OT網(wǎng)絡(luò)安全的“鍋”,系統(tǒng)集成商和安全供應(yīng)商究竟誰來“背”�����?
發(fā)布時間:2025-07-08 作者:Matthew J. Lick
工程師如何應(yīng)對OT系統(tǒng)網(wǎng)絡(luò)安全部署中的工程實施挑戰(zhàn)��?本文深入剖析了系統(tǒng)集成商和網(wǎng)絡(luò)安全供應(yīng)商面臨的不同挑戰(zhàn)以及解決方案�。
網(wǎng)絡(luò)安全正成為最受關(guān)注的話題之一,因為它與公用事業(yè)和制造業(yè)中使用的運營技術(shù)(OT)系統(tǒng)有關(guān)��。美國國家標(biāo)準(zhǔn)與技術(shù)研究院將OT定義為“與物理環(huán)境交互的可編程系統(tǒng)或設(shè)備”��,它涵蓋了在當(dāng)今工業(yè)領(lǐng)域中部署的大多數(shù)電子設(shè)備�����。
如果不重視網(wǎng)絡(luò)安全問題�����,我們將無法避免在下一個頭條新聞中出現(xiàn)水處理設(shè)施��、管道、食品加工廠或工業(yè)制造商遭受勒索軟件攻擊的事件����。網(wǎng)絡(luò)安全是現(xiàn)有基礎(chǔ)設(shè)施中最大的漏洞之一。未解決的網(wǎng)絡(luò)安全漏洞可能會導(dǎo)致影響企業(yè)聲譽(yù)�����、盈利能力和安全性的重大問題����。同樣令人擔(dān)憂的是,當(dāng)沒有資質(zhì)的設(shè)計工程師提出不切實際的"防黑客"系統(tǒng)寬泛要求�,卻未明確任何具體規(guī)范。
盡管許多人意識到需要加強(qiáng)網(wǎng)絡(luò)安全�,但他們并不了解實施全面的網(wǎng)絡(luò)安全控制意味著什么。多年來�,對于諸如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)或可編程邏輯控制器(PLCs)等系統(tǒng),其思路一直是盡快讓它們運行����,并盡可能高效地保持運行。
很多時候��,OT系統(tǒng)由電工或?qū)I(yè)儀器和控制人員支持����,但他們對高級網(wǎng)絡(luò)和軟件組件了解有限����。將網(wǎng)絡(luò)安全作為由工程公司設(shè)計并由承包商安裝的改進(jìn)項目�����,可能是實施全面安全系統(tǒng)的有效方法�。然而�,如果負(fù)責(zé)實施網(wǎng)絡(luò)安全的專家不熟悉建設(shè)項目的執(zhí)行方式,會發(fā)生什么情況�?
▲安裝在服務(wù)器機(jī)架中的防火墻,用于保護(hù)監(jiān)控和數(shù)據(jù)采集網(wǎng)絡(luò)�����。
設(shè)計工程師很快就會發(fā)現(xiàn)�����,若其文檔(圖紙與規(guī)范)不夠清晰�、具體且詳盡,客戶最終獲得的系統(tǒng)將難以達(dá)標(biāo)��。承包商的專業(yè)知識水平常直接影響成果質(zhì)量,這可能使情況復(fù)雜化����。
當(dāng)開始在項目中實施網(wǎng)絡(luò)安全需求時,我們通常認(rèn)為只要清楚期望是什么���,就可以利用行業(yè)最佳標(biāo)準(zhǔn)并強(qiáng)制執(zhí)行�,就像在實施傳統(tǒng)SCADA系統(tǒng)時����,對系統(tǒng)集成商的需求一樣。
雖然在設(shè)計過程中創(chuàng)建需求可能很容易����,但在施工開始后,負(fù)責(zé)實施系統(tǒng)的組織通常面臨以下兩種情況:
■ 缺乏執(zhí)行項目要求的資質(zhì)��。其結(jié)果是交付一個有瑕疵的系統(tǒng)��,其基本需求實施不力或根本沒有實施�。
■ 缺少設(shè)計/招標(biāo)/施工過程的相關(guān)經(jīng)驗。這會給合同的執(zhí)行帶來挑戰(zhàn)�,如果安裝人員默認(rèn)使用其標(biāo)準(zhǔn)產(chǎn)品,可能會導(dǎo)致項目延遲或?qū)ο到y(tǒng)需求的意外變更。
缺乏網(wǎng)絡(luò)安全資質(zhì)
