簡化 IT/OT 系統(tǒng)已成為工業(yè)運營商提升績效���、獲取競爭優(yōu)勢的關鍵策略���。然而,隨著 IT/OT 的融合���,尤其是現(xiàn)場設備接入網絡���,安全風險也不斷增加���。工業(yè)系統(tǒng)易受網絡攻擊的主要原因包括既有設備存在安全漏洞(如默認設置不安全或采用傳統(tǒng)通信協(xié)議)、現(xiàn)場設備可視性不足以及 OT 網絡缺乏分區(qū)管理���。在此背景下���,強大的網絡韌性對于工業(yè)組織至關重要。加強網絡韌性不僅能有效降低安全風險���,還將助力企業(yè)從 IT/OT 融合中獲益���。
鑒于網絡安全的重要性,各國政府實施的法規(guī)日趨嚴格���,應對關鍵基礎設施日益遭受網絡攻擊的問題���。這些法規(guī)要求工業(yè)組織采取網絡安全措施���,減少單一安全事件對國家安全的影響���。例如���,歐盟的 NIS2 指令要求關鍵基礎設施和基礎服務運營商實施適當?shù)陌踩胧⑾蛳嚓P主管部門報告安全事件1���。美國的《關鍵基礎設施網絡事件報告法》則要求關鍵基礎設施運營實體向網絡安全和基礎設施安全局報告重大網絡事件以及勒索軟件支付情況���。2通過提升網絡韌性,工業(yè)運營商不僅能夠確保 IT/OT 融合系統(tǒng)的安全性���,還能更好地適應動態(tài)環(huán)境并滿足政府法規(guī)的要求���。
提升網絡韌性的三大網絡規(guī)劃考慮因素
企業(yè)韌性主要體現(xiàn)在經歷意外中斷后能否快速響應并恢復,同時保障日常運營���、保持品牌形象���。要提升企業(yè)韌性,強化網絡韌性極為關鍵���,確保企業(yè)能從網絡攻擊中迅速恢復���。網絡韌性涵蓋了人員���、策略和技術等多方面。從網絡規(guī)劃的角度來看���,以下三點有助于增強企業(yè)的網絡韌性���。
考慮因素一:盡可能縮小攻擊面
減少工業(yè)網絡的攻擊面至關重要。這有助于最大限度縮短系統(tǒng)故障停機時間并迅速恢復���。企業(yè)需努力讓更少設備受到漏洞影響���,從而更好地保護系統(tǒng)。實現(xiàn)這一目標的常用策略是深度防御���。為實施這一策略���,我們建議采用符合“安全始于設計”理念的聯(lián)網設備,并構建分層網絡保護機制。工業(yè)運營商應選擇符合網絡安全標準(如 IEC 62443 和 NIST CSF)的聯(lián)網設備���。這些標準為關鍵資產、系統(tǒng)和組件提供了重要安全準則���,為資產所有者建設安全網絡基礎設施奠定了堅實基礎���。 盡管實施多層網絡保護益處良多,但許多工業(yè)組織仍因預算限制而難以付諸實踐���。
我們建議按照以下簡單的三步流程���,開啟您的工業(yè)網絡分層保護計劃。
現(xiàn)場設備保護: 聯(lián)網的關鍵資產若未得到妥善保護���,極易成為網絡攻擊的目標���。在關鍵資產前端部署工業(yè)入侵防御系統(tǒng) (IPS) 能夠及時有效阻斷已知惡意活動。此外���,這些 IPS 設備還可為無法打補丁的既有設備提供虛擬補丁���,從而增強現(xiàn)場設備的安全性���。
二層和三層分區(qū): 將網絡劃分為較小的聯(lián)網設備組并啟用訪問控制,即可降低未授權訪問的風險���。通過 VLAN 和網絡分區(qū)���,企業(yè)可按組管理網絡訪問和流量,確?��?尚磐ㄐ?��。
