Google 全球趨勢(shì)指數(shù)顯示,網(wǎng)絡(luò)安全類關(guān)鍵詞在 Google 搜索中的熱度不斷攀升。其中,“附近的網(wǎng)絡(luò)安全培訓(xùn)班”以及“網(wǎng)絡(luò)安全行政命令”的搜索量最高(Google 趨勢(shì),截至 2021 年 9 月)?;仡櫦磳⑦^(guò)去的 2021 年,這一現(xiàn)象并不稀奇。毫無(wú)疑問(wèn),網(wǎng)絡(luò)安全已經(jīng)成為人們廣泛熱議的重要話題。人們發(fā)現(xiàn),網(wǎng)絡(luò)安全就像一幅拼圖,只有了解每一塊碎片,才能拼出完整的畫面。如今,關(guān)注網(wǎng)絡(luò)安全已是刻不容緩。
據(jù)德勤發(fā)布的報(bào)告顯示,受訪制造商中有四成遭遇過(guò)網(wǎng)絡(luò)安全事件,其中有 86% 的制造商表示,事故曾導(dǎo)致工業(yè)系統(tǒng)中斷。隨著 OT/IT 融合的步伐加快,工業(yè)控制系統(tǒng)中出現(xiàn)多個(gè)攻擊面,其中一些是已知的安全漏洞,但其余的風(fēng)險(xiǎn)仍是未知數(shù)。因此,無(wú)論是管理層還是個(gè)人用戶,都應(yīng)為建設(shè)工業(yè)網(wǎng)絡(luò)安全壁壘出一份力,從邊緣到云端層層防護(hù)工業(yè)網(wǎng)絡(luò)。本文將分享行業(yè)專家提出的實(shí)用建議,幫助企業(yè)開(kāi)啟網(wǎng)絡(luò)安全征程。
圖表:工業(yè)控制系統(tǒng)中易受網(wǎng)絡(luò)攻擊侵害的新攻擊面
建議 1:部署秉持“安全始于設(shè)計(jì)”理念的網(wǎng)絡(luò)設(shè)備,采用安全的設(shè)備設(shè)置方式
工業(yè)系統(tǒng)中往往包含很多傳統(tǒng)設(shè)備,但由于現(xiàn)場(chǎng)網(wǎng)絡(luò)如今較少使用氣隙技術(shù),這些設(shè)備越來(lái)越容易受到攻擊。理想情況下,傳統(tǒng)設(shè)備可借助內(nèi)置安全功能的先進(jìn)解決方案,實(shí)現(xiàn)自身的快速升級(jí)。然而,由于企業(yè)預(yù)算有限,再加上工業(yè)系統(tǒng)不能停機(jī),新舊設(shè)備往往會(huì)在同一個(gè)系統(tǒng)中運(yùn)行。在這種情況下,就需要使用安全性更強(qiáng)的網(wǎng)絡(luò)設(shè)備,將傳統(tǒng)設(shè)備連入網(wǎng)絡(luò)。挑選網(wǎng)絡(luò)設(shè)備時(shí),應(yīng)選擇采用“安全始于設(shè)計(jì)”理念的產(chǎn)品,建議您檢查設(shè)備的內(nèi)置安全功能是否符合 IEC 62443 等安全標(biāo)準(zhǔn)。如果確認(rèn)符合標(biāo)準(zhǔn),便可選擇這種產(chǎn)品,并進(jìn)行安全設(shè)置。例如,我們建議禁用所有閑置端口和服務(wù),不讓入侵者有可乘之機(jī)。點(diǎn)擊查看更多關(guān)于提高邊緣層安全性的建議以及 Moxa 解決方案的案例研究了解如何實(shí)現(xiàn)安全的邊緣互聯(lián)。
建議 2:進(jìn)行網(wǎng)絡(luò)分區(qū)
完成網(wǎng)絡(luò)節(jié)點(diǎn)的安全配置后,就該根據(jù)區(qū)域和線路政策為網(wǎng)絡(luò)分區(qū)。通過(guò)分區(qū),可以避免網(wǎng)絡(luò)因某一節(jié)點(diǎn)受到攻擊而整體停機(jī),從而提高網(wǎng)絡(luò)安全性。工業(yè)自動(dòng)化解決方案和企業(yè)數(shù)位轉(zhuǎn)型咨詢服務(wù)提供商 YNY Technology 的 OT 安全顧問(wèn) Gary Kong 介紹了他如何幫助客戶消除 OT/IT 網(wǎng)絡(luò)融合過(guò)程中的安全隱患。