Google 全球趨勢指數(shù)顯示，網(wǎng)絡(luò)安全類關(guān)鍵詞在 Google 搜索中的熱度不斷攀升。其中，“附近的網(wǎng)絡(luò)安全培訓(xùn)班”以及“網(wǎng)絡(luò)安全行政命令”的搜索量最高（Google 趨勢，截至 2021 年 9 月）?；仡櫦磳⑦^去的 2021 年，這一現(xiàn)象并不稀奇。毫無疑問，網(wǎng)絡(luò)安全已經(jīng)成為人們廣泛熱議的重要話題。人們發(fā)現(xiàn)，網(wǎng)絡(luò)安全就像一幅拼圖，只有了解每一塊碎片，才能拼出完整的畫面。如今，關(guān)注網(wǎng)絡(luò)安全已是刻不容緩。

　　據(jù)德勤發(fā)布的報告顯示，受訪制造商中有四成遭遇過網(wǎng)絡(luò)安全事件，其中有 86% 的制造商表示，事故曾導(dǎo)致工業(yè)系統(tǒng)中斷。隨著 OT/IT 融合的步伐加快，工業(yè)控制系統(tǒng)中出現(xiàn)多個攻擊面，其中一些是已知的安全漏洞，但其余的風(fēng)險仍是未知數(shù)。因此，無論是管理層還是個人用戶，都應(yīng)為建設(shè)工業(yè)網(wǎng)絡(luò)安全壁壘出一份力，從邊緣到云端層層防護(hù)工業(yè)網(wǎng)絡(luò)。本文將分享行業(yè)專家提出的實(shí)用建議，幫助企業(yè)開啟網(wǎng)絡(luò)安全征程。

圖表：工業(yè)控制系統(tǒng)中易受網(wǎng)絡(luò)攻擊侵害的新攻擊面

　　工業(yè)系統(tǒng)中往往包含很多傳統(tǒng)設(shè)備，但由于現(xiàn)場網(wǎng)絡(luò)如今較少使用氣隙技術(shù)，這些設(shè)備越來越容易受到攻擊。理想情況下，傳統(tǒng)設(shè)備可借助內(nèi)置安全功能的先進(jìn)解決方案，實(shí)現(xiàn)自身的快速升級。然而，由于企業(yè)預(yù)算有限，再加上工業(yè)系統(tǒng)不能停機(jī)，新舊設(shè)備往往會在同一個系統(tǒng)中運(yùn)行。在這種情況下，就需要使用安全性更強(qiáng)的網(wǎng)絡(luò)設(shè)備，將傳統(tǒng)設(shè)備連入網(wǎng)絡(luò)。挑選網(wǎng)絡(luò)設(shè)備時，應(yīng)選擇采用“安全始于設(shè)計(jì)”理念的產(chǎn)品，建議您檢查設(shè)備的內(nèi)置安全功能是否符合 IEC 62443 等安全標(biāo)準(zhǔn)。如果確認(rèn)符合標(biāo)準(zhǔn)，便可選擇這種產(chǎn)品，并進(jìn)行安全設(shè)置。例如，我們建議禁用所有閑置端口和服務(wù)，不讓入侵者有可乘之機(jī)。點(diǎn)擊查看更多關(guān)于提高邊緣層安全性的建議以及 Moxa 解決方案的案例研究了解如何實(shí)現(xiàn)安全的邊緣互聯(lián)。

　　完成網(wǎng)絡(luò)節(jié)點(diǎn)的安全配置后，就該根據(jù)區(qū)域和線路政策為網(wǎng)絡(luò)分區(qū)。通過分區(qū)，可以避免網(wǎng)絡(luò)因某一節(jié)點(diǎn)受到攻擊而整體停機(jī)，從而提高網(wǎng)絡(luò)安全性。工業(yè)自動化解決方案和企業(yè)數(shù)位轉(zhuǎn)型咨詢服務(wù)提供商 YNY Technology 的 OT 安全顧問 Gary Kong 介紹了他如何幫助客戶消除 OT/IT 網(wǎng)絡(luò)融合過程中的安全隱患。他表示：“我推薦客戶采用網(wǎng)絡(luò)分區(qū)、隔離區(qū) (DMZ) 等安全的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，減少來自 IT 網(wǎng)絡(luò)的威脅?！?同時，選擇合適的工業(yè)網(wǎng)絡(luò)分區(qū)解決方案也頗為重要。Gary Kong 稱：“客戶也明白，只在 OT 網(wǎng)絡(luò)外加筑 IT 防火墻，并不能為 OT 環(huán)境提供有力的保護(hù)，但他們常常忽視這條建議，盡管他們很清楚 IT 防火墻無法識別工業(yè)協(xié)議，監(jiān)管和流程層面都可能遭遇網(wǎng)絡(luò)攻擊。單純依賴 IT 防火墻的風(fēng)險很高，也很難讓人放心，各種漏洞和網(wǎng)絡(luò)入侵防不勝防。”作為工業(yè)控制系統(tǒng)解決方案，防火墻不僅要將網(wǎng)絡(luò)劃分為互相隔絕的區(qū)域，實(shí)現(xiàn)垂直防護(hù)，還要具備深層數(shù)據(jù)包檢測功能，在不影響系統(tǒng)運(yùn)行的前提下過濾未經(jīng)授權(quán)的數(shù)據(jù)包，提供水平防護(hù)。  