邊界防護: IT/OT 融合消除了工業(yè)網絡的物理隔離屏障。因此���,保護不同網絡之間的邊界是關鍵舉措���。部署工業(yè)防火墻可在 LAN 與 WAN、OT 與 IT 網絡之間建立安全的網絡分區(qū)���。根據安全需求和網絡規(guī)模���,工業(yè)防火墻還可對工業(yè)網絡內的應用進行微分區(qū)���。
這三個步驟為構建分層網絡保護機制奠定了良好基礎。根據工業(yè)應用的可訪問范圍���,企業(yè)還可以實施其他網絡安全措施。例如���,工程師需遠程訪問現(xiàn)場機器時���,VPN 安全隧道能最大限度減少潛在攻擊點。
考慮因素二:提升安全事件檢測效率
由于黑客們一直在試圖繞開分層網絡防御���,企業(yè)要想成功阻擊每一次攻擊頗具難度���。因此,網絡管理員需要全面掌握網絡運行狀況���,包括聯(lián)網設備狀態(tài)及網絡流量動態(tài)���。為快速識別安全漏洞,建議部署具備網絡狀態(tài)可視化、網絡設備和流量監(jiān)測及異常警報功能的網絡管理工具���。
同時���,可在關鍵資產前端配置入侵檢測系統(tǒng) (IDS) 等高級網絡安全解決方案,在不影響網絡正常運行的前提下���,及時檢測異?��;顒硬⑼ㄖ髽I(yè)運維人員,再由運維人員判斷是否需要采取進一步措施���。
考慮因素三:加速攻擊后的業(yè)務恢復
NIS2 指令將業(yè)務連續(xù)性列為網絡安全風險管理的關鍵措施之一3���。在遭受攻擊時,首要任務是控制損失���,維持業(yè)務運營���。為快速響應網絡攻擊并恢復運營,需建立完善的事件報告與恢復規(guī)劃機制���。其中���,網絡設備配置的備份對于攻擊后的高效恢復十分重要���,可最大程度減少重新配置的工作量。此外���,必須持續(xù)監(jiān)測網絡安全事件���,及時完成所有網絡設備的安全更新���,以防止類似攻擊再次發(fā)生���。部分網絡管理工具提供集中配置備份、大規(guī)模固件部署及網絡安全事件監(jiān)測儀表板等功能���,可幫助管理員大幅縮短網絡恢復時間���。合理選用這些工具能顯著提升恢復效率,確保網絡快速恢復正常運行���。
Moxa 安全聯(lián)網解決方案助您提升網絡韌性
為增強其網絡韌性���,工業(yè)組織需部署安全的工業(yè)網絡���,但要確保現(xiàn)有運營不受影響���,因此簡化安全網絡部署流程至關重要���。Moxa 提供安全聯(lián)網綜合解決方案,可顯著提升工業(yè)網絡安全性���,確保系統(tǒng)具備工業(yè)級可靠性���,并能擴展性能,應對未來挑戰(zhàn)���。Moxa 執(zhí)行安全開發(fā)生命周期 (SDL) 策略���,是最早通過 IEC 62443-4-1 認證的企業(yè)之一;多款聯(lián)網產品獲得 IEC 62443-4-2 認證���,進一步鞏固了其全球領先地位���。各項成就充分體現(xiàn)了 Moxa 致力于幫助客戶提升網絡設備安全性的承諾���。
Moxa 以太網交換機配備了安全加固功能,許多產品通過 IEC 62443-4-2 SL2 認證���,可為設備和網絡提供全方位保護���。同時,Moxa 安全路由器和工業(yè)防火墻集成了 IPS���、IDS、DPI���、VPN 等先進安全技術���,構建起分層網絡安全體系,為關鍵資產���、網絡基礎設施及網絡邊界筑牢安全防線���。此外���,Moxa 網絡管理軟件可清晰呈現(xiàn)網絡狀態(tài),顯示設備運行信息���,對異常情況發(fā)出實時警告���,并通過儀表板功能實現(xiàn)對安全事件的全程追蹤。
訪問 Moxa 微網站���,進一步了解 Moxa 面向未來的聯(lián)網解決方案���。