實(shí)施網(wǎng)絡(luò)安全計(jì)劃需要有明確的議程并了解其可用的工具。本文重點(diǎn)介紹四種網(wǎng)絡(luò)安全方法和策略。

　　隨著越來(lái)越多的設(shè)備容易受到攻擊，制造企業(yè)需要有一個(gè)強(qiáng)大而連貫的網(wