提升工業(yè)網(wǎng)絡(luò)安全，輕松應(yīng)對(duì)未來(lái)挑戰(zhàn)

       當(dāng)前，工業(yè)企業(yè)正積極投身數(shù)位轉(zhuǎn)型，力求提升競(jìng)爭(zhēng)優(yōu)勢(shì)，促進(jìn)營(yíng)收增長(zhǎng)。轉(zhuǎn)型之路上，企業(yè)經(jīng)營(yíng)者面臨的首要難題是將信息技術(shù) (IT) 與操作技術(shù) (OT) 基礎(chǔ)設(shè)施無(wú)縫融合。然而，簡(jiǎn)化 IT/OT 集成系統(tǒng)的數(shù)據(jù)連接并非易事，企業(yè)常常會(huì)遇到各種各樣的問(wèn)題，例如設(shè)備性能欠佳、網(wǎng)絡(luò)可視化程度低、現(xiàn)有 OT 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性較差等。要構(gòu)建可靠高效、易于維護(hù)的網(wǎng)絡(luò)，保障企業(yè)日常運(yùn)行，必須做好全盤(pán)規(guī)劃。本文聚焦 OT 網(wǎng)絡(luò)安全的重要性，就增強(qiáng)工業(yè)運(yùn)營(yíng)網(wǎng)絡(luò)安全提供實(shí)用建議。

　　提高 OT 網(wǎng)絡(luò)安全為何勢(shì)在必行

　　如今，新型網(wǎng)絡(luò)安全威脅層出不窮，日益擾亂工業(yè)應(yīng)用運(yùn)行。這些威脅往往瞄準(zhǔn)全球各行各業(yè)的關(guān)鍵基礎(chǔ)設(shè)施，例如能源 、交通 、給排水服務(wù)等。攻擊者一旦得手，將導(dǎo)致工業(yè)企業(yè)生產(chǎn)延誤或背負(fù)高昂的修復(fù)成本，給企業(yè)造成重大損失。在建立 IT/OT 融合網(wǎng)絡(luò)之前，企業(yè)首先要確定整個(gè)網(wǎng)絡(luò)的安全級(jí)別，并積極采取防護(hù)措施，降低潛在網(wǎng)絡(luò)攻擊對(duì)資產(chǎn)的殺傷力。如果網(wǎng)絡(luò)安全性能不佳，不法分子就有可能趁機(jī)訪問(wèn)關(guān)鍵資產(chǎn)，侵入集成系統(tǒng)。

　　然而，加強(qiáng) OT 網(wǎng)絡(luò)安全實(shí)屬不易。IT 安全解決方案必須經(jīng)常更新迭代，才能抵御不斷演變的網(wǎng)絡(luò)威脅，但更新時(shí)往往需要切斷網(wǎng)絡(luò)服務(wù)和系統(tǒng)運(yùn)行，而 OT 運(yùn)行無(wú)法承受由此帶來(lái)的損失。因此，企業(yè)經(jīng)營(yíng)者必須采取以 OT 為中心的網(wǎng)絡(luò)安全方案，在不影響網(wǎng)絡(luò)或運(yùn)營(yíng)連續(xù)性的前提下，有效保護(hù)工業(yè)網(wǎng)絡(luò)安全。

　　筑牢 OT 網(wǎng)絡(luò)安全的三大步驟

　　只有正確構(gòu)建工業(yè)網(wǎng)絡(luò)才能保障網(wǎng)絡(luò)安全，其中的關(guān)鍵是有序落實(shí)多層防御策略。

　　第一步：部署安全聯(lián)網(wǎng)設(shè)備，夯實(shí)網(wǎng)絡(luò)安全基石

　　要構(gòu)建安全基礎(chǔ)網(wǎng)，首先要選擇安全可靠的設(shè)備。面對(duì)日益猖獗的網(wǎng)絡(luò)威脅，業(yè)界制定了全面的 OT 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。其中，NIST CSF、IEC 62443 等工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為保護(hù)關(guān)鍵資產(chǎn)、系統(tǒng)和組件提供了安全指南。通過(guò)執(zhí)行工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并使用依照這些標(biāo)準(zhǔn)設(shè)計(jì)的聯(lián)網(wǎng)設(shè)備，可為構(gòu)建安全基礎(chǔ)網(wǎng)奠定堅(jiān)實(shí)基礎(chǔ)。

　　第二步：部署以 OT 為中心的分層保護(hù)機(jī)制

　　深度防御的理念是通過(guò)在各層級(jí)實(shí)施網(wǎng)絡(luò)安全措施，提供多層次保護(hù)，以降低安全風(fēng)險(xiǎn)。即便攻擊者突破了某一層防線，其他層級(jí)的保護(hù)機(jī)制仍可阻止攻擊者進(jìn)一步侵入網(wǎng)絡(luò)。此外，系統(tǒng)可在監(jiān)測(cè)到安全事件后立即發(fā)出警報(bào)，幫助用戶(hù)及時(shí)應(yīng)對(duì)潛在威脅，緩釋風(fēng)險(xiǎn)。

　　目前，有兩種重要的 OT 網(wǎng)絡(luò)安全解決方案可用于為 OT 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施構(gòu)建多層網(wǎng)絡(luò)保護(hù)機(jī)制，分別為工業(yè)防火墻和安全路由器。

　　工業(yè)防火墻保護(hù)關(guān)鍵資產(chǎn)安全

　　工業(yè)防火墻能建立安全的網(wǎng)絡(luò)區(qū)域，全面防范潛在威脅，高效保護(hù)關(guān)鍵資產(chǎn)。如今，任何聯(lián)網(wǎng)設(shè)備都可能成為網(wǎng)絡(luò)威脅的目標(biāo)，因此必須部署具備強(qiáng)大流量過(guò)濾功能的防火墻，以便管理員為整個(gè)網(wǎng)絡(luò)設(shè)置安全通道。新一代防火墻具有入侵檢測(cè)/防御系統(tǒng) (IDS/IPS)、深層數(shù)據(jù)包檢測(cè) (DPI) 等高級(jí)安全功能，可主動(dòng)檢測(cè)并阻止外部威脅，防止攻擊者侵入網(wǎng)絡(luò)。

　　適用 OT 環(huán)境的高級(jí)安全功能可有效維護(hù)無(wú)縫通信，使工業(yè)運(yùn)營(yíng)時(shí)間最大化。例如，支持工業(yè)協(xié)議的 OT 專(zhuān)用 DPI 技術(shù)可檢測(cè)并阻止未經(jīng)授權(quán)的數(shù)據(jù)傳輸，保障工業(yè)協(xié)議通信安全。此外，工業(yè)級(jí) IPS 系統(tǒng)支持虛擬補(bǔ)丁，可防止目前所知的最新威脅侵入關(guān)鍵資產(chǎn)和既有設(shè)備，且不影響網(wǎng)絡(luò)運(yùn)行時(shí)間。IPS 系統(tǒng)專(zhuān)為工業(yè)應(yīng)用設(shè)計(jì)，能對(duì) PLC、HMI 等常用現(xiàn)場(chǎng)設(shè)備進(jìn)行基于模式的檢測(cè)。

　　工業(yè)級(jí)安全路由器加固網(wǎng)絡(luò)邊界

　　IT/OT 融合網(wǎng)絡(luò)必須依靠復(fù)雜的多層工業(yè)基礎(chǔ)網(wǎng)，才能將海量現(xiàn)場(chǎng)數(shù)據(jù)傳輸至控制中心。通過(guò)在不同網(wǎng)絡(luò)之間部署強(qiáng)大的工業(yè)級(jí)安全路由器，可以加固網(wǎng)絡(luò)邊界，并保持網(wǎng)絡(luò)性能穩(wěn)定。安全路由器內(nèi)置防火墻、NAT 等高級(jí)安全功能，支持管理員建立安全網(wǎng)絡(luò)分區(qū)，實(shí)現(xiàn)跨區(qū)域數(shù)據(jù)路由。優(yōu)越的工業(yè)級(jí)安全路由器還具備千兆級(jí)交換和路由功能，并設(shè)有冗余機(jī)制，可保障網(wǎng)絡(luò)內(nèi)部和跨網(wǎng)絡(luò)通信穩(wěn)定，有效提高網(wǎng)絡(luò)性能。

