網絡安全設計與實施
網絡安全是影響 OT 數據可靠性的首要原因。過去,OT 系統無須接入互聯網,只需物理上加強監管就能保障安全,比如只允許特定人員使用 OT 系統,或禁止使用 U 盤和個人電腦。然而,隨著工業數位轉型成為行業趨勢,互聯網訪問變得不可或缺。設備一經聯網,所有安全漏洞都暴露在計算機病毒之下,入侵系統變得輕而易舉,甚至導致系統運行中斷,成為黑客謀取利益的新途徑。由于網絡攻擊越來越普遍,數據和網絡安全正成為數位轉型過程中每一項任務的必然考慮。要想保障產能,避免生產線數據受損,就不能讓存在隱患的 OT 數據成為企業的阿喀琉斯之踵,容易遭受網絡攻擊。
企業普遍存在的一個誤區是,認為成熟的 IT 安全解決方案能直接用于OT網絡。實際上,為 IT 環境設計的安全工具不能為OT系統提供完善的保護。常見的防病毒軟件就是一個例子。OT設備上的操作系統通常不兼容防病毒軟件,因此安裝殺毒軟件包根本無從談起。同時,對 OT 網絡環境而言,系統能否全力運行至關重要,這讓安全防護更加復雜。防病毒軟件可能會誤攔截數據包,損害產能,因此不適用于OT設備。此外,為保障連接穩定便捷,制造商通常選擇將所有設備部署在同一個內聯網上。勒索軟件一旦入侵,就能輕易擴散至整個系統。因此,保障 OT 網絡環境安全,需要考慮到由下至上三個層面:終端節點安全、網絡安全和安全管理。
提高 OT 數據安全能力,企業應該:為 OT 自動化設備部署入侵防護系統 (IPS),保護關鍵基礎設施。工業級 IPS 能監控流入流出關鍵設備的數據,隔離惡意流量,一旦發現異常,便會即刻通知網絡管理員。利用網絡層阻止勒索軟件攻擊。企業應將以太網交換機升級為網管型以太網交換機,利用交換機的分層功能為 OT 網絡分區。使用網絡管理軟件提高不同 OT 通信協議之間的互操作性,讓設備狀況可視化,快速發現存在故障或風險的設備。