自 2022 年 6 月 15 日起,本網站不再支持 Internet Explorer。 請使用其他瀏覽器訪問我們的網站,以獲得最佳的瀏覽體驗。
分享

如何保護工業網絡?聽聽行業專家的五條建議

2021年11月29日
您可在 My bob手机在线登陆 管理和分享已保存列表
Teaser Image
分享
您可在 My bob手机在线登陆 管理和分享已保存列表

Google 全球趨勢指數顯示,網絡安全類關鍵詞在 Google 搜索中的熱度不斷攀升。其中,“附近的網絡安全培訓班”以及“網絡安全行政命令”的搜索量最高(Google 趨勢,截至 2021 年 9 月)。回顧即將過去的 2021 年,這一現象並不稀奇。毫無疑問,網絡安全已經成為人們廣泛熱議的重要話題。人們發現,網絡安全就像一幅拚圖,隻有了解每一塊碎片,才能拚出完整的畫麵。如今,關注網絡安全已是刻不容緩。

據德勤發布的報告顯示,受訪製造商中有四成遭遇過網絡安全事件,其中有 86% 的製造商表示,事故曾導致工業係統中斷。隨著 OT/IT 融合的步伐加快,工業控製係統中出現多個攻擊麵,其中一些是已知的安全漏洞,但其餘的風險仍是未知數。因此,無論是管理層還是個人用戶,都應為建設工業網絡安全壁壘出一份力,從邊緣到雲端層層防護工業網絡。本文將分享行業專家提出的實用建議,幫助企業開啟網絡安全征程。

圖表:工業控製係統中易受網絡攻擊侵害的新攻擊麵

建議 1:部署秉持“安全始於設計”理念的網絡設備,采用安全的設備設置方式

工業係統中往往包含很多傳統設備,但由於現場網絡如今較少使用氣隙技術,這些設備越來越容易受到攻擊。理想情況下,傳統設備可借助內置安全功能的先進解決方案,實現自身的快速升級。然而,由於企業預算有限,再加上工業係統不能停機,新舊設備往往會在同一個係統中運行。在這種情況下,就需要使用安全性更強的網絡設備,將傳統設備連入網絡。挑選網絡設備時,應選擇采用“安全始於設計”理念的bob手机在线登陆 ,建議您檢查設備的內置安全功能是否符合 IEC 62443 等安全標準。如果確認符合標準,便可選擇這種bob手机在线登陆 ,並進行安全設置。例如,我們建議禁用所有閑置端口和服務,不讓入侵者有可乘之機。點擊查看更多關於提高邊緣層安全性的建議以及 bob手机在线登陆 解決方案的案例研究了解如何實現安全的邊緣互聯。

建議 2:進行網絡分區

完成網絡節點的安全配置後,就該根據區域和線路政策為網絡分區。通過分區,可以避免網絡因某一節點受到攻擊而整體停機,從而提高網絡安全性。工業自動化解決方案和企業數位轉型谘詢服務提供商 YNY Technology 的 OT 安全顧問 Gary Kong 介紹了他如何幫助客戶消除 OT/IT 網絡融合過程中的安全隱患。他表示:“我推薦客戶采用網絡分區、隔離區 (DMZ) 等安全的網絡架構設計,減少來自 IT 網絡的威脅。” 同時,選擇合適的工業網絡分區解決方案也頗為重要。Gary Kong 稱:“客戶也明白,隻在 OT 網絡外加築 IT 防火牆,並不能為 OT 環境提供有力的保護,但他們常常忽視這條建議,盡管他們很清楚 IT 防火牆無法識別工業協議,監管和流程層麵都可能遭遇網絡攻擊。單純依賴 IT 防火牆的風險很高,也很難讓人放心,各種漏洞和網絡入侵防不勝防。”作為工業控製係統解決方案,防火牆不僅要將網絡劃分為互相隔絕的區域,實現垂直防護,還要具備深層數據包檢測功能,在不影響係統運行的前提下過濾未經授權的數據包,提供水平防護。  

