概述
2022 年����,在全球主要行業(yè)中���,制造業(yè)是最頻繁遭受網(wǎng)絡攻擊的領域。主要原因在于工業(yè)控制系統(tǒng) (ICS) 與互聯(lián)網(wǎng)之間的物理間隔被消除����,操作技術 (OT) 與信息技術 (IT) 實現(xiàn)融合,OT 基礎網(wǎng)隨之暴露于不斷出現(xiàn)的網(wǎng)絡威脅之下����。然而���,現(xiàn)代制造業(yè)想保持競爭力就不能與世隔絕����。下文將圍繞兩大智能制造應用探討關鍵挑戰(zhàn),即 (1) 新設備大規(guī)?��;ヂ?lián)���,實現(xiàn)實時廠務監(jiān)控,(2) 集成多個網(wǎng)絡����,實現(xiàn)最優(yōu)管理���。文章還將就如何保護應用運行免遭網(wǎng)絡威脅提出實用建議���。
針對智能制造系統(tǒng)的全新威脅
隨著智能制造(工業(yè) 4.0)興起����,工業(yè)領域網(wǎng)絡威脅日益增多���,這是 OT/IT 融合帶來的“副作用”���。雖然 OT/IT 基礎網(wǎng)融合能提高效率����、創(chuàng)造更多價值���,但也使以往處于隔離狀態(tài)的 OT 系統(tǒng)面臨各種網(wǎng)絡攻擊���。當前網(wǎng)絡威脅日益嚴峻����,而制造企業(yè)往往無法承受停機的代價,因此成為網(wǎng)絡攻擊的首要目標。如前所述���,2022 年,制造業(yè)遭受的網(wǎng)絡攻擊次數(shù)高于任何其他行業(yè)。
因此���,需深入分析易受攻擊的工業(yè)應用類型,了解普遍挑戰(zhàn)以及哪些地方需要改進。下面我們通過兩個工業(yè)應用實例來看看����,網(wǎng)絡威脅如何產(chǎn)生影響及如何降低網(wǎng)絡安全風險���。
應用 1:實時廠務監(jiān)控系統(tǒng)
負責實時監(jiān)控大規(guī)模工業(yè)網(wǎng)絡的應用越來越容易受到網(wǎng)絡威脅���。這些應用通常需大規(guī)模部署各類互聯(lián)設備,采集海量現(xiàn)場數(shù)據(jù)并發(fā)送至控制中心進行分析。要考慮的網(wǎng)絡安全問題如下:
需將數(shù)百個邊緣可編程邏輯控制器 (PLC) 和傳感器接入網(wǎng)絡,采集反映生產(chǎn)設施狀況的數(shù)據(jù)���,優(yōu)化能源使用���。每臺設備即是一個新的節(jié)點���,均可能成為未授權訪問���、惡意攻擊等網(wǎng)絡安全攻擊的對象���。
網(wǎng)絡不斷擴展����,大量邊緣設備集成至分布層,安全漏洞隨之擴大����。如果網(wǎng)絡沒有適度分區(qū),只要一個節(jié)點失守整個網(wǎng)絡便會遭受崩潰風險���。
針對上述問題���,運維人員應考慮采用深度防御方案���,具體舉措包括選擇安全設備、構建穩(wěn)固網(wǎng)絡防御層����、確定網(wǎng)絡狀態(tài)等����,確保網(wǎng)絡安全可用。當增加網(wǎng)絡節(jié)點時����,選擇通過國際安全認證或安全功能符合 IEC 62443����、NERC CIP 等國際認可標準的安全加固型設備���,有利于奠定堅實網(wǎng)絡基礎����。網(wǎng)絡分區(qū)和威脅預防措施可提供另一層攻擊防護,且有助于防止非法入侵和威脅擴大至其他網(wǎng)絡節(jié)點���。最后,持續(xù)監(jiān)控網(wǎng)絡節(jié)點的安全狀態(tài)可及時發(fā)現(xiàn)并響應各類問題或異常情況����。
應用 2:工業(yè)機器集成
另一大容易遭受網(wǎng)絡安全威脅的制造應用場景是����,出于優(yōu)化管理目的將工業(yè)機器集成至網(wǎng)絡。過去����,工業(yè)工程師會建立一個封閉網(wǎng)絡環(huán)境,采用相似模式為機器分配 IP 地址。
然而����,要想遠程管控工業(yè)機器就必須將工業(yè)網(wǎng)絡與互聯(lián)網(wǎng)相連。如需把傳統(tǒng)隔離的機器連接至集中管理系統(tǒng),使用同一模式為所有機器生成 IP 地址將產(chǎn)生 IP 沖突���,甚至可能導致網(wǎng)絡故障����。因此���,所有機器都必須重置 IP���,這是一項費時費力的任務且易造成安全漏洞����。此外���,機器一旦與公共的互聯(lián)網(wǎng)連接,便面臨各種前所未有的網(wǎng)絡威脅����。特別是可預測的 IP 地址很快成為網(wǎng)絡攻擊的目標����。
簡化管理與增強安全對解決漏洞大有幫助����。例如,系統(tǒng)集成商可利用網(wǎng)絡地址轉換 (NAT) 技術保護 IP 地址免遭覬覦,同時簡化設備集成���。最新硬件解決方案還提供嵌入式智能威脅預防機制���,可自動攔截來自未授權 IP 地址的數(shù)據(jù)���。這些措施構建起另一層穩(wěn)固壁壘����,共同守護機器網(wǎng)絡安全���。
克服 OT 聯(lián)網(wǎng)障礙����,擁抱智能數(shù)字化未來
面向數(shù)字化未來進行 OT/IT 網(wǎng)絡融合時,網(wǎng)絡安全必須相應升級才能應對不斷涌現(xiàn)的全新網(wǎng)絡威脅���。定期監(jiān)控網(wǎng)絡基礎設施并及時更新保護機制是動態(tài)安全策略的重要組成部分,可有效保護互聯(lián)系統(tǒng)����、減少損失巨大的故障停機。然而���,OT 工程師可能由于缺乏最新 IT 知識或經(jīng)驗����,在承擔智能系統(tǒng)安全防護工作時“心有余而力不足”����。
面對網(wǎng)絡威脅����,系統(tǒng)集成商和工業(yè)運營商應采用集成工業(yè)聯(lián)網(wǎng)解決方案和專為 OT 工程師設計的深度防御系統(tǒng)����,讓制造網(wǎng)絡不懼未來考驗���。