隨著企業不斷追求更高運營效率而改變運營模式，操作技術 (OT) 係統和信息技術 (IT) 係統日益互聯。例如，沿石油管道部署的 SCADA 網絡現在可以收集石油輸出數據，這些數據對計費和定價係統至關重要。新增數據收集功能使公司不僅可以更準確地預測石油產量和輸出量，還可以測算預期收入。然而，值得注意的是，這些相互關聯的係統有利有弊。一大缺點是，OT 係統麵臨網絡安全威脅的可能性顯著增加。正因如此，報紙標題和文章經常提到，IT 係統如遭受攻擊，將對 OT 係統造成巨大負麵影響。IDC 台灣區總經理在教育視頻安全對話第三集中介紹，勒索軟件攻擊現象越來越嚴重，使原本就十分複雜的問題變得更加棘手。這類惡意軟件利用 Windows 漏洞，攻擊防護薄弱的係統。

麵對越來越多針對 OT 係統的網絡安全事件，企業主和監管機構迫切尋求提高工業網絡安全、保證企業正常運行的解決方案。在本文中，我們將介紹“深度防禦”概念，助力企業利用現有網絡基礎設施和投資，構建網絡防禦的第一道防線。之後，我們將討論工業入侵防禦係統如何進一步保護 OT 係統，以及此類防禦係統的好處和優勢。

安全邊界

什麼是安全邊界？

要增強網絡安全，您必須先了解您的工業係統如何在不同係統間交換數據，以及它們如何連接到 IT 級係統。在最理想的情況下，當數據流量跨越不同係統時，係統之間應存在邊界，確保流量的安全性。即使已經過身份驗證和授權的訪問也會再度被核準。然而，在所有係統之間建立邊界十分困難，往往也很難實現，因為這涉及到大量開支，而且很可能不利於網絡通信效率。因此，我們強烈建議將 OT 係統劃分為不同的數字單元和區域，並建立邊界，在支出成本和適宜風險水平之間找到平衡。

示意圖：建立安全邊界，確保發生網絡安全事件時生產線不會相互影響

由 IEC 6244 3 網絡安全標準委員會推薦的“深度防禦”方法已廣泛應用於各個行業，在幫助建立多層保護、滿足運營需求方麵成效顯著。在下圖中，關鍵資產和生產運營處於最重要的位置。由於它們對企業至關重要，必須采取額外的安全防範措施，比如增加多層保護，進一步確保它們的安全。了解關於網絡安全不同層級的更多信息，請下載信息圖。

示意圖：深度防禦安全概念基於多層安全機製，有助於提高整個係統的安全性

如何建立安全邊界

• 網絡分區
• 物理層分區

當兩個網絡在物理上隔離時，即形成氣隙。如果一個係統的操作和安全需要獨立維護，建立氣隙是可行解決方案。但是，如前所述，由於業務和操作需求，以這種方式設置網絡已變得越來越困難。

• 數據鏈路/二層、三層網絡分區

工業控製係統很可能已有幾十年的曆史。充分利用現有基礎設施，同時保障工業控製係統安全無虞，這不僅是企業的關鍵挑戰之一，也是網絡管理員的主要訴求。借助 VLAN（虛擬局域網）分隔不同網絡分區的流量是常用方法，也是網管型以太網交換機的功能之一。一些以太網交換機具備端口層訪問控製列表 (ACL)，由於數據首先進入交換機，有助於提高 VLAN 的安全性。另一種方法是部署防火牆來保護工業應用和數據，這在處理二層、三層網絡流量時格外有效。

• 四至七層網絡分區

通過深層數據包檢測 (DPI) 技術可進一步分區，提供更精細的網絡流量控製，幫助您根據應用需求選擇工業協議。從理論上說，如果多個設備接入同一網絡，便能互相通信。然而，在具體情況下，控製器 A 可能隻需要與機械臂 A 通信，這時 DPI 技術就能幫助工程師決定由哪個控製器執行讀寫命令，甚至決定流量傳輸方向。

• 網絡微分區

有時，關鍵資產需要額外保護。入侵防禦係統 (IPS) 能實行網絡微分區，讓關鍵資產安全無虞。由於微分區將網絡劃分為更小的子網絡，大幅加固工業網絡安全。這種方式的好處在於，IPS 係統的虛擬補丁功能可以降低已知漏洞被攻擊的風險。例如，一些係統可能需要在 Windows XP 中運行，但微軟已停止對這款操作係統的更新支持。因此，即使是已知的漏洞，安全升級也並非易事。觀看視頻了解 IPS 虛擬補丁的運行原理。

• 安全遠程訪問

網絡安全專家認為，遠程桌麵協議有時會被攻擊者利用，用於散播惡意軟件或進行未授權活動。為提高運行效率、快速排除故障，遠程連接日益普遍。因此，對在兩個現場之間建立安全邊界這一話題的討論越來越多。長遠看來，使用軟件搭建遠程連接很容易導致漏洞。因此，建立 VPN 隧道、確保訪問控製機製有效運作是更合適的手段。

典型場景

• 製造業

互聯互通的工廠網絡需要合理分區，加固工業網絡安全壁壘。此外，網絡冗餘也是保障工業控製係統隨時可用的必要一環。

• 安全變電站監控

規模龐大的電網需要 IEC 61850 標準認證的 VPN 解決方案，監控每一個偏遠變電站中的智能電子設備 (IED)。

由於氣隙網絡不再具備足夠的優勢和安全性，企業主和工程師應通過網絡分區、微分區、安全遠程訪問等方式加強安全邊界。每種方式滿足不同網絡需求，助力網絡安全，不僅形成周邊防線，還能阻止未授權的橫向移動流量。bob手机在线登陆 全新發布的 EDR-G9010 係列集防火牆、NAT、VPN、交換機、路由器於一身，能提高網絡安全，充分發揮現有網絡基礎設施的作用，讓企業主的投資得以經受時間的考驗。了解安全路由器的更多信息，請訪微網站。