當前，工業(yè)企業(yè)正積極投身數(shù)位轉(zhuǎn)型，力求提升競爭優(yōu)勢，促進營收增長。轉(zhuǎn)型之路上，企業(yè)經(jīng)營者面臨的首要難題是將信息技術 (IT) 與操作技術 (OT) 基礎設施無縫融合。然而，簡化 IT/OT 集成系統(tǒng)的數(shù)據(jù)連接并非易事，企業(yè)常常會遇到各種各樣的問題，例如設備性能欠佳、網(wǎng)絡可視化程度低、現(xiàn)有 OT 網(wǎng)絡基礎設施安全性較差等。要構建可靠高效、易于維護的網(wǎng)絡，保障企業(yè)日常運行，必須做好全盤規(guī)劃。本文聚焦 OT 網(wǎng)絡安全的重要性，就增強工業(yè)運營網(wǎng)絡安全提供實用建議。

提高 OT 網(wǎng)絡安全為何勢在必行

如今，新型網(wǎng)絡安全威脅層出不窮，日益擾亂工業(yè)應用運行。這些威脅往往瞄準全球各行各業(yè)的關鍵基礎設施，例如能源 、交通 、給排水服務等。攻擊者一旦得手，將導致工業(yè)企業(yè)生產(chǎn)延誤或背負高昂的修復成本，給企業(yè)造成重大損失。在建立 IT/OT 融合網(wǎng)絡之前，企業(yè)首先要確定整個網(wǎng)絡的安全級別，并積極采取防護措施，降低潛在網(wǎng)絡攻擊對資產(chǎn)的殺傷力。如果網(wǎng)絡安全性能不佳，不法分子就有可能趁機訪問關鍵資產(chǎn)，侵入集成系統(tǒng)。

然而，加強 OT 網(wǎng)絡安全實屬不易。IT 安全解決方案必須經(jīng)常更新迭代，才能抵御不斷演變的網(wǎng)絡威脅，但更新時往往需要切斷網(wǎng)絡服務和系統(tǒng)運行，而 OT 運行無法承受由此帶來的損失。因此，企業(yè)經(jīng)營者必須采取以 OT 為中心的網(wǎng)絡安全方案，在不影響網(wǎng)絡或運營連續(xù)性的前提下，有效保護工業(yè)網(wǎng)絡安全。

筑牢 OT 網(wǎng)絡安全的三大步驟

只有正確構建工業(yè)網(wǎng)絡才能保障網(wǎng)絡安全，其中的關鍵是有序落實多層防御策略。

第一步：部署安全聯(lián)網(wǎng)設備，夯實網(wǎng)絡安全基石

要構建安全基礎網(wǎng)，首先要選擇安全可靠的設備。面對日益猖獗的網(wǎng)絡威脅，業(yè)界制定了全面的 OT 網(wǎng)絡安全標準。其中，NIST CSF、IEC 62443 等工業(yè)網(wǎng)絡安全標準為保護關鍵資產(chǎn)、系統(tǒng)和組件提供了安全指南。通過執(zhí)行工業(yè)網(wǎng)絡安全標準，并使用依照這些標準設計的聯(lián)網(wǎng)設備，可為構建安全基礎網(wǎng)奠定堅實基礎。

第二步：部署以 OT 為中心的分層保護機制

深度防御的理念是通過在各層級實施網(wǎng)絡安全措施，提供多層次保護，以降低安全風險。即便攻擊者突破了某一層防線，其他層級的保護機制仍可阻止攻擊者進一步侵入網(wǎng)絡。此外，系統(tǒng)可在監(jiān)測到安全事件后立即發(fā)出警報，幫助用戶及時應對潛在威脅，緩釋風險。

目前，有兩種重要的 OT 網(wǎng)絡安全解決方案可用于為 OT 網(wǎng)絡和基礎設施構建多層網(wǎng)絡保護機制，分別為工業(yè)防火墻和安全路由器。

工業(yè)防火墻保護關鍵資產(chǎn)安全

工業(yè)防火墻能建立安全的網(wǎng)絡區(qū)域，全面防范潛在威脅，高效保護關鍵資產(chǎn)。如今，任何聯(lián)網(wǎng)設備都可能成為網(wǎng)絡威脅的目標，因此必須部署具備強大流量過濾功能的防火墻，以便管理員為整個網(wǎng)絡設置安全通道。新一代防火墻具有入侵檢測/防御系統(tǒng) (IDS/IPS)、深層數(shù)據(jù)包檢測 (DPI) 等高級安全功能，可主動檢測并阻止外部威脅，防止攻擊者侵入網(wǎng)絡。

