您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)網(wǎng)絡安全的四大關鍵策略
實施網(wǎng)絡安全計劃需要有明確的議程并了解其可用的工具。本文重點介紹四種網(wǎng)絡安全方法和策略。
隨著越來越多的設備容易受到攻擊,制造企業(yè)需要有一個強大而連貫的網(wǎng)絡安全議程。但負責工業(yè)網(wǎng)絡網(wǎng)絡安全的人似乎被拉到了相反的方向。每個月都有多個與運營技術(OT)相關的網(wǎng)絡安全漏洞被發(fā)布到美國網(wǎng)絡安全和基礎設施安全局(CISA)等地方,該機構要求專業(yè)人士確保其網(wǎng)絡免受威脅。
每個月,企業(yè)都會提出新的要求或倡議,以使這些網(wǎng)絡能夠用于工業(yè)4.0、智能制造或安裝工業(yè)物聯(lián)網(wǎng)(IIoT)解決方案。那些負責網(wǎng)絡安全的人員如何在滿足企業(yè)需求的同時,致力于減輕其工作環(huán)境中的已有風險和新風險?以下是企業(yè)應該考慮實施的四種網(wǎng)絡安全方法和注意事項。
01、理解或制定規(guī)則
了解誰對企業(yè)內(nèi)的工業(yè)網(wǎng)絡負責很重要。是企業(yè)IT人員、現(xiàn)場工程師還是專職OT員工?這種報告結構如何與CIO或CISO負責的更大范圍的企業(yè)網(wǎng)絡安全風險相關聯(lián)?對功能網(wǎng)絡感興趣的其它利益相關者是誰?他們?nèi)绾翁峁┹斎牖螂S時了解變化?工業(yè)網(wǎng)絡必須遵守哪些控制、標準或要求?
現(xiàn)在,工業(yè)網(wǎng)絡不再僅僅是設備之間進行過程控制通信的一種手段,每個群體都有自己的優(yōu)先級,需求的數(shù)量也在增加。由于變化帶來的潛在影響,在制定網(wǎng)絡安全戰(zhàn)略時,必須考慮所有這些問題。如果這些問題沒有即時和書面的答案,在開展進一步工作之前,企業(yè)需要花時間解決這些問題,這一點很重要。
02、評估當前的網(wǎng)絡安全狀態(tài)
很多網(wǎng)絡安全解決方案,如入侵檢測系統(tǒng)(IDS),要求網(wǎng)絡基礎設施具有僅存在于可配置或管理的交換機中的能力或功能。與網(wǎng)絡隔離或分段相關的舉措需要交換機,該硬件不僅僅是允許設備A與設備B通信那么簡單。在啟動任何引入新網(wǎng)絡安全解決方案或改變網(wǎng)絡架構的項目之前,請盤點工業(yè)網(wǎng)絡中安裝的網(wǎng)絡交換機和防火墻。不要忘記查看機器設備網(wǎng)絡,因為它們可能是與工業(yè)4.0或IIoT相關的未來項目的目標。
在評估時,請考慮有多少物理端口可用,它是否處于有效的保修或支持合同之下,它具有哪些功能,以及當前如何管理它們。如果在某個位置發(fā)現(xiàn)一個交換機,端口已經(jīng)完全使用,并且不支持遠程管理或虛擬局域網(wǎng)(VLAN)等功能,那么從工程師和網(wǎng)絡安全團隊的計劃中了解即將到來的項目,可能會決定需要安裝的交換機類型。如果不知道目前的狀況以及未來需要什么,那么不合適的升級或更換可能會浪費大量的時間和成本。
03、展望未來的網(wǎng)絡基礎設施
基于當今環(huán)境實施網(wǎng)絡安全解決方案有時并不是最佳方案。企業(yè)需要花時間展望未來,并了解在未來一年、三年或五年內(nèi),控制系統(tǒng)中可能增加的新技術和解決方案,將如何影響運營這些系統(tǒng)所需的網(wǎng)絡和基礎設施。工業(yè)網(wǎng)絡也不僅僅是以太網(wǎng)和IEEE 802.11無線網(wǎng)絡。至關重要的是,網(wǎng)絡安全計劃和考慮事項中應包括運營中涉及的所有網(wǎng)絡,包括蜂窩、LoRaWAN、藍牙低能耗(BLE)和任何供應商專有協(xié)議。
由于使用基于云的服務、在IT網(wǎng)絡中運行的分析包以及直接連接到供應商系統(tǒng)或平臺的第三方服務,入站和出站連接的數(shù)量將增加。今天設計一個網(wǎng)絡安全策略而不考慮與基于互聯(lián)網(wǎng)的服務的交互,未來肯定會引起麻煩。因此,必須確定所有工業(yè)網(wǎng)絡利益相關者,并讓他們參與進來。
04、考慮網(wǎng)絡安全功能
