網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)施

網(wǎng)絡(luò)安全是影響 OT 數(shù)據(jù)可靠性的首要原因。過(guò)去,OT 系統(tǒng)無(wú)須接入互聯(lián)網(wǎng),只需物理上加強(qiáng)監(jiān)管就能保障安全,比如只允許特定人員使用 OT 系統(tǒng),或禁止使用 U 盤(pán)和個(gè)人電腦。然而,隨著工業(yè)數(shù)位轉(zhuǎn)型成為行業(yè)趨勢(shì),互聯(lián)網(wǎng)訪問(wèn)變得不可或缺。設(shè)備一經(jīng)聯(lián)網(wǎng),所有安全漏洞都暴露在計(jì)算機(jī)病毒之下,入侵系統(tǒng)變得輕而易舉,甚至導(dǎo)致系統(tǒng)運(yùn)行中斷,成為黑客謀取利益的新途徑。由于網(wǎng)絡(luò)攻擊越來(lái)越普遍,數(shù)據(jù)和網(wǎng)絡(luò)安全正成為數(shù)位轉(zhuǎn)型過(guò)程中每一項(xiàng)任務(wù)的必然考慮。要想保障產(chǎn)能,避免生產(chǎn)線數(shù)據(jù)受損,就不能讓存在隱患的 OT 數(shù)據(jù)成為企業(yè)的阿喀琉斯之踵,容易遭受網(wǎng)絡(luò)攻擊。

企業(yè)普遍存在的一個(gè)誤區(qū)是,認(rèn)為成熟的 IT 安全解決方案能直接用于OT網(wǎng)絡(luò)。實(shí)際上,為 IT 環(huán)境設(shè)計(jì)的安全工具不能為OT系統(tǒng)提供完善的保護(hù)。常見(jiàn)的防病毒軟件就是一個(gè)例子。OT設(shè)備上的操作系統(tǒng)通常不兼容防病毒軟件,因此安裝殺毒軟件包根本無(wú)從談起。同時(shí),對(duì) OT 網(wǎng)絡(luò)環(huán)境而言,系統(tǒng)能否全力運(yùn)行至關(guān)重要,這讓安全防護(hù)更加復(fù)雜。防病毒軟件可能會(huì)誤攔截?cái)?shù)據(jù)包,損害產(chǎn)能,因此不適用于OT設(shè)備。此外,為保障連接穩(wěn)定便捷,制造商通常選擇將所有設(shè)備部署在同一個(gè)內(nèi)聯(lián)網(wǎng)上。勒索軟件一旦入侵,就能輕易擴(kuò)散至整個(gè)系統(tǒng)。因此,保障 OT 網(wǎng)絡(luò)環(huán)境安全,需要考慮到由下至上三個(gè)層面:終端節(jié)點(diǎn)安全、網(wǎng)絡(luò)安全和安全管理。


提高 OT 數(shù)據(jù)安全能力,企業(yè)應(yīng)該: OT 自動(dòng)化設(shè)備部署入侵防護(hù)系統(tǒng) (IPS),保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。工業(yè)級(jí) IPS 能監(jiān)控流入流出關(guān)鍵設(shè)備的數(shù)據(jù),隔離惡意流量,一旦發(fā)現(xiàn)異常,便會(huì)即刻通知網(wǎng)絡(luò)管理員。利用網(wǎng)絡(luò)層阻止勒索軟件攻擊。企業(yè)應(yīng)將以太網(wǎng)交換機(jī)升級(jí)為網(wǎng)管型以太網(wǎng)交換機(jī),利用交換機(jī)的分層功能為 OT 網(wǎng)絡(luò)分區(qū)。使用網(wǎng)絡(luò)管理軟件提高不同 OT 通信協(xié)議之間的互操作性,讓設(shè)備狀況可視化,快速發(fā)現(xiàn)存在故障或風(fēng)險(xiǎn)的設(shè)備。