　　同時(shí)，通過(guò)遠(yuǎn)程訪問(wèn)維護(hù)關(guān)鍵資產(chǎn)和網(wǎng)絡(luò)的需求與日俱增。運(yùn)維工程師和網(wǎng)絡(luò)管理員可借助支持 VPN 功能的工業(yè)級(jí)安全路由器，通過(guò)安全隧道遠(yuǎn)程訪問(wèn)專(zhuān)用網(wǎng)絡(luò)，更高效地開(kāi)展遠(yuǎn)程管理。

　　第三步：監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)，識(shí)別網(wǎng)絡(luò)威脅

　　部署安全的工業(yè)網(wǎng)絡(luò)只是構(gòu)建網(wǎng)絡(luò)安全屏障的第一步。在日常運(yùn)營(yíng)中，網(wǎng)絡(luò)管理員還要投入大量時(shí)間和精力來(lái)提高網(wǎng)絡(luò)可視性，監(jiān)控流量，管理無(wú)數(shù)聯(lián)網(wǎng)設(shè)備。集中式網(wǎng)絡(luò)管理平臺(tái)能實(shí)現(xiàn)全網(wǎng)可視化，簡(jiǎn)化設(shè)備管理，從而極大提高操作效率，以便網(wǎng)絡(luò)管理員將更多資源用于提高網(wǎng)絡(luò)和設(shè)備安全。

　　此外，網(wǎng)絡(luò)安全解決方案的集中式網(wǎng)絡(luò)安全管理平臺(tái)還可從更多方面提升效率。這類(lèi)軟件支持管理員批量部署防火墻策略，監(jiān)控網(wǎng)絡(luò)威脅，并在檢測(cè)到威脅后生成通知。網(wǎng)絡(luò)安全解決方案搭配適當(dāng)?shù)墓芾碥浖?，將極大協(xié)助管理員從全局視角監(jiān)測(cè)和識(shí)別威脅。

　　Moxa 助您構(gòu)建面向未來(lái)的網(wǎng)絡(luò)安全屏障

　　網(wǎng)絡(luò)安全對(duì)于工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施至關(guān)重要。Moxa 依托超過(guò) 35 年的工業(yè)聯(lián)網(wǎng)經(jīng)驗(yàn)，打造出全套以 OT 為中心的網(wǎng)絡(luò)安全產(chǎn)品組合，助力客戶(hù)筑牢安全屏障，并將網(wǎng)絡(luò)運(yùn)行時(shí)間最大化。我們的工業(yè)連接和聯(lián)網(wǎng)解決方案通過(guò) IEC 62443-4-1 認(rèn)證，產(chǎn)品開(kāi)發(fā)遵循 IEC 62443-4-2 標(biāo)準(zhǔn)的安全原則，旨在為用戶(hù)提供保障工業(yè)應(yīng)用設(shè)備安全的重要工具。

　　隨著網(wǎng)絡(luò)威脅日益嚴(yán)峻，我們的 OT 網(wǎng)絡(luò)安全解決方案將保護(hù)工業(yè)網(wǎng)絡(luò)免遭侵入，同時(shí)最大限度提高運(yùn)行時(shí)間。我們的網(wǎng)絡(luò)管理軟件可有效簡(jiǎn)化聯(lián)網(wǎng)設(shè)備和 OT 網(wǎng)絡(luò)安全解決方案管理，方便管理員輕松監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)，管控網(wǎng)絡(luò)威脅。