隨著 OT(操作技術)與 IT(信息技術)融合需求不斷增加,數據安全比以往任何時候都更受人關注。事實上,國際數據公司 (IDC) 的一項調查發現,安全性被認為是 OT/IT 集成的首要障礙。但同時,它也被視為 OT/IT 集成的五大激勵因素之一,是實現 OT/IT 融合的重要手段。然而,將 OT 和 IT 系統從傳統的封閉數據系統集成到開放數據系統后,可能會出現未經授權用戶訪問組織私有操作數據的情況。
IDC 臺灣總經理 Helen Chiang 在 Moxa 發起的安全談話節目中說到:“如果我們仔細研究為什么安全性是最大的障礙,就會發現在 OT 環境中,最重要的安全問題之一是如何安全可靠地維護既有運行的系統。在 OT 層面,你會發現許多既有系統和應用。它們不僅是獨立的,而且沒有客戶端,這意味著這些資產只能通過有限的資源來運行我們通常在 IT 環境中使用的安全解決方案。”
在將既有系統接入網絡時,可以通過一些技巧來增強連接安全性,減輕用戶對 OT/IT 集成項目的安全擔憂。
技巧 1: 更改聯網設備的默認密碼
既有系統是通過聯網設備接入網絡。因此,要提高連接安全性,第一件事就是更改聯網設備的默認密碼。默認密碼的安全強度通常較低,容易在公開的用戶手冊中找到。輕松完成這一步即可防患于未然。
技巧 2:禁用未使用但已連接的端口和服務
部署聯網設備時,一些未使用的端口或不必要的服務可能會讓您的應用遭受網絡威脅的幾率大增。您可以禁用這些端口和服務,以防為不必要訪問提供路徑。
技巧 3:在更新固件前驗證來源
聯網設備需要更新固件時,請確保有驗證固件來源的機制。可以檢查循環冗余校驗 (CRC) 代碼,確保您即將使用的固件來自官方來源。另一種方法是使用安全啟動功能,以此確保運行固件的完整性。
技巧 4:使用安全通訊協議
聯網保留系統使用安全協議(即支持 TLS 1.2 的 HTTPS 和 SNMPv3 協議)至關重要。安全協議可以減少對聯網設備的不必要訪問,并增強數據傳輸的完整性。此外,在部署聯網設備時,需禁用不安全協議,才能最大限度減少發生人工操作失誤的可能性。
技巧 5:只允許授權用戶訪問您的設備和網絡
優先考慮關鍵資產,啟用網絡分區,從而清晰知曉特定分區可有哪些權限。此外,設置信任列表,例如列出允許訪問的 IP 地址,防止非授權用戶訪問保留系統。同時還可以使用其他高級功能來限制不必要訪問,例如為設備和網絡定義特殊協議格式或命令。
技巧 6:傳輸前加密關鍵數據
在 OT 環境中,關鍵數據泄漏會導致系統停機,從而影響操作效率。對于聯網的既有系統,可對傳輸的關鍵數據進行加密,增強數據的保密性,降低對日常操作產生負面影響的可能性。
技巧 7:持續監控網絡設備是否處于正常安全級別
將既有系統接入網絡時,應根據應用需求定義安全措施,以便輕松監控和管理聯網設備。當系統網絡啟動運行后,持續監控設備的安全狀態,確保其滿足最初設置的要求。
技巧 8:定期掃描漏洞,發現潛在威脅
了解保留系統的潛在威脅至關重要。定期掃描漏洞可以幫助您更好地了解整個系統的安全狀態,并酌情采取必要行動。
技巧 9:為聯網設備添加安全補丁,減少漏洞
眾所周知,安全補丁十分重要。然而,在作業現場為設備添加補丁并非易事。從企業角度來看,當您暫停作業來測試和執行補丁時,可能產生巨額成本。但如果置之不顧,不為設備添加安全補丁,風險和成本也會隨之產生。一種更具可持續性的折中做法是在成本可控的前提下為關鍵系統設置添加安全補丁。
技巧 10:為保留系統的已知漏洞添加虛擬補丁
有時系統沒有可用的安全補丁,還有一些保留系統無法執行補丁。對于這些情況,添加虛擬補丁是不錯的選擇。您可以為保留系統接入的網絡添加虛擬補丁,來修復已知漏洞,保護設備免受攻擊。在下一個維護周期前,為系統設置虛擬補丁也是一種預留緩沖時間的好方法。
在連接保留系統時,請酌情采納以上 10 個技巧——它們可以幫助您增強連接安全性,并將保留系統的安全威脅降至最低。Moxa 為您的邊緣連接安全提供全方位防護,詳情請訪問 Moxa 網站。