適用 OT 環(huán)境的高級安全功能可有效維護無縫通信，使工業(yè)運營時間最大化。例如，支持工業(yè)協(xié)議的 OT 專用 DPI 技術可檢測并阻止未經(jīng)授權的數(shù)據(jù)傳輸，保障工業(yè)協(xié)議通信安全。此外，工業(yè)級 IPS 系統(tǒng)支持虛擬補丁，可防止目前所知的最新威脅侵入關鍵資產(chǎn)和既有設備，且不影響網(wǎng)絡運行時間。IPS 系統(tǒng)專為工業(yè)應用設計，能對 PLC、HMI 等常用現(xiàn)場設備進行基于模式的檢測。

工業(yè)級安全路由器加固網(wǎng)絡邊界

IT/OT 融合網(wǎng)絡必須依靠復雜的多層工業(yè)基礎網(wǎng)，才能將海量現(xiàn)場數(shù)據(jù)傳輸至控制中心。通過在不同網(wǎng)絡之間部署強大的工業(yè)級安全路由器，可以加固網(wǎng)絡邊界，并保持網(wǎng)絡性能穩(wěn)定。安全路由器內(nèi)置防火墻、NAT 等高級安全功能，支持管理員建立安全網(wǎng)絡分區(qū)，實現(xiàn)跨區(qū)域數(shù)據(jù)路由。優(yōu)越的工業(yè)級安全路由器還具備千兆級交換和路由功能，并設有冗余機制，可保障網(wǎng)絡內(nèi)部和跨網(wǎng)絡通信穩(wěn)定，有效提高網(wǎng)絡性能。

同時，通過遠程訪問維護關鍵資產(chǎn)和網(wǎng)絡的需求與日俱增。運維工程師和網(wǎng)絡管理員可借助支持 VPN 功能的工業(yè)級安全路由器，通過安全隧道遠程訪問專用網(wǎng)絡，更高效地開展遠程管理。

第三步：監(jiān)測網(wǎng)絡狀態(tài)，識別網(wǎng)絡威脅

部署安全的工業(yè)網(wǎng)絡只是構建網(wǎng)絡安全屏障的第一步。在日常運營中，網(wǎng)絡管理員還要投入大量時間和精力來提高網(wǎng)絡可視性，監(jiān)控流量，管理無數(shù)聯(lián)網(wǎng)設備。集中式網(wǎng)絡管理平臺能實現(xiàn)全網(wǎng)可視化，簡化設備管理，從而極大提高操作效率，以便網(wǎng)絡管理員將更多資源用于提高網(wǎng)絡和設備安全。

此外，網(wǎng)絡安全解決方案的集中式網(wǎng)絡安全管理平臺還可從更多方面提升效率。這類軟件支持管理員批量部署防火墻策略，監(jiān)控網(wǎng)絡威脅，并在檢測到威脅后生成通知。網(wǎng)絡安全解決方案搭配適當?shù)墓芾碥浖?，將極大協(xié)助管理員從全局視角監(jiān)測和識別威脅。

Moxa 助您構建面向未來的網(wǎng)絡安全屏障

網(wǎng)絡安全對于工業(yè)網(wǎng)絡基礎設施至關重要。Moxa 依托超過 35 年的工業(yè)聯(lián)網(wǎng)經(jīng)驗，打造出全套以 OT 為中心的網(wǎng)絡安全產(chǎn)品組合，助力客戶筑牢安全屏障，并將網(wǎng)絡運行時間最大化。我們的工業(yè)連接和聯(lián)網(wǎng)解決方案通過 IEC 62443-4-1 認證，產(chǎn)品開發(fā)遵循 IEC 62443-4-2 標準的安全原則，旨在為用戶提供保障工業(yè)應用設備安全的重要工具。

隨著網(wǎng)絡威脅日益嚴峻，我們的 OT 網(wǎng)絡安全解決方案將保護工業(yè)網(wǎng)絡免遭侵入，同時最大限度提高運行時間。我們的網(wǎng)絡管理軟件可有效簡化聯(lián)網(wǎng)設備和 OT 網(wǎng)絡安全解決方案管理，方便管理員輕松監(jiān)測網(wǎng)絡安全狀態(tài)，管控網(wǎng)絡威脅。