他表示:“我推薦客戶采用網(wǎng)絡(luò)分區(qū)、隔離區(qū) (DMZ) 等安全的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì),減少來(lái)自 IT 網(wǎng)絡(luò)的威脅?!?同時(shí),選擇合適的工業(yè)網(wǎng)絡(luò)分區(qū)解決方案也頗為重要。Gary Kong 稱:“客戶也明白,只在 OT 網(wǎng)絡(luò)外加筑 IT 防火墻,并不能為 OT 環(huán)境提供有力的保護(hù),但他們常常忽視這條建議,盡管他們很清楚 IT 防火墻無(wú)法識(shí)別工業(yè)協(xié)議,監(jiān)管和流程層面都可能遭遇網(wǎng)絡(luò)攻擊。單純依賴 IT 防火墻的風(fēng)險(xiǎn)很高,也很難讓人放心,各種漏洞和網(wǎng)絡(luò)入侵防不勝防。”作為工業(yè)控制系統(tǒng)解決方案,防火墻不僅要將網(wǎng)絡(luò)劃分為互相隔絕的區(qū)域,實(shí)現(xiàn)垂直防護(hù),還要具備深層數(shù)據(jù)包檢測(cè)功能,在不影響系統(tǒng)運(yùn)行的前提下過(guò)濾未經(jīng)授權(quán)的數(shù)據(jù)包,提供水平防護(hù)。
建議 3:應(yīng)用安全的通訊解決方案,保障關(guān)鍵數(shù)據(jù)和資產(chǎn)安全
OT/IT 網(wǎng)絡(luò)融合的目的是收集數(shù)據(jù)并從中提取有價(jià)值的信息。在這一方面,云技術(shù)可謂理想之選,這類技術(shù)使用簡(jiǎn)便,還有著強(qiáng)大的數(shù)據(jù)分析能力,可以簡(jiǎn)化網(wǎng)絡(luò)融合。近期,人們?cè)絹?lái)越重視如何保障從 OT 到 IT、從現(xiàn)場(chǎng)到云端的數(shù)據(jù)訪問(wèn)安全。自動(dòng)化和流程控制技術(shù)領(lǐng)導(dǎo)企業(yè) ABB 集團(tuán)旗下 B&R 工業(yè)自動(dòng)化公司的網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理 Ninad Deshpande 表示:“OPC UA 協(xié)議包含大量安全原則,不僅有應(yīng)用認(rèn)證和用戶認(rèn)證,還有涵蓋網(wǎng)絡(luò)安全三大支柱的安全機(jī)制,即保密性、完整性和可用性 (CIA)?!監(jiān)PC UA 協(xié)議提供了可靠的通訊解決方案,確保數(shù)據(jù)融合簡(jiǎn)便安全,可助力企業(yè)在邊緣設(shè)備和云端服務(wù)器之間輕松建立順暢的通訊。
然而,要使用云技術(shù),就必然會(huì)產(chǎn)生遠(yuǎn)程訪問(wèn)的需求,而其安全性令人擔(dān)憂。如今,越來(lái)越多的機(jī)器制造商開(kāi)始利用云平臺(tái)簡(jiǎn)化設(shè)備維護(hù)工作。不過(guò),在享受云技術(shù)帶來(lái)的優(yōu)勢(shì)之前,應(yīng)利用數(shù)據(jù)加密、VPN 等技術(shù)確保遠(yuǎn)程訪問(wèn)的安全性,保障關(guān)鍵資產(chǎn)安全無(wú)虞。
前文介紹了如何減少潛在攻擊面,從邊緣層到云端全面保護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng),接下來(lái)本文將聚焦操控這些工業(yè)系統(tǒng)和設(shè)備的人員。外包供應(yīng)商、系統(tǒng)集成商甚至是遠(yuǎn)程服務(wù)工程師,都是日常運(yùn)營(yíng)、維護(hù)和故障排除不可或缺的重要人員,也是落實(shí)安全政策的重要參與方。如果這類人員缺乏網(wǎng)絡(luò)安全意識(shí),不懂得利用安全技術(shù),那么一切投入都將是徒勞。為避免出現(xiàn)這種情況,必須確保工業(yè)流程的所有參與者秉持相同的網(wǎng)絡(luò)安全理念和心態(tài),只有這樣才能讓安全防護(hù)措施發(fā)揮應(yīng)有的作用。
