隨著數(shù)字技術(shù)、工業(yè)4.0和工業(yè)物聯(lián)網(wǎng)的出現(xiàn)，它們?yōu)榫W(wǎng)絡(luò)風(fēng)險(xiǎn)帶來(lái)了新的復(fù)雜性。

聽(tīng)到“網(wǎng)絡(luò)安全”這個(gè)詞就足以讓一些工業(yè)網(wǎng)絡(luò)工程師轉(zhuǎn)向并以另一種方式運(yùn)行，但這并不一定像看起來(lái)那樣令人生畏。

與任何事情一樣，當(dāng)涉及到網(wǎng)絡(luò)安全時(shí)，企業(yè)必須從某個(gè)地方開(kāi)始。在當(dāng)今的環(huán)境中，人們認(rèn)為第一步是安全意識(shí)。許多工廠(chǎng)沒(méi)有意識(shí)到當(dāng)他們的運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)和設(shè)備不安全時(shí)會(huì)發(fā)生什么。網(wǎng)絡(luò)安全通常被認(rèn)為是事后的想法，或者在潛在的災(zāi)難性事件發(fā)生之前根本不考慮。

在對(duì)567名制造行業(yè)人士進(jìn)行調(diào)查之后，安全服務(wù)商Morphisec公司在發(fā)布的調(diào)查報(bào)告中聲稱(chēng)，在過(guò)去一年中，五分之一的制造工廠(chǎng)成為網(wǎng)絡(luò)攻擊的目標(biāo)（這一估計(jì)可能是保守的，因?yàn)椴⒎撬袉T工都意識(shí)到他們的公司何時(shí)遭受網(wǎng)絡(luò)攻擊）。NTT公司的一份調(diào)查報(bào)告表明，2020年針對(duì)制造行業(yè)的全球性網(wǎng)絡(luò)攻擊增加了300%。

換句話(huà)說(shuō)，對(duì)于工業(yè)環(huán)境來(lái)說(shuō)，現(xiàn)在是集中注意力的最佳時(shí)機(jī)。網(wǎng)絡(luò)安全問(wèn)題并不總是惡意破壞或惡意軟件的結(jié)果。它們也可能是由人為錯(cuò)誤造成的。例如，一名工作人員帶著自己的個(gè)人筆記本電腦在企業(yè)工作并將其插入網(wǎng)絡(luò)端口，并在無(wú)意中損壞了設(shè)備并導(dǎo)致停機(jī)。

當(dāng)企業(yè)設(shè)計(jì)一個(gè)新的工業(yè)網(wǎng)絡(luò)時(shí)，有機(jī)會(huì)采取積極主動(dòng)的方法，讓網(wǎng)絡(luò)安全成為每個(gè)決策的一部分：采用縱深防御保護(hù)、提前規(guī)劃工業(yè)物聯(lián)網(wǎng)等。

但是因?yàn)槠髽I(yè)的工業(yè)網(wǎng)絡(luò)可能已經(jīng)存在，所以現(xiàn)在需要保護(hù)其所擁有的一切。在許多情況下，工業(yè)網(wǎng)絡(luò)是在幾十年前設(shè)計(jì)和建造的，早在網(wǎng)絡(luò)安全成為一個(gè)因素之前。企業(yè)如何采用最初設(shè)計(jì)時(shí)未考慮防御的東西并進(jìn)行更改以確保安全？

通過(guò)網(wǎng)絡(luò)評(píng)估獲得可見(jiàn)性

一旦企業(yè)意識(shí)到網(wǎng)絡(luò)安全值得關(guān)注，一個(gè)良好的起點(diǎn)就是簡(jiǎn)單的網(wǎng)絡(luò)評(píng)估。這需要對(duì)運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)進(jìn)行全面了解，以查明與其連接的每個(gè)設(shè)備：機(jī)器、傳感器、控制器、驅(qū)動(dòng)器、攝像頭、交換機(jī)等。在采取任何行動(dòng)之前，企業(yè)必須了解工廠(chǎng)中的設(shè)備。如果不了解某個(gè)設(shè)備，那么將無(wú)法采取任何措施來(lái)保護(hù)它。

在通過(guò)這一評(píng)估過(guò)程獲得可見(jiàn)性之后，大多數(shù)工廠(chǎng)都會(huì)驚訝地發(fā)現(xiàn)他們不知道的設(shè)備和訪(fǎng)問(wèn)位于他們的網(wǎng)絡(luò)上，即使他們認(rèn)為知道這一切。

一旦掌握了這一點(diǎn)，企業(yè)就可以確定設(shè)備的使用方式。從那里可以建立一個(gè)基線(xiàn)，以便通過(guò)隨著時(shí)間的推移監(jiān)控和測(cè)量每個(gè)設(shè)備來(lái)跟蹤變化，包括潛在的漏洞。

基本工業(yè)網(wǎng)絡(luò)安全的三個(gè)最佳實(shí)踐

除了進(jìn)行網(wǎng)絡(luò)評(píng)估之外，企業(yè)還可以采取一些其他做法來(lái)朝著正確的方向前進(jìn)：實(shí)施被動(dòng)發(fā)現(xiàn)、制定縱深防御策略和分割網(wǎng)絡(luò)。

