概述

　　2022 年，在全球主要行業(yè)中，制造業(yè)是最頻繁遭受網(wǎng)絡(luò)攻擊的領(lǐng)域。主要原因在于工業(yè)控制系統(tǒng) (ICS) 與互聯(lián)網(wǎng)之間的物理間隔被消除，操作技術(shù) (OT) 與信息技術(shù) (IT) 實(shí)現(xiàn)融合，OT 基礎(chǔ)網(wǎng)隨之暴露于不斷出現(xiàn)的網(wǎng)絡(luò)威脅之下。然而，現(xiàn)代制造業(yè)想保持競(jìng)爭(zhēng)力就不能與世隔絕。下文將圍繞兩大智能制造應(yīng)用探討關(guān)鍵挑戰(zhàn)，即 (1) 新設(shè)備大規(guī)模互聯(lián)，實(shí)現(xiàn)實(shí)時(shí)廠務(wù)監(jiān)控，(2) 集成多個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)最優(yōu)管理。文章還將就如何保護(hù)應(yīng)用運(yùn)行免遭網(wǎng)絡(luò)威脅提出實(shí)用建議。

　　針對(duì)智能制造系統(tǒng)的全新威脅

　　隨著智能制造（工業(yè) 4.0）興起，工業(yè)領(lǐng)域網(wǎng)絡(luò)威脅日益增多，這是 OT/IT 融合帶來的“副作用”。雖然 OT/IT 基礎(chǔ)網(wǎng)融合能提高效率、創(chuàng)造更多價(jià)值，但也使以往處于隔離狀態(tài)的 OT 系統(tǒng)面臨各種網(wǎng)絡(luò)攻擊。當(dāng)前網(wǎng)絡(luò)威脅日益嚴(yán)峻，而制造企業(yè)往往無法承受停機(jī)的代價(jià)，因此成為網(wǎng)絡(luò)攻擊的首要目標(biāo)。如前所述，2022 年，制造業(yè)遭受的網(wǎng)絡(luò)攻擊次數(shù)高于任何其他行業(yè)。

　　因此，需深入分析易受攻擊的工業(yè)應(yīng)用類型，了解普遍挑戰(zhàn)以及哪些地方需要改進(jìn)。下面我們通過兩個(gè)工業(yè)應(yīng)用實(shí)例來看看，網(wǎng)絡(luò)威脅如何產(chǎn)生影響及如何降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　應(yīng)用 1：實(shí)時(shí)廠務(wù)監(jiān)控系統(tǒng)

　　負(fù)責(zé)實(shí)時(shí)監(jiān)控大規(guī)模工業(yè)網(wǎng)絡(luò)的應(yīng)用越來越容易受到網(wǎng)絡(luò)威脅。這些應(yīng)用通常需大規(guī)模部署各類互聯(lián)設(shè)備，采集海量現(xiàn)場(chǎng)數(shù)據(jù)并發(fā)送至控制中心進(jìn)行分析。要考慮的網(wǎng)絡(luò)安全問題如下：

　　需將數(shù)百個(gè)邊緣可編程邏輯控制器 (PLC) 和傳感器接入網(wǎng)絡(luò)，采集反映生產(chǎn)設(shè)施狀況的數(shù)據(jù)，優(yōu)化能源使用。每臺(tái)設(shè)備即是一個(gè)新的節(jié)點(diǎn)，均可能成為未授權(quán)訪問、惡意攻擊等網(wǎng)絡(luò)安全攻擊的對(duì)象。

　　網(wǎng)絡(luò)不斷擴(kuò)展，大量邊緣設(shè)備集成至分布層，安全漏洞隨之?dāng)U大。如果網(wǎng)絡(luò)沒有適度分區(qū)，只要一個(gè)節(jié)點(diǎn)失守整個(gè)網(wǎng)絡(luò)便會(huì)遭受崩潰風(fēng)險(xiǎn)。

