隨著企業(yè)不斷追求更高運營效率而改變運營模式，操作技術 (OT) 系統(tǒng)和信息技術 (IT) 系統(tǒng)日益互聯(lián)。例如，沿石油管道部署的 SCADA 網(wǎng)絡現(xiàn)在可以收集石油輸出數(shù)據(jù)，這些數(shù)據(jù)對計費和定價系統(tǒng)至關重要。新增數(shù)據(jù)收集功能使公司不僅可以更準確地預測石油產(chǎn)量和輸出量，還可以測算預期收入。然而，值得注意的是，這些相互關聯(lián)的系統(tǒng)有利有弊。一大缺點是，OT 系統(tǒng)面臨網(wǎng)絡安全威脅的可能性顯著增加。正因如此，報紙標題和文章經(jīng)常提到，IT 系統(tǒng)如遭受攻擊，將對 OT 系統(tǒng)造成巨大負面影響。IDC 臺灣區(qū)總經(jīng)理在教育視頻安全對話第三集中介紹，勒索軟件攻擊現(xiàn)象越來越嚴重，使原本就十分復雜的問題變得更加棘手。這類惡意軟件利用 Windows 漏洞，攻擊防護薄弱的系統(tǒng)。

　　面對越來越多針對 OT 系統(tǒng)的網(wǎng)絡安全事件，企業(yè)主和監(jiān)管機構迫切尋求提高工業(yè)網(wǎng)絡安全、保證企業(yè)正常運行的解決方案。在本文中，我們將介紹“深度防御”概念，助力企業(yè)利用現(xiàn)有網(wǎng)絡基礎設施和投資，構建網(wǎng)絡防御的第一道防線。之后，我們將討論工業(yè)入侵防御系統(tǒng)如何進一步保護 OT 系統(tǒng)，以及此類防御系統(tǒng)的好處和優(yōu)勢。

　　安全邊界

　　要增強網(wǎng)絡安全，您必須先了解您的工業(yè)系統(tǒng)如何在不同系統(tǒng)間交換數(shù)據(jù)，以及它們如何連接到 IT 級系統(tǒng)。在最理想的情況下，當數(shù)據(jù)流量跨越不同系統(tǒng)時，系統(tǒng)之間應存在邊界，確保流量的安全性。即使已經(jīng)過身份驗證和授權的訪問也會再度被核準。然而，在所有系統(tǒng)之間建立邊界十分困難，往往也很難實現(xiàn)，因為這涉及到大量開支，而且很可能不利于網(wǎng)絡通信效率。因此，我們強烈建議將 OT 系統(tǒng)劃分為不同的數(shù)字單元和區(qū)域，并建立邊界，在支出成本和適宜風險水平之間找到平衡。

示意圖：建立安全邊界，確保發(fā)生網(wǎng)絡安全事件時生產(chǎn)線不會相互影響

　　由 IEC 6244 3 網(wǎng)絡安全標準委員會推薦的“深度防御”方法已廣泛應用于各個行業(yè)，在幫助建立多層保護、滿足運營需求方面成效顯著。在下圖中，關鍵資產(chǎn)和生產(chǎn)運營處于最重要的位置。由于它們對企業(yè)至關重要，必須采取額外的安全防范措施，比如增加多層保護，進一步確保它們的安全。了解關于網(wǎng)絡安全不同層級的更多信息，請下載信息圖。

示意圖：深度防御安全概念基于多層安全機制，有助于提高整個系統(tǒng)的安全性

　　如何建立安全邊界

　　● 物理層分區(qū)

　　當兩個網(wǎng)絡在物理上隔離時，即形成氣隙。如果一個系統(tǒng)的操作和安全需要獨立維護，建立氣隙是可行解決方案。但是，如前所述，由于業(yè)務和操作需求，以這種方式設置網(wǎng)絡已變得越來越困難。

　　● 數(shù)據(jù)鏈路/二層、三層網(wǎng)絡分區(qū)

