網絡安全曾經是信息技術（IT）領域專屬的(de)。那些擁有計算(suàn)機科學學位的(de)人(rén)會封好入口，看住貴重物(wù)品，防止入侵者進入IT網絡。由于IT網絡被視爲進入運營技術（OT）網絡的(de)唯一途徑，很多(duō)公司認爲這(zhè)已經足夠了(le)。

潛伏的(de)威脅仍然遊走在OT網絡的(de)邊緣。一些員(yuán)工電腦(nǎo)上的(de)惡意軟件、插入USB密鑰或将設備接入網絡的(de)物(wù)理(lǐ)訪問，以及偶爾的(de)無線訪問都可(kě)能會讓帶來(lái)風險。雖然可(kě)能導緻的(de)問題很嚴重，但這(zhè)些事件很少發生，對(duì)很多(duō)公司來(lái)講，這(zhè)種風險被認爲是可(kě)以接受的(de)。

近年來(lái)，OT網絡之間的(de)互聯比以往任何時(shí)候都更加緊密。一些企業正在運行扁平的(de)網絡拓撲，而另一些企業正在将與雲通(tōng)信的(de)物(wù)聯網或工業物(wù)聯網（IoT/IIoT）設備和(hé)系統添加到網絡中。這(zhè)些較新的(de)OT裝置，繞過了(le)網絡分(fēn)層或普渡模型，帶來(lái)了(le)巨大(dà)的(de)變化(huà)。

企業需要了(le)解如何在不減緩數字化(huà)轉型計劃的(de)情況下(xià)，适應這(zhè)些不斷變化(huà)的(de)環境并支持這(zhè)些網絡。他(tā)們還(hái)需要考慮如何在保持網絡安全警惕的(de)同時(shí)，實現預期的(de)業務目标。

使用(yòng)合适的(de)技術可(kě)以降低風險。現在，企業和(hé)用(yòng)戶應該熟悉四個(gè)關鍵技術和(hé)安全概念：零信任；最小特權原則；被動和(hé)主動網絡監控；和(hé)安全信息和(hé)事件管理(lǐ)（SIEM）集成。

1.零信任

零信任是過去十年中出現的(de)最重要的(de)安全理(lǐ)念之一，被許多(duō)人(rén)視爲安全領域的(de)新黃(huáng)金标準。它已經被世界各地的(de)工業公司和(hé)軍事網絡所采用(yòng)。零信任的(de)理(lǐ)念是假設攻擊者可(kě)能已經在網絡上了(le)，而且沒有被發現。正因爲如此，公司不應該信任進入的(de)任何設備、服務器和(hé)軟件的(de)任何通(tōng)信。

這(zhè)容易讓人(rén)陷入一種左右爲難的(de)困境：如果你不信任通(tōng)信，那你怎麽能進行通(tōng)信？在零信任網絡中，所有系統都必須驗明(míng)正身，這(zhè)是實現通(tōng)信的(de)第一步。身份證明(míng)通(tōng)常通(tōng)過一些機制來(lái)完成，如使用(yòng)公認标準的(de)加密、用(yòng)戶名和(hé)密碼驗證，有時(shí)還(hái)可(kě)以通(tōng)過客戶端證書(shū)或密鑰形式的(de)附加憑據。這(zhè)其中的(de)關鍵部分(fēn)是負責證明(míng)“它是誰”的(de)系統。

對(duì)于棕地工業網絡來(lái)說，零信任很難實現。許多(duō)可(kě)編程邏輯控制器（PLC）和(hé)遠(yuǎn)程終端單元（RTU）的(de)通(tōng)信方式都是門戶洞開。隻要與控制工程師交談，就可(kě)以得(de)知哪些PLC在設計上是不安全的(de)。如果用(yòng)戶僅使用(yòng)其IP地址，就可(kě)以通(tōng)過本地協議(yì)從監控和(hé)數據采集（SCADA）系統連接到PLC或RTU，那麽這(zhè)很可(kě)能就是不安全的(de)。有理(lǐ)由假設，很多(duō)PLC和(hé)RTU在設計上是不安全的(de)，包括現在正在生産中使用(yòng)的(de)大(dà)多(duō)數設備。

如果企業正在保護這(zhè)些網絡并希望采用(yòng)零信任理(lǐ)念，那麽通(tōng)常有兩種選擇：一種是更換現有的(de)PLC；另一種是消除它們不安全的(de)通(tōng)信，通(tōng)常是将它們隔離在安全設備的(de)後面。許多(duō)人(rén)正在使用(yòng)運行邊緣軟件的(de)簡單工業PC，以使這(zhè)些系統遠(yuǎn)離主控制網絡，并使用(yòng)MQTT Sparkplug和(hé)OPC UA等安全協議(yì)提供數據和(hé)通(tōng)信。

