过去两年,新冠疫情重塑了我们的工作模式,实行远程操作变得更加迫在眉睫。为了快速适应这些有目共睹的环境变化,企业必须提升运营韧性。工业企业自然也不例外,它们普遍认为,实现这一目标的关键是 IT/OT 融合。近年来,随着先进技术不断发展,IT/OT 融合已触手可及,不再是空想。
根据国际数据公司 (IDC) 对工业企业的调查1显示,40% 的受访者已经未雨绸缪,在工厂和生产场所投资部署了自动化系统。在推进 IT/OT 融合的过程中,您可能首先会考虑安全问题,因为网络攻击日益猖獗,攻击分子越来越肆无忌惮地瞄准世界各地的关键基础设施,包括铁路、变电站、管道等。工业经营者意识到,网络安全问题已不容忽视。
IDC 在 2021 年发布的《全球 IT/OT 融合未来发展预测》报告中指出:“到 2030 年,50% 的工业企业将依照统一数据管理战略部署架构,从而安全地采集传输运营数据,供企业上下广泛使用。”此外,IDC 的 IT/OT 融合策略研究总监 Jonathan Lang 解释说:“IT 人员需要研究如何针对运营数据落实安全措施,同时确保生产活动不受干扰。”他最近还亮相“Moxa 安全对谈”第七集,介绍了 IT 运营可能面临的影响。
虽然工业经营者已充分认识到网络安全的重要性,但如何提高 IT/OT 融合的网络安全仍然是不小的挑战。例如,IT/OT 融合要求构建起统一网络,其中接入的设备和系统数量将增加,这使得网络管理和安全保障愈发困难。除此之外,由于 IT 和 OT 系统的运营目的不同,安全要求自然也存在差异,两者相互融合必然不易。本文将从三个方面,引导您克服困难,筑牢网络安全防线。
一、审视使用场景,保障工业网络安全
随着工业网络中接入的设备和系统不断增多,攻击者侵入系统的可乘之机也将增加。我们需要综合考虑各种使用场景,重新审视网络安全,制定周密的防入侵计划。其中两个重要场景必须得到重视,否则,当 IT/OT 网络融合后,企业可能面临重大的网络安全风险。
● 审视使用场景,保障工业网络安全
远程操作效率更高,因此备受用户青睐。然而,在构建 IT/OT 网络融合时,如果不采取适当的保护措施,就直接将远程机器与互联网设备相连,远程连接就可能成为整个系统的短板。经营者必须分配和控制网络访问权,例如,要明确谁可以访问网络,并能验证访问者的身份。这将有效防止未经授权的用户访问网络。此外还有其他保护措施,例如,通过 VPN 访问机器和系统,对传输的数据全部加密处理。通过采取这些防范举措,工业经营者可以减少远程连接的安全漏洞。
● 网络管理
另一个重要场景是大规模网络管理,因为保护网络安全不是一时之功,而要持续监管。IT/OT 网络融合后,网络使用者需要一眼知悉大量网络设备的状态,监控网络安全状态。Moxa 网络基础设施部门业务开发经理 Marty Wachi 说:“我们的许多客户需要更先进的解决方案来提高网络的可视化程度。他们一方面需要定期监控现有网络节点和新增节点,另一方面还需了解用户将要使用哪些应用程序,以及具体是哪些用户需要访问网络。客户要保护系统和资产,就必须一手掌握网络状态。”为了增强网络安全的可视性,企业需要部署有效的网络管理解决方案,监控各个网络设备的安全状态,并确保发生意外时运维人员第一时间收到警报。
专家建议
全面了解用户在 IT/OT 融合项目中可能遇到的场景,以便采取必要的防范措施,减少网络安全风险。
二、全局把控,保障工业网络安全
IT/OT 融合将多种系统集成于同一个网络基础设施中。只有全局把控网络基础设施,才能确保所有网络设备都得到保护。我们建议从以下三个层面入手,构建深度防御安全架构:
● 管理层面
掌握网络的安全状态对经营者意义重大,企业既要有网络管理解决方案,也离不开安全管理解决方案,只有如此,才能保障网络安全。因此,除了采用网络管理工具来查看网络基础设施中每个网络节点的安全状态,企业还可以考虑安装安全仪表板,从而更轻松地管理网络安全解决方案,记录相关安全事件,并分析报告,为后续改进提供参考。
● 网络层面
要保护网络免遭入侵,第一步是控制访问权限,可通过部署防火墙和安全路由器实现。此举还有助于管控网络流量和数据传输,并对统一网络分区,降低管理难度。如果有入侵者获得了对某个网络设备的访问权限,其造成的威胁可以被控制在特定区域中,避免整个网络遭到破坏。此外,企业还需安装 OT 入侵防御系统 (IPS) 来识别威胁,并在监测到入侵时发出警报。
● 设备层面
如果不采取防范措施,任何网络设备都有可能给系统带来安全风险。企业可以借助密码策略等安全机制,以及禁用闲置端口和服务,来提高设备安全性,最大限度降低入侵风险。此外,为网络设备制定适当的漏洞响应程序,也有助于降低网络安全风险。
专家建议
从全局把控网络安全,有助于筑牢安全防线,因为经营者可以全面了解如何保护网络基础设施,上到整个网络,下至每台设备,尽在管控之中。
三、参照安全标准,保障工业网络安全
OT 和 IT 人员访问网络的目的和方式各不相同,保障网络安全的手段也有差异。然而,如果企业上下不实行统一的安全指南,就很难确保网络安全。好在业内已有不少通用的安全标准,例如 IEC 62443 和 NERC CIP 让同一个企业的 IT 和 OT 人员遵循相同的安全规范。如今,IEC 62443 标准日益普及,Moxa 工业网络安全 (IACS) 专家 Felipe Costa 解释道,这是因为“它提供了讨论安全问题的通用语言。此外,该标准还可指导用户全面落实安全解决方案,执行安全策略。最后,遵循这套标准的公司和设备能获得认证,客户可以更轻松地找到满足自身安全需要的供应商和解决方案。”
IEC 62443 标准可以作为资产所有者、系统集成商和组件供应商的通用语言。该标准还针对网络安全的各项问题提供了实用指南,适合企业上下的各类相关人员使用。例如,IEC 62443-4-1 和 IEC 62443-4-2 标准均为网络设备制定,前者关注的是企业的产品生命周期开发是否符合相应的安全指南,而后者聚焦网络设备的基本安全要求,获得该标准认证即表明设备安全。
专家建议
选择获得 IEC 62443 标准认证的组件供应商和网络设备,可以确保连入网络基础设施的网络设备安全。
选择 Moxa 网络安全解决方案,筑牢网络安全防线
作为 30 多年持续领跑工业网络行业的先锋,Moxa 致力于开发安全可靠的网络解决方案,主动识别和消除 OT 环境中的网络威胁。为了践行这一承诺,Moxa 严格遵循“安全始于设计”理念,打造分布式 OT 入侵防御系统功能,为您提供一系列稳固可靠的联网产品组合,全力完善工业应用的安全防线。