　　OT/IT 網(wǎng)絡(luò)融合的目的是收集數(shù)據(jù)并從中提取有價值的信息。在這一方面，云技術(shù)可謂理想之選，這類技術(shù)使用簡便，還有著強(qiáng)大的數(shù)據(jù)分析能力，可以簡化網(wǎng)絡(luò)融合。近期，人們越來越重視如何保障從 OT 到 IT、從現(xiàn)場到云端的數(shù)據(jù)訪問安全。自動化和流程控制技術(shù)領(lǐng)導(dǎo)企業(yè) ABB 集團(tuán)旗下 B&R 工業(yè)自動化公司的網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理 Ninad Deshpande 表示：“OPC UA 協(xié)議包含大量安全原則，不僅有應(yīng)用認(rèn)證和用戶認(rèn)證，還有涵蓋網(wǎng)絡(luò)安全三大支柱的安全機(jī)制，即保密性、完整性和可用性 (CIA)?！監(jiān)PC UA 協(xié)議提供了可靠的通訊解決方案，確保數(shù)據(jù)融合簡便安全，可助力企業(yè)在邊緣設(shè)備和云端服務(wù)器之間輕松建立順暢的通訊。 

　　然而，要使用云技術(shù)，就必然會產(chǎn)生遠(yuǎn)程訪問的需求，而其安全性令人擔(dān)憂。如今，越來越多的機(jī)器制造商開始利用云平臺簡化設(shè)備維護(hù)工作。不過，在享受云技術(shù)帶來的優(yōu)勢之前，應(yīng)利用數(shù)據(jù)加密、VPN 等技術(shù)確保遠(yuǎn)程訪問的安全性，保障關(guān)鍵資產(chǎn)安全無虞。

　　前文介紹了如何減少潛在攻擊面，從邊緣層到云端全面保護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)，接下來本文將聚焦操控這些工業(yè)系統(tǒng)和設(shè)備的人員。外包供應(yīng)商、系統(tǒng)集成商甚至是遠(yuǎn)程服務(wù)工程師，都是日常運(yùn)營、維護(hù)和故障排除不可或缺的重要人員，也是落實(shí)安全政策的重要參與方。如果這類人員缺乏網(wǎng)絡(luò)安全意識，不懂得利用安全技術(shù)，那么一切投入都將是徒勞。為避免出現(xiàn)這種情況，必須確保工業(yè)流程的所有參與者秉持相同的網(wǎng)絡(luò)安全理念和心態(tài)，只有這樣才能讓安全防護(hù)措施發(fā)揮應(yīng)有的作用。

　　建議 4：從管理層到個人，提高工業(yè)網(wǎng)絡(luò)安全意識

　　安全意識金字塔將網(wǎng)絡(luò)安全意識劃分成幾個層級。管理層的承諾和支持是整個金字塔的基石，第二級是為提高安全意識設(shè)計(jì)的安全方案和政策。以安全政策為例，根據(jù)安全配置分配讀寫權(quán)限是一項(xiàng)基本政策，但在具體落實(shí)時，要讓整個公司的所有人遵守政策并非易事。設(shè)施管理人員常常感到網(wǎng)絡(luò)安全措施執(zhí)行起來非常繁瑣，因此不會嚴(yán)格要求所有員工都照章行事。有的管理人員會以小組為單位落實(shí)安全政策，而不是為每位員工分配專用登錄信息，這會帶來更多網(wǎng)絡(luò)安全風(fēng)險。

圖表：安全意識金字塔

　　三菱電機(jī)自動化公司致力于為眾多工業(yè)市場提供全面的自動化產(chǎn)品。Thomas Burke 是該公司的工業(yè)標(biāo)準(zhǔn)全球行業(yè)經(jīng)理，在工業(yè)自動化領(lǐng)域有著豐富的經(jīng)驗(yàn)。他曾在 Moxa 安全對話上談及提高安全意識、執(zhí)行安全政策的重要性。他表示：“應(yīng)確保終端用戶、供應(yīng)商和公司員工充分了解各項(xiàng)潛在風(fēng)險，認(rèn)識到自己在網(wǎng)絡(luò)安全維護(hù)中扮演的角色有多重要?！?/div>