建議 3:應用安全的通訊解決方案,保障關鍵數據和資產安全

OT/IT 網絡融合的目的是收集數據並從中提取有價值的信息。在這一方麵,雲技術可謂理想之選,這類技術使用簡便,還有著強大的數據分析能力,可以簡化網絡融合。近期,人們越來越重視如何保障從 OT 到 IT、從現場到雲端的數據訪問安全。自動化和流程控製技術領導企業 ABB 集團旗下 B&R 工業自動化公司的網絡安全bob手机在线登陆 經理 Ninad Deshpande 表示:“OPC UA 協議包含大量安全原則,不僅有應用認證和用戶認證,還有涵蓋網絡安全三大支柱的安全機製,即保密性、完整性和可用性 (CIA)。”OPC UA 協議提供了可靠的通訊解決方案,確保數據融合簡便安全,可助力企業在邊緣設備和雲端服務器之間輕鬆建立順暢的通訊。 

然而,要使用雲技術,就必然會產生遠程訪問的需求,而其安全性令人擔憂。如今,越來越多的機器製造商開始利用雲平台簡化設備維護工作。不過,在享受雲技術帶來的優勢之前,應利用數據加密、VPN 等技術確保遠程訪問的安全性,保障關鍵資產安全無虞。

前文介紹了如何減少潛在攻擊麵,從邊緣層到雲端全麵保護聯網工業控製係統,接下來本文將聚焦操控這些工業係統和設備的人員。外包供應商、係統集成商甚至是遠程服務工程師,都是日常運營、維護和故障排除不可或缺的重要人員,也是落實安全政策的重要參與方。如果這類人員缺乏網絡安全意識,不懂得利用安全技術,那麼一切投入都將是徒勞。為避免出現這種情況,必須確保工業流程的所有參與者秉持相同的網絡安全理念和心態,隻有這樣才能讓安全防護措施發揮應有的作用。

建議 4:從管理層到個人,提高工業網絡安全意識

安全意識金字塔將網絡安全意識劃分成幾個層級。管理層的承諾和支持是整個金字塔的基石,第二級是為提高安全意識設計的安全方案和政策。以安全政策為例,根據安全配置分配讀寫權限是一項基本政策,但在具體落實時,要讓整個公司的所有人遵守政策並非易事。設施管理人員常常感到網絡安全措施執行起來非常繁瑣,因此不會嚴格要求所有員工都照章行事。有的管理人員會以小組為單位落實安全政策,而不是為每位員工分配專用登錄信息,這會帶來更多網絡安全風險。

圖表:安全意識金字塔

三菱電機自動化公司致力於為眾多工業市場提供全麵的自動化bob手机在线登陆 。Thomas Burke 是該公司的工業標準全球行業經理,在工業自動化領域有著豐富的經驗。他曾在 bob手机在线登陆 安全對話上談及提高安全意識、執行安全政策的重要性。他表示:“應確保終端用戶、供應商和公司員工充分了解各項潛在風險,認識到自己在網絡安全維護中扮演的角色有多重要。”

建議 5:檢查配置和設置是否符合安全政策

有了較強的安全意識和完善的安全政策,員工會更重視係統的安全設置。誠然,一次性檢查所有係統並非易事,但安全檢查什麼時候開始都不算晚。企業可以先開展風險評估,確定安全防護的優先級,如此就能更輕鬆地識別和保護關鍵資產。接下來,可以先從檢查配置入手。如果網絡規模龐大,建議使用可視化軟件清晰呈現網絡結構,以便檢查安全設置,視需進行調整。

反思和展望

隨著企業繼續尋求數位轉型和 OT/IT 融合帶來的紅利,“網絡安全”這個關鍵詞在 Google 搜索上的熱度還將攀升。技術發展隻會不斷前進,而不會開倒車。我們希望本文的專家觀點能讓企業對工業網絡安全形成更全麵的認識。

  • 建議從改變思維方式做起,製定安全政策,係統地檢查安全配置。
  • 基礎工作完成後,可以聚焦邊緣連接的安全確保新係統和傳統係統都安全無虞。
  • 注意保護骨幹網絡,保障數據傳輸不中斷,這是實現 OT/IT 融合的必要條件。
  • 建議安裝工業防火牆加固垂直和水平兩道安全壁壘。
  • 最後,隨著企業對遠程連接的需求日益增加,選擇可靠省心的安全遠程訪問解決方案將為企業節省開支,免去麻煩。

如欲了解更多信息,請訪問 bob手机在线登陆 微網站 www.moxa.com/Security

添加至收藏夾