如果沒有適當?shù)膶嵤?、支持和維護,即使是最先進和最強大的網(wǎng)絡安全解決方案也毫無價值。
作為任何解決方案評估過程的一部分,企業(yè)必須考慮誰來運營以及如何運營。組織是否愿意派遣人員進行培訓,或雇傭具有管理和維護新實施的網(wǎng)絡安全工具的經(jīng)驗和能力的新員工?他們是否為正在進行的支持合同編制了預算?當解決方案在凌晨2點檢測到關鍵事件時,預期的響應是什么?當實施網(wǎng)絡安全解決方案時,控制環(huán)境中工作的員工將承擔哪些新的責任和期望?在開始評估網(wǎng)絡安全產(chǎn)品或解決方案之前就這些問題達成一致,可以幫助企業(yè)快速過濾掉那些與組織計劃不一致的產(chǎn)品。
05、提高網(wǎng)絡安全的重要工具
除了基本策略之外,還有一些策略可以幫助企業(yè)在短期和長期內(nèi)改善網(wǎng)絡安全態(tài)勢。
■ 網(wǎng)絡分段。如果現(xiàn)在運行的工業(yè)網(wǎng)絡,在機器、區(qū)域或功能之間的分段有限,那么加強網(wǎng)絡安全的良好開端可能是在網(wǎng)絡中創(chuàng)建更多的分段,以限制不必要的通信。除了減少發(fā)送到所有設備的廣播消息的數(shù)量之外,分段可能是防火墻解決方案的先決條件,也是安全方法(如ISA/IEC 62443)中的一個考慮因素。如果使用的交換機不支持VLAN等功能,則可能需要升級交換機硬件。
■ 防火墻。在工業(yè)和辦公網(wǎng)絡之間設置防火墻,是限制設備通信路徑的第一步。在考慮防火墻時,請尋找那些了解內(nèi)置工業(yè)協(xié)議的防火墻,并根據(jù)未來所需的帶寬和連接數(shù)量對其進行調整。應計劃在工業(yè)和辦公網(wǎng)絡的連接之間設置防火墻,以盡量減少中斷,在開始執(zhí)行規(guī)則和阻止未定義的通信時必須小心。防火墻還可以用作一種安全訪問手段:通過使用虛擬專用網(wǎng)絡(VPN)功能,從外部提供對工業(yè)網(wǎng)絡的安全訪問。這將允許去除現(xiàn)有的遠程訪問技術,并將其整合為一個集中且可管理的方法。
■ 入侵檢測/預防系統(tǒng)。實施入侵檢測或入侵預防系統(tǒng)(IDS/IPS)有許多不同的方法。通常,這些解決方案將分析網(wǎng)絡通信,并對未知、意外或預定義的活動發(fā)出報警。對于人機界面(HMI)和監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng),如果軟件不與系統(tǒng)運行能力沖突,則也可將基于主機的方法納入解決方案。一些新產(chǎn)品包括更先進的學習功能,使它們能夠了解環(huán)境中的正常通信,從而可以對可疑行為報警。根據(jù)IDS/IPS的提供方式,可能需要網(wǎng)絡通信數(shù)據(jù)、網(wǎng)絡交換機變更或添加網(wǎng)絡接頭,并應與解決方案供應商討論。
■ 軟件定義網(wǎng)絡(SDN)。對于希望對設備間通信實施更細粒度控制的企業(yè)來說,軟件定義網(wǎng)絡可能是個選擇。每個設備或設備組只能通過配置定義的特定端口或協(xié)議進行通信。此解決方案的實施可能需要新的交換機和控制器,但從安全角度來看,收益將遠遠大于投入。
在安全性和必要性以及可接受的風險之間,找到合適的平衡點,對于每個企業(yè)來說都是不同的。隨著對工業(yè)網(wǎng)絡的攻擊越來越多、越來越復雜,如何把握這一界限,從未像現(xiàn)在這樣關鍵和具有挑戰(zhàn)性。本文列出的方法和注意事項,可以作為指南、查找差距的方法和對話的起點。這兩個優(yōu)先事項之間始終存在沖突,那些能夠管理好它們的企業(yè),將永遠不會停止評估和創(chuàng)新其網(wǎng)絡安全解決方案。
關鍵概念:
■ 由于越來越多的設備容易受到攻擊,企業(yè)需要制定一個強有力的、連貫的網(wǎng)絡安全議程。
■ 評估網(wǎng)絡安全計劃的現(xiàn)狀和展望未來至關重要。
思考一下:
您做了哪些工作來改善網(wǎng)絡安全狀況?
- END -
▲本文來自于控制工程中文版雜志(CONTROL ENGINEERING China)2023年03月刊《技術文章》欄目:如何制定工業(yè)網(wǎng)絡的安全策略?
文章來源:控制工程中文版