對(duì)于綠地網絡來(lái)說，情況要容易得(de)多(duō)。一些關注安全的(de)現代PLC，在默認情況下(xià)被鎖定，支持零信任策略。MQTT Sparkplug和(hé)OPC UA等協議(yì)以及Ignition等軟件，都内置了(le)強大(dà)的(de)身份驗證和(hé)安全性。在配置安全設置的(de)同時(shí)，使用(yòng)現代設備、協議(yì)和(hé)軟件可(kě)以簡化(huà)最佳實踐，真正實現零信任架構。

2.最小特權原則

從概念上來(lái)講，最小特權原則非常簡單：用(yòng)戶的(de)帳戶應隻能訪問用(yòng)戶需要做(zuò)的(de)事情。許多(duō)企業都有工程團隊，他(tā)們可(kě)以管理(lǐ)所有系統。如果企業遵循的(de)是這(zhè)一原則，那這(zhè)就不是最小特權原則了(le)。初級工程師隻能訪問有限數量的(de)系統和(hé)有限的(de)功能集。管理(lǐ)這(zhè)些需要做(zuò)更多(duō)的(de)工作，但如果用(yòng)戶的(de)帳戶被洩露，或者心懷不滿的(de)員(yuán)工決定采取可(kě)能損害業務的(de)行動，最小特權原則也(yě)會降低風險。

3.被動和(hé)主動網絡監控

許多(duō)IT團隊都有IT網絡的(de)監控工具。在OT網絡上使用(yòng)這(zhè)些監控工具也(yě)是一個(gè)好主意。入侵檢測系統（IDS）可(kě)提供被動監控，這(zhè)意味著(zhe)它在不向網絡本身添加任何内容的(de)情況下(xià)監視網絡流量。這(zhè)些系統通(tōng)常由人(rén)工智能和(hé)機器學習(xí)（AI/ML）工具支持，以識别模式并嘗試定位異常。

有時(shí)，入侵檢測系統還(hái)采用(yòng)主動網絡監控，在網絡上發送通(tōng)信并嘗試與設備對(duì)話(huà)，作爲其監控的(de)一部分(fēn)。主動監控系統有時(shí)指向PLC或其它設備，以監控它們何時(shí)發生變化(huà)或變化(huà)的(de)内容。

如果一個(gè)零信任系統已經就位并且運行良好，即使“壞人(rén)”進入網絡，也(yě)可(kě)能什(shén)麽都做(zuò)不了(le)。然而，這(zhè)些監控系統旨在幫助IT部門識别那些不良行爲者，并将他(tā)們踢出網絡，以防止他(tā)們試圖找到易受攻擊的(de)系統。一些主動監控還(hái)可(kě)以識别意外變化(huà)并标記這(zhè)些變化(huà)。

4.安全信息和(hé)事件管理(lǐ)集成

大(dà)多(duō)數公司的(de)IT部門都使用(yòng)安全信息和(hé)事件管理(lǐ)（SIEM）系統，但在OT網絡上則很容易忽略這(zhè)些很有價值的(de)工具。作爲一個(gè)日志分(fēn)析系統，它們可(kě)以幫助識别熱(rè)點并追溯發生的(de)問題。這(zhè)些系統側重于安全性，但有時(shí)也(yě)可(kě)用(yòng)于現場(chǎng)系統的(de)一般故障排除和(hé)IT支持。如果一家公司配置了(le)SIEM，而OT系統沒有發送安全提要，那麽可(kě)能值得(de)探索将SCADA或其它OT系統添加到SIEM中。

安全性是一個(gè)複雜(zá)的(de)話(huà)題，對(duì)于當今的(de)制造商來(lái)講，現在需要向零信任和(hé)更好的(de)安全性邁進。企業和(hé)用(yòng)戶對(duì)本文強調的(de)網絡安全技術和(hé)概念越熟悉，就越有可(kě)能做(zuò)出更明(míng)智的(de)決策。大(dà)多(duō)數制造企業還(hái)有很長(cháng)的(de)路要走，獲得(de)更好的(de)安全性更像是一場(chǎng)馬拉松，而不是百米沖刺。在工業領域構建更好的(de)安全性對(duì)每個(gè)人(rén)都有幫助。

長(cháng) 按 關 注

分(fēn)享、在看與點贊

隻要你點我都喜歡