　　工業(yè)控制系統(tǒng)很可能已有幾十年的歷史。充分利用現(xiàn)有基礎設施，同時保障工業(yè)控制系統(tǒng)安全無虞，這不僅是企業(yè)的關鍵挑戰(zhàn)之一，也是網(wǎng)絡管理員的主要訴求。借助 VLAN（虛擬局域網(wǎng)）分隔不同網(wǎng)絡分區(qū)的流量是常用方法，也是網(wǎng)管型以太網(wǎng)交換機的功能之一。一些以太網(wǎng)交換機具備端口層訪問控制列表 (ACL)，由于數(shù)據(jù)首先進入交換機，有助于提高 VLAN 的安全性。另一種方法是部署防火墻來保護工業(yè)應用和數(shù)據(jù)，這在處理二層、三層網(wǎng)絡流量時格外有效。

　　● 四至七層網(wǎng)絡分區(qū)

　　通過深層數(shù)據(jù)包檢測 (DPI) 技術可進一步分區(qū)，提供更精細的網(wǎng)絡流量控制，幫助您根據(jù)應用需求選擇工業(yè)協(xié)議。從理論上說，如果多個設備接入同一網(wǎng)絡，便能互相通信。然而，在具體情況下，控制器 A 可能只需要與機械臂 A 通信，這時 DPI 技術就能幫助工程師決定由哪個控制器執(zhí)行讀寫命令，甚至決定流量傳輸方向。

　　● 網(wǎng)絡微分區(qū)

　　有時，關鍵資產(chǎn)需要額外保護。入侵防御系統(tǒng) (IPS) 能實行網(wǎng)絡微分區(qū)，讓關鍵資產(chǎn)安全無虞。由于微分區(qū)將網(wǎng)絡劃分為更小的子網(wǎng)絡，大幅加固工業(yè)網(wǎng)絡安全。這種方式的好處在于，IPS 系統(tǒng)的虛擬補丁功能可以降低已知漏洞被攻擊的風險。例如，一些系統(tǒng)可能需要在 Windows XP 中運行，但微軟已停止對這款操作系統(tǒng)的更新支持。因此，即使是已知的漏洞，安全升級也并非易事。觀看視頻了解 IPS 虛擬補丁的運行原理。

　　● 安全遠程訪問

　　網(wǎng)絡安全專家認為，遠程桌面協(xié)議有時會被攻擊者利用，用于散播惡意軟件或進行未授權活動。為提高運行效率、快速排除故障，遠程連接日益普遍。因此，對在兩個現(xiàn)場之間建立安全邊界這一話題的討論越來越多。長遠看來，使用軟件搭建遠程連接很容易導致漏洞。因此，建立 VPN 隧道、確保訪問控制機制有效運作是更合適的手段。

　　典型場景

　　互聯(lián)互通的工廠網(wǎng)絡需要合理分區(qū)，加固工業(yè)網(wǎng)絡安全壁壘。此外，網(wǎng)絡冗余也是保障工業(yè)控制系統(tǒng)隨時可用的必要一環(huán)。

　　● 安全變電站監(jiān)控

　　規(guī)模龐大的電網(wǎng)需要 IEC 61850 標準認證的 VPN 解決方案，監(jiān)控每一個偏遠變電站中的智能電子設備 (IED)。

　　由于氣隙網(wǎng)絡不再具備足夠的優(yōu)勢和安全性，企業(yè)主和工程師應通過網(wǎng)絡分區(qū)、微分區(qū)、安全遠程訪問等方式加強安全邊界。每種方式滿足不同網(wǎng)絡需求，助力網(wǎng)絡安全，不僅形成周邊防線，還能阻止未授權的橫向移動流量。Moxa 全新發(fā)布的 EDR-G9010 系列集防火墻、NAT、VPN、交換機、路由器于一身，能提高網(wǎng)絡安全，充分發(fā)揮現(xiàn)有網(wǎng)絡基礎設施的作用，讓企業(yè)主的投資得以經(jīng)受時間的考驗。