Google 全球趋势指数显示,网络安全类关键词在 Google 搜索中的热度不断攀升。其中控制工程网版权所有,“附近的网络安全培训班”以及“网络安全行政命令”的搜索量最高(Google 趋势www.cechina.cn,截至 2021 年 9 月)。回顾即将过去的 2021 年,这一现象并不稀奇。毫无疑问,网络安全已经成为人们广泛热议的重要话题。人们发现,网络安全就像一幅拼图,只有了解每一块碎片,才能拼出完整的画面。如今,关注网络安全已是刻不容缓。
据德勤发布的报告显示www.cechina.cn,受访制造商中有四成遭遇过网络安全事件,其中有 86% 的制造商表示,事故曾导致工业系统中断。随着 OT/IT 融合的步伐加快,工业控制系统中出现多个攻击面,其中一些是已知的安全漏洞,但其余的风险仍是未知数。因此,无论是管理层还是个人用户,都应为建设工业网络安全壁垒出一份力,从边缘到云端层层防护工业网络。本文将分享行业专家提出的实用建议,帮助企业开启网络安全征程。
图表:工业控制系统中易受网络攻击侵害的新攻击面
建议 1:部署秉持“安全始于设计”理念的网络设备www.cechina.cn,采用安全的设备设置方式
工业系统中往往包含很多传统设备,但由于现场网络如今较少使用气隙技术,这些设备越来越容易受到攻击。理想情况下,传统设备可借助内置安全功能的先进解决方案,实现自身的快速升级。然而,由于企业预算有限,再加上工业系统不能停机,新旧设备往往会在同一个系统中运行。在这种情况下,就需要使用安全性更强的网络设备,将传统设备连入网络。挑选网络设备时,应选择采用“安全始于设计”理念的产品ConTROL ENGINEERING China版权所有,建议您检查设备的内置安全功能是否符合 IEC 62443 等安全标准。如果确认符合标准,便可选择这种产品,并进行安全设置。例如,我们建议禁用所有闲置端口和服务,不让入侵者有可乘之机。点击查看更多关于提高边缘层安全性的建议以及 Moxa 解决方案的案例研究了解如何实现安全的边缘互联。
建议 2:进行网络分区
完成网络节点的安全配置后,就该根据区域和线路政策为网络分区。通过分区,可以避免网络因某一节点受到攻击而整体停机,从而提高网络安全性。工业自动化解决方案和企业数位转型咨询服务提供商 YNY Technology 的 OT 安全顾问 Gary Kong 介绍了他如何帮助客户消除 OT/IT 网络融合过程中的安全隐患。他表示:“我推荐客户采用网络分区、隔离区 (DMZ) 等安全的网络架构设计,减少来自 IT 网络的威胁。” 同时,选择合适的工业网络分区解决方案也颇为重要。Gary Kong 称:“客户也明白,只在 OT 网络外加筑 IT 防火墙,并不能为 OT 环境提供有力的保护,但他们常常忽视这条建议,尽管他们很清楚 IT 防火墙无法识别工业协议,监管和流程层面都可能遭遇网络攻击。单纯依赖 IT 防火墙的风险很高,也很难让人放心,各种漏洞和网络入侵防不胜防。”作为工业控制系统解决方案,防火墙不仅要将网络划分为互相隔绝的区域,实现垂直防护,还要具备深层数据包检测功能,在不影响系统运行的前提下过滤未经授权的数据包,提供水平防护。
建议 3:应用安全的通讯解决方案,保障关键数据和资产安全
OT/IT 网络融合的目的是收集数据并从中提取有价值的信息。在这一方面,云技术可谓理想之选,这类技术使用简便,还有着强大的数据分析能力,可以简化网络融合。近期,人们越来越重视如何保障从 OT 到 IT、从现场到云端的数据访问安全。自动化和流程控制技术领导企业 ABB 集团旗下 B&R 工业自动化公司的网络安全产品经理 Ninad Deshpande 表示:“OPC UA 协议包含大量安全原则,不仅有应用认证和用户认证,还有涵盖网络安全三大支柱的安全机制,即保密性、完整性和可用性 (CIA)。”OPC UA 协议提供了可靠的通讯解决方案,确保数据融合简便安全,可助力企业在边缘设备和云端服务器之间轻松建立顺畅的通讯。
然而,要使用云技术,就必然会产生远程访问的需求,而其安全性令人担忧。如今,越来越多的机器制造商开始利用云平台简化设备维护工作。不过,在享受云技术带来的优势之前,应利用数据加密、VPN 等技术确保远程访问的安全性,保障关键资产安全无虞。
前文介绍了如何减少潜在攻击面,从边缘层到云端全面保护联网工业控制系统,接下来本文将聚焦操控这些工业系统和设备的人员。外包供应商、系统集成商甚至是远程服务工程师,都是日常运营、维护和故障排除不可或缺的重要人员,也是落实安全政策的重要参与方。如果这类人员缺乏网络安全意识,不懂得利用安全技术,那么一切投入都将是徒劳。为避免出现这种情况,必须确保工业流程的所有参与者秉持相同的网络安全理念和心态,只有这样才能让安全防护措施发挥应有的作用。
建议 4:从管理层到个人,提高工业网络安全意识
安全意识金字塔将网络安全意识划分成几个层级。管理层的承诺和支持是整个金字塔的基石,第二级是为提高安全意识设计的安全方案和政策。以安全政策为例,根据安全配置分配读写权限是一项基本政策,但在具体落实时,要让整个公司的所有人遵守政策并非易事。设施管理人员常常感到网络安全措施执行起来非常繁琐,因此不会严格要求所有员工都照章行事。有的管理人员会以小组为单位落实安全政策,而不是为每位员工分配专用登录信息,这会带来更多网络安全风险。
图表:安全意识金字塔
三菱电机自动化公司致力于为众多工业市场提供全面的自动化产品。Thomas Burke 是该公司的工业标准全球行业经理,在工业自动化领域有着丰富的经验。他曾在 Moxa 安全对话上谈及提高安全意识、执行安全政策的重要性。他表示:“应确保终端用户、供应商和公司员工充分了解各项潜在风险,认识到自己在网络安全维护中扮演的角色有多重要。”
建议 5:检查配置和设置是否符合安全政策
有了较强的安全意识和完善的安全政策,员工会更重视系统的安全设置。诚然,一次性检查所有系统并非易事,但安全检查什么时候开始都不算晚。企业可以先开展风险评估,确定安全防护的优先级,如此就能更轻松地识别和保护关键资产。接下来,可以先从检查配置入手。如果网络规模庞大,建议使用可视化软件清晰呈现网络结构,以便检查安全设置,视需进行调整。
反思和展望
随着企业继续寻求数位转型和 OT/IT 融合带来的红利,“网络安全”这个关键词在 Google 搜索上的热度还将攀升。技术发展只会不断前进,而不会开倒车。我们希望本文的专家观点能让企业对工业网络安全形成更全面的认识。
● 建议从改变思维方式做起,制定安全政策,系统地检查安全配置。
● 基础工作完成后,可以聚焦边缘连接的安全确保新系统和传统系统都安全无虞。
● 注意保护骨干网络,保障数据传输不中断,这是实现 OT/IT 融合的必要条件。
● 建议安装工业防火墙加固垂直和水平两道安全壁垒。
● 最后,随着企业对远程连接的需求日益增加,选择可靠省心的安全远程访问解决方案将为企业节省开支,免去麻烦。