過去兩年,新冠疫情重塑了我們的工作模式,實行遠程操作變得更加迫在眉睫。為了快速適應這些有目共睹的環境變化,企業必須提升運營韌性。工業企業自然也不例外,它們普遍認為,實現這一目標的關鍵是 IT/OT 融合。近年來,隨著先進技術不斷發展,IT/OT 融合已觸手可及,不再是空想。
根據國際數據公司 (IDC) 對工業企業的調查1顯示,40% 的受訪者已經未雨綢繆,在工廠和生產場所投資部署了自動化系統。在推進 IT/OT 融合的過程中,您可能首先會考慮安全問題,因為網絡攻擊日益猖獗,攻擊分子越來越肆無忌憚地瞄準世界各地的關鍵基礎設施,包括鐵路、變電站、管道等。工業經營者意識到,網絡安全問題已不容忽視。
IDC 在 2021 年發布的《全球 IT/OT 融合未來發展預測》報告中指出:“到 2030 年,50% 的工業企業將依照統一數據管理戰略部署架構,從而安全地采集傳輸運營數據,供企業上下廣泛使用。”此外,IDC 的 IT/OT 融合策略研究總監 Jonathan Lang 解釋說:“IT 人員需要研究如何針對運營數據落實安全措施,同時確保生產活動不受干擾。”他最近還亮相“Moxa 安全對談”第七集,介紹了 IT 運營可能面臨的影響。
雖然工業經營者已充分認識到網絡安全的重要性,但如何提高 IT/OT 融合的網絡安全仍然是不小的挑戰。例如,IT/OT 融合要求構建起統一網絡,其中接入的設備和系統數量將增加,這使得網絡管理和安全保障愈發困難。除此之外,由于 IT 和 OT 系統的運營目的不同,安全要求自然也存在差異,兩者相互融合必然不易。本文將從三個方面,引導您克服困難,筑牢網絡安全防線。
一、審視使用場景,保障工業網絡安全
隨著工業網絡中接入的設備和系統不斷增多,攻擊者侵入系統的可乘之機也將增加。我們需要綜合考慮各種使用場景,重新審視網絡安全,制定周密的防入侵計劃。其中兩個重要場景必須得到重視,否則,當 IT/OT 網絡融合后,企業可能面臨重大的網絡安全風險。
● 審視使用場景,保障工業網絡安全
遠程操作效率更高,因此備受用戶青睞。然而,在構建 IT/OT 網絡融合時,如果不采取適當的保護措施,就直接將遠程機器與互聯網設備相連,遠程連接就可能成為整個系統的短板。經營者必須分配和控制網絡訪問權,例如,要明確誰可以訪問網絡,并能驗證訪問者的身份。這將有效防止未經授權的用戶訪問網絡。此外還有其他保護措施,例如,通過 VPN 訪問機器和系統,對傳輸的數據全部加密處理。通過采取這些防范舉措,工業經營者可以減少遠程連接的安全漏洞。
● 網絡管理
另一個重要場景是大規模網絡管理,因為保護網絡安全不是一時之功,而要持續監管。IT/OT 網絡融合后,網絡使用者需要一眼知悉大量網絡設備的狀態,監控網絡安全狀態。Moxa 網絡基礎設施部門業務開發經理 Marty Wachi 說:“我們的許多客戶需要更先進的解決方案來提高網絡的可視化程度。他們一方面需要定期監控現有網絡節點和新增節點,另一方面還需了解用戶將要使用哪些應用程序,以及具體是哪些用戶需要訪問網絡。客戶要保護系統和資產,就必須一手掌握網絡狀態。”為了增強網絡安全的可視性,企業需要部署有效的網絡管理解決方案,監控各個網絡設備的安全狀態,并確保發生意外時運維人員第一時間收到警報。
專家建議
全面了解用戶在 IT/OT 融合項目中可能遇到的場景,以便采取必要的防范措施,減少網絡安全風險。
二、全局把控,保障工業網絡安全
IT/OT 融合將多種系統集成于同一個網絡基礎設施中。只有全局把控網絡基礎設施,才能確保所有網絡設備都得到保護。我們建議從以下三個層面入手,構建深度防御安全架構:
● 管理層面
掌握網絡的安全狀態對經營者意義重大,企業既要有網絡管理解決方案,也離不開安全管理解決方案,只有如此,才能保障網絡安全。因此,除了采用網絡管理工具來查看網絡基礎設施中每個網絡節點的安全狀態,企業還可以考慮安裝安全儀表板,從而更輕松地管理網絡安全解決方案,記錄相關安全事件,并分析報告,為后續改進提供參考。
● 網絡層面
要保護網絡免遭入侵,第一步是控制訪問權限,可通過部署防火墻和安全路由器實現。此舉還有助于管控網絡流量和數據傳輸,并對統一網絡分區,降低管理難度。如果有入侵者獲得了對某個網絡設備的訪問權限,其造成的威脅可以被控制在特定區域中,避免整個網絡遭到破壞。此外,企業還需安裝 OT 入侵防御系統 (IPS) 來識別威脅,并在監測到入侵時發出警報。
● 設備層面
如果不采取防范措施,任何網絡設備都有可能給系統帶來安全風險。企業可以借助密碼策略等安全機制,以及禁用閑置端口和服務,來提高設備安全性,最大限度降低入侵風險。此外,為網絡設備制定適當的漏洞響應程序,也有助于降低網絡安全風險。
專家建議
從全局把控網絡安全,有助于筑牢安全防線,因為經營者可以全面了解如何保護網絡基礎設施,上到整個網絡,下至每臺設備,盡在管控之中。
三、參照安全標準,保障工業網絡安全
OT 和 IT 人員訪問網絡的目的和方式各不相同,保障網絡安全的手段也有差異。然而,如果企業上下不實行統一的安全指南,就很難確保網絡安全。好在業內已有不少通用的安全標準,例如 IEC 62443 和 NERC CIP 讓同一個企業的 IT 和 OT 人員遵循相同的安全規范。如今,IEC 62443 標準日益普及,Moxa 工業網絡安全 (IACS) 專家 Felipe Costa 解釋道,這是因為“它提供了討論安全問題的通用語言。此外,該標準還可指導用戶全面落實安全解決方案,執行安全策略。最后,遵循這套標準的公司和設備能獲得認證,客戶可以更輕松地找到滿足自身安全需要的供應商和解決方案。”
IEC 62443 標準可以作為資產所有者、系統集成商和組件供應商的通用語言。該標準還針對網絡安全的各項問題提供了實用指南,適合企業上下的各類相關人員使用。例如,IEC 62443-4-1 和 IEC 62443-4-2 標準均為網絡設備制定,前者關注的是企業的產品生命周期開發是否符合相應的安全指南,而后者聚焦網絡設備的基本安全要求,獲得該標準認證即表明設備安全。
專家建議
選擇獲得 IEC 62443 標準認證的組件供應商和網絡設備,可以確保連入網絡基礎設施的網絡設備安全。
選擇 Moxa 網絡安全解決方案,筑牢網絡安全防線
作為 30 多年持續領跑工業網絡行業的先鋒,Moxa 致力于開發安全可靠的網絡解決方案,主動識別和消除 OT 環境中的網絡威脅。為了踐行這一承諾,Moxa 嚴格遵循“安全始于設計”理念,打造分布式 OT 入侵防御系統功能,為您提供一系列穩固可靠的聯網產品組合,全力完善工業應用的安全防線。