如今,越來越多企業認識到,數字化是生存發展的必由之路。德勤 2019 年智能工廠研究顯示,86% 的製造商認為智能工廠計劃將會是未來五年內增強競爭力的主要因素。今年受全球新冠疫情影響,智能工廠計劃加速進行。世界經濟論壇近期發布的《疫情和後疫情時代製造業與供應鏈的適應性增強之路》報告表明,製造商正在采取新的運作和管理模式以增強行業適應性。然而,單靠數字化提速還不足以應對當前的危機。以下我們將探討如何通過加強工業網絡適應性以及部署網絡安全防護策略確保工業運行持續穩定。
加固工業網絡安全的分步流程
由於工業控製係統(ICS)網絡安全事故頻發,許多企業已開始部署自己的網絡安全策略,保護關鍵資產穩定運行。“是否存在消除 ICS 安全隱患的萬全之策?”很遺憾,答案是否定的。網絡安全需要從多維度進行考量。通常加強網絡安全的第一步是風險評估。第二步是製定相應的安全策略。為有效實施這些安全策略,有必要搭建安全架構協助建立安全網絡基礎設施。例如:借助訪問控製列表,可有效控製用戶對網絡的訪問。最後,企業在 OT 環境下實施工業網絡安全對策,積極監控和應對網絡安全事故。
圖:網絡安全分步流程
來源:ARC 谘詢集團,https://www.arcweb.com/industry-concepts/cybersecurity-maturity-model
網絡安全需全盤部署
如上文所示,工業網絡安全流程包含不同階段,每一階段均有不同對策。既然不存在能夠解決所有問題的單一方案,那麼我們建議從整體角度考慮網絡安全策略。防火牆等傳統對策可為工業網絡築起安全防線,形成有效縱向防護,阻止無權限用戶訪問網絡。但是,如果有人設法衝破縱向防護或工程師不慎發送錯誤指令,網絡便再無能力降低由此產生的風險。因此,部署虛擬補丁和 IDS/IPS 等水平防護同樣重要。接下來,我們將探討縱向和橫向防護如何共同發揮重要作用,確保工業網絡安全。
圖:兼顧橫向和縱向數據傳輸,形成整體網絡安全對策
縱向防護——搭建安全網絡基礎設施,實施安全策略
網絡管理
工業網絡會不斷擴展演變,往往曆經幾年甚至數十年時間。因此,清晰知曉網絡及其各組件狀態及架構情況可能是頗具挑戰的第一步。依我們的經驗來看,工業網絡管理工具可掃描整個網絡並自動生成拓撲結構,將為 OT 工程師提供大量有用信息,幫助其製定行動方案。
網絡保護
網絡分區是一項基本預防措施,確保隻有特定數據可在指定區域內傳輸。實現網絡分區有多種方法。例如,使用狀態防火牆創建第一條防線,無需改變網絡拓撲結構,這對需要保持不間斷運行的 OT 環境是不錯的選擇。在較大網絡內創建虛擬局域網(VLAN)也有助於網絡分區。另一個廣泛使用的方法是通過 802.1x (AAA/Radius TACACS)進行認證並通過 ACL 進行訪問控製。遠程監控和維護在 OT 工程師日常操作中也越來越常見。應時刻謹記:確保安全遠程訪問能降低網絡遭受入侵的概率。
設備安全
隨著企業日益重視網絡安全,圍繞認證和網絡分區製定、實施切實可行的安全策略成為兩大挑戰。IEC 62443 等標準有助於製定工業網絡防護策略。下載白皮書了解 IEC 62443 詳情。
橫向防護——部署工業網絡安全策略,積極監控與應對
企業開始實施工業網絡安全措施,通常第一步是建立網絡分區等防禦機製,保護垂直流動的網絡數據。這就足夠嗎?很遺憾,答案也是否定的。雖然垂直數據傳輸得到妥善管理,防禦機製也很完善,但是員工、供應商和承包商仍可直接訪問網絡。如果保護措施不到位,無形當中允許他們繞過防火牆等傳統防護,還可能會給工業網絡帶來病毒或惡意軟件。所以虛擬補丁和入侵防禦等水平防護對保護 PLC 和 HMI 等關鍵資產至關重要。
工業級 IPS 保護關鍵資產
由於 PLC 和 HMI 主要用來控製生產過程,如果 PLC 和控製中心之間通訊不暢或 HMI 發生故障,都可能對資產造成損害甚至傷及員工。因此,關鍵是要阻止 PLC 和 HMI 係統安裝任何未經授權的協議或功能。工業級 IPS(入侵防禦係統)采用以 OT 為中心的深層數據包檢測技術,可識別多種工業協議,還能允許或禁止讀寫訪問等特定功能。這樣,工業網絡中的數據便能確保安全可信。
虛擬補丁保護未升級設備
眾所周知,設備要不斷更新軟件才能抵禦網絡威脅。然而,對於工業網絡,關閉係統來進行軟件更新有時不太現實。而且,對於有些關鍵資產,想更新已不太可能。例如:由於 Windows XP 不再支持更新,一些使用該係統的 HMI 就無法獲得更新。這種情況下,虛擬補丁便可發揮重要作用,保護關鍵資產免受最新網絡安全威脅。
安全管理令設備狀態清晰可見
維護或快速調整運行當中的網絡非常具有挑戰性。可以選擇安全管理軟件來管理設備和安全策略,還可通過此類軟件部署虛擬補丁。
既然沒有單一的網絡安全解決方案,企業就必須先審視網絡狀態,然後選擇合適的解決方案組合。建議從網絡基礎設施的安全性和工業網絡安全兩個角度出發,建立垂直和水平防護。
bob手机在线登陆
是工業網絡和網絡安全專家,為您的工業網絡提供全方位保護。了解詳情請訪問:www.moxa.com/Security。