建議 4:從管理層到個(gè)人,提高工業(yè)網(wǎng)絡(luò)安全意識(shí)
安全意識(shí)金字塔將網(wǎng)絡(luò)安全意識(shí)劃分成幾個(gè)層級(jí)。管理層的承諾和支持是整個(gè)金字塔的基石,第二級(jí)是為提高安全意識(shí)設(shè)計(jì)的安全方案和政策。以安全政策為例,根據(jù)安全配置分配讀寫權(quán)限是一項(xiàng)基本政策,但在具體落實(shí)時(shí),要讓整個(gè)公司的所有人遵守政策并非易事。設(shè)施管理人員常常感到網(wǎng)絡(luò)安全措施執(zhí)行起來(lái)非常繁瑣,因此不會(huì)嚴(yán)格要求所有員工都照章行事。有的管理人員會(huì)以小組為單位落實(shí)安全政策,而不是為每位員工分配專用登錄信息,這會(huì)帶來(lái)更多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
圖表:安全意識(shí)金字塔
三菱電機(jī)自動(dòng)化公司致力于為眾多工業(yè)市場(chǎng)提供全面的自動(dòng)化產(chǎn)品。Thomas Burke 是該公司的工業(yè)標(biāo)準(zhǔn)全球行業(yè)經(jīng)理,在工業(yè)自動(dòng)化領(lǐng)域有著豐富的經(jīng)驗(yàn)。他曾在 Moxa 安全對(duì)話上談及提高安全意識(shí)、執(zhí)行安全政策的重要性。他表示:“應(yīng)確保終端用戶、供應(yīng)商和公司員工充分了解各項(xiàng)潛在風(fēng)險(xiǎn),認(rèn)識(shí)到自己在網(wǎng)絡(luò)安全維護(hù)中扮演的角色有多重要?!?/div>
建議 5:檢查配置和設(shè)置是否符合安全政策
有了較強(qiáng)的安全意識(shí)和完善的安全政策,員工會(huì)更重視系統(tǒng)的安全設(shè)置。誠(chéng)然,一次性檢查所有系統(tǒng)并非易事,但安全檢查什么時(shí)候開(kāi)始都不算晚。企業(yè)可以先開(kāi)展風(fēng)險(xiǎn)評(píng)估,確定安全防護(hù)的優(yōu)先級(jí),如此就能更輕松地識(shí)別和保護(hù)關(guān)鍵資產(chǎn)。接下來(lái),可以先從檢查配置入手。如果網(wǎng)絡(luò)規(guī)模龐大,建議使用可視化軟件清晰呈現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu),以便檢查安全設(shè)置,視需進(jìn)行調(diào)整。
反思和展望
隨著企業(yè)繼續(xù)尋求數(shù)位轉(zhuǎn)型和 OT/IT 融合帶來(lái)的紅利,“網(wǎng)絡(luò)安全”這個(gè)關(guān)鍵詞在 Google 搜索上的熱度還將攀升。技術(shù)發(fā)展只會(huì)不斷前進(jìn),而不會(huì)開(kāi)倒車。我們希望本文的專家觀點(diǎn)能讓企業(yè)對(duì)工業(yè)網(wǎng)絡(luò)安全形成更全面的認(rèn)識(shí)。
● 建議從改變思維方式做起,制定安全政策,系統(tǒng)地檢查安全配置。
● 基礎(chǔ)工作完成后,可以聚焦邊緣連接的安全確保新系統(tǒng)和傳統(tǒng)系統(tǒng)都安全無(wú)虞。
● 注意保護(hù)骨干網(wǎng)絡(luò),保障數(shù)據(jù)傳輸不中斷,這是實(shí)現(xiàn) OT/IT 融合的必要條件。
● 建議安裝工業(yè)防火墻加固垂直和水平兩道安全壁壘。
● 最后,隨著企業(yè)對(duì)遠(yuǎn)程連接的需求日益增加,選擇可靠省心的安全遠(yuǎn)程訪問(wèn)解決方案將為企業(yè)節(jié)省開(kāi)支,免去麻煩。