傳統(tǒng)的系統(tǒng)集成商是工業(yè)機(jī)箱生產(chǎn)�����、PLC編程和人機(jī)界面(HMI)圖形創(chuàng)建方面的專家��。這些系統(tǒng)利用以太網(wǎng)通信���,并因其易于使用和設(shè)備制造商的廣泛采用而迅速取代早期技術(shù)��。從成本角度考慮��,能夠在以太網(wǎng)網(wǎng)絡(luò)上接入越來越多的設(shè)備這一點極具吸引力。因此��,系統(tǒng)集成商需要熟悉以太網(wǎng)網(wǎng)絡(luò)的基礎(chǔ)知識���,然而����,這通常也就是他們以太網(wǎng)經(jīng)驗的全部了���。
▲帶有管理程序的服務(wù)器機(jī)架���,用于運行與運營技術(shù)系統(tǒng)相關(guān)的虛擬機(jī)����。
盡管集成商在持續(xù)開發(fā)專業(yè)知識�,但在很多情況下,系統(tǒng)集成商所部署系統(tǒng)的網(wǎng)絡(luò)架構(gòu)是扁平的網(wǎng)絡(luò)����,沒有或只有有限的網(wǎng)絡(luò)分段。網(wǎng)絡(luò)上的任何設(shè)備都可以看到任何其它設(shè)備�����,此時如果用戶可以物理訪問網(wǎng)絡(luò)�����,則可以完全控制所看到的設(shè)備��。
此外����,HMI軟件包通常安裝在基于Windows的操作系統(tǒng)上。在許多情況下��,一旦操作系統(tǒng)安裝完成,就會急于讓HMI投入使用���。安全往往是在某些東西無法正常工作時才被考慮的����。聯(lián)系任何技術(shù)支持����,他們會首先要求用戶關(guān)閉防火墻。然而�����,當(dāng)問題解決后��,他們是否告訴用戶重新打開防火墻呢�����?這是一個常見的疏忽����,因為過去的重點一直是過程控制�,而不是保護(hù)執(zhí)行過程控制的設(shè)備。
假設(shè)系統(tǒng)集成商能夠在沒有網(wǎng)絡(luò)安全背景的情況下部署符合新的網(wǎng)絡(luò)安全要求的解決方案是不現(xiàn)實的。雖然一些集成商足夠聰明�����,能夠弄清楚網(wǎng)絡(luò)安全控制的實施�,但缺乏經(jīng)驗的員工很難確定這些控制措施的實施是否得當(dāng)。最終用戶只能信任這些控制已經(jīng)正確完成�����,或者自己花錢來驗證��。很難信任一家在該領(lǐng)域經(jīng)驗不足的公司�����。因為如果失敗��,后果可能是毀滅性的�����。
網(wǎng)絡(luò)安全項目交付經(jīng)驗不足
許多網(wǎng)絡(luò)安全供應(yīng)商的商業(yè)模式始于最終用戶聯(lián)系供應(yīng)商以改進(jìn)其系統(tǒng)���。供應(yīng)商將到達(dá)項目現(xiàn)場����,進(jìn)行初步評估,向客戶介紹他們的建議���,并實施他們的典型產(chǎn)品�。在傳統(tǒng)的設(shè)計/投標(biāo)/建設(shè)項目中����,問題在于大部分初始現(xiàn)場調(diào)查、最終用戶教育和設(shè)計已經(jīng)完成���。
在基于風(fēng)險的方法中����,設(shè)計人員以反映系統(tǒng)使用情況和系統(tǒng)風(fēng)險的方式實施控制����,重點關(guān)注關(guān)鍵資產(chǎn)。實施方式因客戶而異���,安全供應(yīng)商提供的標(biāo)準(zhǔn)或典型產(chǎn)品可能并非在所有情況下都適用。
圖紙和規(guī)范用于詳細(xì)說明將要執(zhí)行的工作范圍���。然而�,許多網(wǎng)絡(luò)安全供應(yīng)商并不熟悉承包商和系統(tǒng)集成商每天所用的設(shè)計文檔。供應(yīng)商可能會遵循他們的典型項目流程����,而沒有意識到合同中規(guī)定了他們需要提供什么。更糟的是�����,許多旨在改善網(wǎng)絡(luò)安全的設(shè)備制造商并不熟悉這類項目的執(zhí)行��。例如�,在如何提交文件以獲得批準(zhǔn)方面,他們幾乎無法提供支持����,這在施工期間是很常見。
▲與用于監(jiān)控和數(shù)據(jù)采集系統(tǒng)的服務(wù)器設(shè)備相關(guān)的網(wǎng)絡(luò)布線���。
如何向前推進(jìn)���?
