提到加強工業網絡安全，很多人的第一反應是：應該從何處入手？其實，加強工業應用的網絡安全與守護我們的家園非常相似。為了保障家庭安全，我們會鎖好門窗，安裝 IP 視頻監控係統，將貴重物品鎖進保險櫃。總之，采取的安全措施越多，家就越安全。工業網絡也是如此，想提高安全度，就要多采取安全保障程序。那麼該采取多少道安全程序呢？這往往取決於人們能接受的風險水平、計劃達到的安全程度，以及落實安全程序的能力。

由於各企業保障網絡安全的成熟度不盡相同（ARC，2019 年），因此很難有適合所有企業的通用方法。在此，我們將 IEC 62443 標準作為適合所有關鍵工業流程的網絡安全指南，重點關注應用於網絡基礎設施資產的技術，並提出係統性自動配置方法，減少人為錯誤。這種方法有助於核查每台聯網設備的實時性能，確保設備符合 IEC 62443 標準。如果發現設備配置不符合最低要求，則會向用戶發送警報。

圖 1：網絡安全成熟度模型（來源：ARC 顧問集團）
 

係統性方法

工業流程的各項配置必須保持統一，更重要的是，能夠持續穩定地重複應用。為此，必須使用以自動操作為主的係統性配置方法。這種方法旨在減少工作人員手動操作的工作量，原因有三。第一，人是造成網絡事故的一大主要因素，無論是有意為之還是無心之失。第二，人為錯誤造成的漏洞很難檢測，因為漏洞檢測往往依賴於企業的審查流程，而這個流程並非百分百可靠。第三，執行配置的人員可能會誤認為自己完成得很好，但實際留下了網絡漏洞。 

我們不僅要研究應該采取哪些安全程序，還要重視如何落實這些程序。係統性自動配置方法有助於大幅降低手動操作帶來的風險，從而提高網絡的可靠性和安全度。

軟件輔助落實安全程序

軟件是助力落實安全程序的一大有效工具，可幫助員工順利完成落實工作。哪怕工程師經驗再豐富，都不可能牢記安全程序中的每一項配置，再加上企業有時需要管理配置，確保配置在整個網絡生命周期保持一致，使得軟件成為必要之選。使用軟件執行配置時，可參考以下三條小建議。

製定安全措施檢查清單

在工程師開始執行配置前，公司必須根據自身安全政策，製定檢查清單，向工程師提供明確指示。根據 IEC 62443 標準，我們需要考慮以下五項步驟（圖 2）。例如，強烈建議啟用用戶名和密碼保護，在用戶登錄設備前先驗證用戶身份。雖然這不如禁用密碼保護時快速、簡便，但會更安全。 

圖 2：檢驗安全措施的五大步驟

使用圖像而非名稱列表

要助力用戶完成安全檢查流程，同時不影響用戶判斷，更高效的方法之一是為用戶提供圖像化視圖，助其快速鎖定網絡中的設備，而不要提供名稱列表，因為人腦對圖像的處理速度更快，識別能力更強。因此，提供如圖 3 所示的圖像化視圖，有助於用戶更快掌握每台設備的安全設置。

圖 3：以彩色體現係統安全狀態的圖像化結構

使用彩色標注

最後一點是使用不同顏色突出顯示不同安全等級。人腦可以輕鬆識別不同顏色（Engel S、Zhang X、Wandell B，1997 年），因此，可以通過使用不同顏色，幫助用戶快速了解每台設備的安全狀態，確定需要采取哪些措施。

結語

總之，係統性自動方法比員工重複執行手動操作更可靠。我們不僅要啟用滿足每個係統特殊需求的網絡安全功能，還要確保落實過程準確無誤。係統性方法可助力完成複雜的安全配置，同時減少人為錯誤。

bob手机在线登陆 MXview 網絡管理軟件能完整顯示所有聯網設備的安全狀態，而 MXconfig 配置軟件可用於批量配置安全參數，加固網絡安全壁壘。此外，bob手机在线登陆 還針對旗下以太網交換機和串口設備聯網服務器製定了安全措施清單，幫助用戶核查安全措施是否落實到位。如需了解更多信息，請點擊此處。