　　針對(duì)上述問題，運(yùn)維人員應(yīng)考慮采用深度防御方案，具體舉措包括選擇安全設(shè)備、構(gòu)建穩(wěn)固網(wǎng)絡(luò)防御層、確定網(wǎng)絡(luò)狀態(tài)等，確保網(wǎng)絡(luò)安全可用。當(dāng)增加網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，選擇通過國(guó)際安全認(rèn)證或安全功能符合 IEC 62443、NERC CIP 等國(guó)際認(rèn)可標(biāo)準(zhǔn)的安全加固型設(shè)備，有利于奠定堅(jiān)實(shí)網(wǎng)絡(luò)基礎(chǔ)。網(wǎng)絡(luò)分區(qū)和威脅預(yù)防措施可提供另一層攻擊防護(hù)，且有助于防止非法入侵和威脅擴(kuò)大至其他網(wǎng)絡(luò)節(jié)點(diǎn)。最后，持續(xù)監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的安全狀態(tài)可及時(shí)發(fā)現(xiàn)并響應(yīng)各類問題或異常情況。

　　應(yīng)用 2：工業(yè)機(jī)器集成

　　另一大容易遭受網(wǎng)絡(luò)安全威脅的制造應(yīng)用場(chǎng)景是，出于優(yōu)化管理目的將工業(yè)機(jī)器集成至網(wǎng)絡(luò)。過去，工業(yè)工程師會(huì)建立一個(gè)封閉網(wǎng)絡(luò)環(huán)境，采用相似模式為機(jī)器分配 IP 地址。

　　然而，要想遠(yuǎn)程管控工業(yè)機(jī)器就必須將工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連。如需把傳統(tǒng)隔離的機(jī)器連接至集中管理系統(tǒng)，使用同一模式為所有機(jī)器生成 IP 地址將產(chǎn)生 IP 沖突，甚至可能導(dǎo)致網(wǎng)絡(luò)故障。因此，所有機(jī)器都必須重置 IP，這是一項(xiàng)費(fèi)時(shí)費(fèi)力的任務(wù)且易造成安全漏洞。此外，機(jī)器一旦與公共的互聯(lián)網(wǎng)連接，便面臨各種前所未有的網(wǎng)絡(luò)威脅。特別是可預(yù)測(cè)的 IP 地址很快成為網(wǎng)絡(luò)攻擊的目標(biāo)。

　　簡(jiǎn)化管理與增強(qiáng)安全對(duì)解決漏洞大有幫助。例如，系統(tǒng)集成商可利用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 技術(shù)保護(hù) IP 地址免遭覬覦，同時(shí)簡(jiǎn)化設(shè)備集成。最新硬件解決方案還提供嵌入式智能威脅預(yù)防機(jī)制，可自動(dòng)攔截來自未授權(quán) IP 地址的數(shù)據(jù)。這些措施構(gòu)建起另一層穩(wěn)固壁壘，共同守護(hù)機(jī)器網(wǎng)絡(luò)安全。

　　克服 OT 聯(lián)網(wǎng)障礙，擁抱智能數(shù)字化未來

　　面向數(shù)字化未來進(jìn)行 OT/IT 網(wǎng)絡(luò)融合時(shí)，網(wǎng)絡(luò)安全必須相應(yīng)升級(jí)才能應(yīng)對(duì)不斷涌現(xiàn)的全新網(wǎng)絡(luò)威脅。定期監(jiān)控網(wǎng)絡(luò)基礎(chǔ)設(shè)施并及時(shí)更新保護(hù)機(jī)制是動(dòng)態(tài)安全策略的重要組成部分，可有效保護(hù)互聯(lián)系統(tǒng)、減少損失巨大的故障停機(jī)。然而，OT 工程師可能由于缺乏最新 IT 知識(shí)或經(jīng)驗(yàn)，在承擔(dān)智能系統(tǒng)安全防護(hù)工作時(shí)“心有余而力不足”。

　　面對(duì)網(wǎng)絡(luò)威脅，系統(tǒng)集成商和工業(yè)運(yùn)營(yíng)商應(yīng)采用集成工業(yè)聯(lián)網(wǎng)解決方案和專為 OT 工程師設(shè)計(jì)的深度防御系統(tǒng)，讓制造網(wǎng)絡(luò)不懼未來考驗(yàn)。