雖然系統(tǒng)集成商對網(wǎng)絡(luò)安全越來越精通,但網(wǎng)絡(luò)安全供應(yīng)商仍可以在某些方面提供幫助���。首先����,他們需要與提供這類服務(wù)的公司進(jìn)行討論。與您經(jīng)常合作的集成商交談�����,讓他們了解網(wǎng)絡(luò)安全需求方面的問題����。嘗試與專門從事網(wǎng)絡(luò)安全實施的公司建立新的聯(lián)系,并描述他們所負(fù)責(zé)設(shè)計的項目類型�,以便其更好地了解如何執(zhí)行項目。同時���,介紹系統(tǒng)集成商認(rèn)識網(wǎng)絡(luò)安全供應(yīng)商也會有所幫助�。
在某些情況下���,與網(wǎng)絡(luò)安全公司討論設(shè)計信息可能會有所幫助����。詢問他們在設(shè)計中會采取哪些不同做法����,或者需求是否偏離了他們的標(biāo)準(zhǔn)產(chǎn)品。即使他們的意見與最終用戶需求不一致��,也有助于理解他們的觀點�。
對于系統(tǒng)集成商來說,雇傭一家網(wǎng)絡(luò)安全供應(yīng)商作為分包商通常符合其最佳利益�。這使系統(tǒng)集成商能夠主導(dǎo)這項工作,教導(dǎo)網(wǎng)絡(luò)安全供應(yīng)商如何能最好地執(zhí)行項目需求�����。盡管這似乎是一個理想的解決方案��,但項目建設(shè)很少一帆風(fēng)順����。設(shè)計工程師或施工經(jīng)理也需要努力確保項目執(zhí)行。確保重要的協(xié)調(diào)會��、提交文件和測試程序的順利完成�,對于項目的成功至關(guān)重要。如果不鼓勵盡早完成這些活動����,在項目執(zhí)行過程中才進(jìn)行可能會因為太晚而導(dǎo)致效果不佳���。
實現(xiàn)有效的 OT 系統(tǒng)網(wǎng)絡(luò)安全需要系統(tǒng)集成商和網(wǎng)絡(luò)安全供應(yīng)商之間的合作、清晰的設(shè)計文檔和積極的項目管理�����,以確保穩(wěn)健可靠的網(wǎng)絡(luò)安全配置�。盡管實施過程必然存在挑戰(zhàn),但在設(shè)計中納入網(wǎng)絡(luò)安全要素尤為重要����。施工過程中出現(xiàn)的挑戰(zhàn)不應(yīng)導(dǎo)致設(shè)計師偏離項目要求。了解項目整體也有助于以更具影響力的方式塑造項目����。在設(shè)計和施工過程中花費更多的精力指導(dǎo)系統(tǒng)供應(yīng)商,對于提升工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全將大有幫助����。
關(guān)鍵概念:
■ 了解在為工業(yè)控制系統(tǒng)實施網(wǎng)絡(luò)安全時,系統(tǒng)集成商和網(wǎng)絡(luò)安全供應(yīng)商所面臨的不同挑戰(zhàn)�。
■ OT系統(tǒng)有效的網(wǎng)絡(luò)安全需要各方的協(xié)作和主動的項目管理,以確保穩(wěn)健可靠的安全配置�。
思考一下:
您正在采取哪些措施來滿足OT系統(tǒng)的網(wǎng)絡(luò)安全需求?