（1）被動(dòng)發(fā)現(xiàn)

被動(dòng)發(fā)現(xiàn)可以通過(guò)持續(xù)掃描以識(shí)別IP地址來(lái)幫助企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)上的新未知設(shè)備，而不會(huì)產(chǎn)生額外的流量或延遲。這可以幫助檢測(cè)在發(fā)現(xiàn)期間傳輸或接收通信的未經(jīng)授權(quán)或惡意設(shè)備。

從那里，可以進(jìn)行一些調(diào)查，以確定這些設(shè)備是什么，以及它們是否會(huì)造成麻煩。

（2）縱深防御策略

盡管保護(hù)企業(yè)的工業(yè)網(wǎng)絡(luò)與保護(hù)其IT網(wǎng)絡(luò)同樣重要，但不能期望其IT部門(mén)了解工業(yè)協(xié)議和網(wǎng)絡(luò)設(shè)計(jì)的復(fù)雜性。他們可能管理數(shù)字信息流，但可能不了解工業(yè)流程和用于執(zhí)行這些流程的機(jī)器。

當(dāng)IT團(tuán)隊(duì)被迫管理OT網(wǎng)絡(luò)時(shí)，經(jīng)?？吹剿麄?cè)诰W(wǎng)絡(luò)邊緣放置一個(gè)設(shè)備，以將工廠(chǎng)網(wǎng)絡(luò)的控制與業(yè)務(wù)網(wǎng)絡(luò)分開(kāi)，然后收工。但這使得工業(yè)網(wǎng)絡(luò)沒(méi)有縱深防御策略。

縱深防御策略是一種分層的網(wǎng)絡(luò)安全方法，可以保護(hù)有價(jià)值的數(shù)據(jù)并防止下游的所有內(nèi)容在存在威脅時(shí)受到影響。例如，在與負(fù)責(zé)SCADA網(wǎng)絡(luò)的工廠(chǎng)經(jīng)理合作以準(zhǔn)確了解從機(jī)器人單元到PLC再到HMI再到各種工業(yè)設(shè)備需要什么，然后可以確定從A點(diǎn)到另一點(diǎn)移動(dòng)數(shù)據(jù)所需的最低限度B.如果某些東西不符合這些標(biāo)準(zhǔn)，那么它將無(wú)法通過(guò)。

（3）網(wǎng)絡(luò)分段

因?yàn)楣I(yè)環(huán)境需要保護(hù)很多東西（OT設(shè)備、控制系統(tǒng)、其他網(wǎng)絡(luò)設(shè)備等），所以網(wǎng)絡(luò)分段可以幫助提高安全性。

通過(guò)將網(wǎng)絡(luò)劃分為不同的段或組件，可以將訪(fǎng)問(wèn)和流量?jī)H限于所需的通信和用戶(hù)。這有助于防止可能試圖在整個(gè)網(wǎng)絡(luò)中策劃攻擊的不良行為者進(jìn)行橫向移動(dòng)。如果網(wǎng)絡(luò)攻擊發(fā)生在網(wǎng)絡(luò)的一個(gè)網(wǎng)段上，那么其他網(wǎng)段將不會(huì)受到影響。

例如，網(wǎng)絡(luò)分段可以在物理/邏輯上將OT網(wǎng)絡(luò)與內(nèi)部和外部的其他網(wǎng)絡(luò)分開(kāi)。在企業(yè)和工業(yè)“區(qū)域”之間建立這種屏障意味著可以安全地共享數(shù)據(jù)而無(wú)需越過(guò)該屏障。

企業(yè)需要開(kāi)始網(wǎng)絡(luò)安全之旅

很快就會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全不是目的地，而是一段旅程。改善網(wǎng)絡(luò)衛(wèi)生是一個(gè)持續(xù)的過(guò)程。隨著制造工廠(chǎng)面臨的威脅發(fā)生變化，企業(yè)的安全策略也必須改變。專(zhuān)家指出，未來(lái)最大的工業(yè)網(wǎng)絡(luò)威脅包括勒索軟件和供應(yīng)鏈攻擊。而在一兩年前，最重要的威脅可能有所不同。

互聯(lián)網(wǎng)安全中心(CIS)對(duì)于需要網(wǎng)絡(luò)安全起點(diǎn)的工業(yè)工廠(chǎng)來(lái)說(shuō)也是一個(gè)有用的資源。它提供了很多推薦的分步操作來(lái)防止網(wǎng)絡(luò)攻擊，從資產(chǎn)的庫(kù)存和控制開(kāi)始，到驗(yàn)證安全性的滲透測(cè)試結(jié)束。

企業(yè)的專(zhuān)家團(tuán)隊(duì)知道如何連接和保護(hù)制造工廠(chǎng)和工業(yè)網(wǎng)絡(luò)，提供業(yè)界最完整的端到端網(wǎng)絡(luò)解決方案套件，可以幫助企業(yè)重新設(shè)計(jì)和改造網(wǎng)絡(luò)。而值得信賴(lài)的顧問(wèn)通過(guò)同時(shí)提高效率、敏捷性、可持續(xù)性、安全性和安保來(lái)幫助企業(yè)建立更好的業(yè)務(wù)成果。