT/OT 融合項(xiàng)目中可能遇到的場景,以便采取必要的防范措施,減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

二、全局把控,保障工業(yè)網(wǎng)絡(luò)安全

IT/OT 融合將多種系統(tǒng)集成于同一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。只有全局把控網(wǎng)絡(luò)基礎(chǔ)設(shè)施,才能確保所有網(wǎng)絡(luò)設(shè)備都得到保護(hù)。我們建議從以下三個(gè)層面入手,構(gòu)建深度防御安全架構(gòu):

管理層面

掌握網(wǎng)絡(luò)的安全狀態(tài)對經(jīng)營者意義重大,企業(yè)既要有網(wǎng)絡(luò)管理解決方案,也離不開安全管理解決方案,只有如此,才能保障網(wǎng)絡(luò)安全。因此,除了采用網(wǎng)絡(luò)管理工具來查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施中每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的安全狀態(tài),企業(yè)還可以考慮安裝安全儀表板,從而更輕松地管理網(wǎng)絡(luò)安全解決方案,記錄相關(guān)安全事件,并分析報(bào)告,為后續(xù)改進(jìn)提供參考。

網(wǎng)絡(luò)層面

要保護(hù)網(wǎng)絡(luò)免遭入侵,第一步是控制訪問權(quán)限,可通過部署防火墻和安全路由器實(shí)現(xiàn)。此舉還有助于管控網(wǎng)絡(luò)流量和數(shù)據(jù)傳輸,并對統(tǒng)一網(wǎng)絡(luò)分區(qū),降低管理難度。如果有入侵者獲得了對某個(gè)網(wǎng)絡(luò)設(shè)備的訪問權(quán)限,其造成的威脅可以被控制在特定區(qū)域中,避免整個(gè)網(wǎng)絡(luò)遭到破壞。此外,企業(yè)還需安裝 OT 入侵防御系統(tǒng) (IPS) 來識別威脅,并在監(jiān)測到入侵時(shí)發(fā)出警報(bào)。

設(shè)備層面

如果不采取防范措施,任何網(wǎng)絡(luò)設(shè)備都有可能給系統(tǒng)帶來安全風(fēng)險(xiǎn)。企業(yè)可以借助密碼策略等安全機(jī)制,以及禁用閑置端口和服務(wù),來提高設(shè)備安全性,最大限度降低入侵風(fēng)險(xiǎn)。此外,為網(wǎng)絡(luò)設(shè)備制定適當(dāng)?shù)穆┒错憫?yīng)程序,也有助于降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

專家建議

從全局把控網(wǎng)絡(luò)安全,有助于筑牢安全防線,因?yàn)榻?jīng)營者可以全面了解如何保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,上到整個(gè)網(wǎng)絡(luò),下至每臺設(shè)備,盡在管控之中。

三、參照安全標(biāo)準(zhǔn),保障工業(yè)網(wǎng)絡(luò)安全

OT 和 IT 人員訪問網(wǎng)絡(luò)的目的和方式各不相同,保障網(wǎng)絡(luò)安全的手段也有差異。然而,如果企業(yè)上下不實(shí)行統(tǒng)一的安全指南,就很難確保網(wǎng)絡(luò)安全。好在業(yè)內(nèi)已有不少通用的安全標(biāo)準(zhǔn),例如 IEC 62443 和 NERC CIP 讓同一個(gè)企業(yè)的 IT 和 OT 人員遵循相同的安全規(guī)范。如今,IEC 62443 標(biāo)準(zhǔn)日益普及,Moxa 工業(yè)網(wǎng)絡(luò)安全 (IACS) 專家 Felipe Costa 解釋道,這是因?yàn)椤八峁┝擞懻摪踩珕栴}的通用語言。此外,該標(biāo)準(zhǔn)還可指導(dǎo)用戶全面落實(shí)安全解決方案,執(zhí)行安全策略。最后,遵循這套標(biāo)準(zhǔn)的公司和設(shè)備能獲得認(rèn)證,客戶可以更輕松地找到滿足自身安全需要的供應(yīng)商和解決方案?!?/p>

IEC 62443 標(biāo)準(zhǔn)可以作為資產(chǎn)所有者、系統(tǒng)集成商和組件供應(yīng)商的通用語言。該標(biāo)準(zhǔn)還針對網(wǎng)絡(luò)安全的各項(xiàng)問題提供了實(shí)用指南,適合企業(yè)上下的各類相關(guān)人員使用。例如,IEC 62443-4-1 和 IEC 62443-4-2 標(biāo)準(zhǔn)均為網(wǎng)絡(luò)設(shè)備制定,前者關(guān)注的是企業(yè)的產(chǎn)品生命周期開發(fā)是否符合相應(yīng)的安全指南,而后者聚焦網(wǎng)絡(luò)設(shè)備的基本安全要求,獲得該標(biāo)準(zhǔn)認(rèn)證即表明設(shè)備安全。了解 IEC 62443 標(biāo)準(zhǔn)的更多信息,請點(diǎn)擊此處,查看專題文章。

專家建議

選擇獲得 IEC 62443 標(biāo)準(zhǔn)認(rèn)證的組件供應(yīng)商和網(wǎng)絡(luò)設(shè)備,可以確保連入網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備安全。

選擇 Moxa 網(wǎng)絡(luò)安全解決方案,筑牢網(wǎng)絡(luò)安全防線

作為 30 多年持續(xù)領(lǐng)跑工業(yè)網(wǎng)絡(luò)行業(yè)的先鋒,Moxa 致力于開發(fā)安全可靠的網(wǎng)絡(luò)解決方案,主動(dòng)識別和消除 OT 環(huán)境中的網(wǎng)絡(luò)威脅。為了踐行這一承諾,Moxa 嚴(yán)格遵循“安全始于設(shè)計(jì)”理念,打造分布式 OT 入侵防御系統(tǒng)功能,為您提供一系列穩(wěn)固可靠的聯(lián)網(wǎng)產(chǎn)品組合,全力完善工業(yè)應(yīng)用的安全防線。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

TSN 技術(shù)助力家電制造自動(dòng)化

喜訊!MGate 5123 榮獲 “數(shù)字化創(chuàng)新獎(jiǎng)”

協(xié)議網(wǎng)關(guān)如何實(shí)現(xiàn)智能電網(wǎng)數(shù)位轉(zhuǎn)型

跨界融合的力量:BESS 如何實(shí)現(xiàn)電力流與數(shù)據(jù)流的完美相融

Moxa 喜獲全球首個(gè) IEC 62443-4-2 工業(yè)安全路由器認(rèn)證