網(wǎng)絡安全設計與實施
網(wǎng)絡安全是影響 OT 數(shù)據(jù)可靠性的首要原因。過去,OT 系統(tǒng)無須接入互聯(lián)網(wǎng),只需物理上加強監(jiān)管就能保障安全,比如只允許特定人員使用 OT 系統(tǒng),或禁止使用 U 盤和個人電腦。然而,隨著工業(yè)數(shù)位轉型成為行業(yè)趨勢,互聯(lián)網(wǎng)訪問變得不可或缺。設備一經(jīng)聯(lián)網(wǎng),所有安全漏洞都暴露在計算機病毒之下,入侵系統(tǒng)變得輕而易舉,甚至導致系統(tǒng)運行中斷,成為黑客謀取利益的新途徑。由于網(wǎng)絡攻擊越來越普遍,數(shù)據(jù)和網(wǎng)絡安全正成為數(shù)位轉型過程中每一項任務的必然考慮。要想保障產(chǎn)能,避免生產(chǎn)線數(shù)據(jù)受損,就不能讓存在隱患的 OT 數(shù)據(jù)成為企業(yè)的阿喀琉斯之踵,容易遭受網(wǎng)絡攻擊。
企業(yè)普遍存在的一個誤區(qū)是,認為成熟的 IT 安全解決方案能直接用于OT網(wǎng)絡。實際上,為 IT 環(huán)境設計的安全工具不能為OT系統(tǒng)提供完善的保護。常見的防病毒軟件就是一個例子。OT設備上的操作系統(tǒng)通常不兼容防病毒軟件,因此安裝殺毒軟件包根本無從談起。同時,對 OT 網(wǎng)絡環(huán)境而言,系統(tǒng)能否全力運行至關重要,這讓安全防護更加復雜。防病毒軟件可能會誤攔截數(shù)據(jù)包,損害產(chǎn)能,因此不適用于OT設備。此外,為保障連接穩(wěn)定便捷,制造商通常選擇將所有設備部署在同一個內(nèi)聯(lián)網(wǎng)上。勒索軟件一旦入侵,就能輕易擴散至整個系統(tǒng)。因此,保障 OT 網(wǎng)絡環(huán)境安全,需要考慮到由下至上三個層面:終端節(jié)點安全、網(wǎng)絡安全和安全管理。
提高 OT 數(shù)據(jù)安全能力,企業(yè)應該:為 OT 自動化設備部署入侵防護系統(tǒng) (IPS),保護關鍵基礎設施。工業(yè)級 IPS 能監(jiān)控流入流出關鍵設備的數(shù)據(jù),隔離惡意流量,一旦發(fā)現(xiàn)異常,便會即刻通知網(wǎng)絡管理員。利用網(wǎng)絡層阻止勒索軟件攻擊。企業(yè)應將以太網(wǎng)交換機升級為網(wǎng)管型以太網(wǎng)交換機,利用交換機的分層功能為 OT 網(wǎng)絡分區(qū)。使用網(wǎng)絡管理軟件提高不同 OT 通信協(xié)議之間的互操作性,讓設備狀況可視化,快速發(fā)現(xiàn)存在故障或風險的設備。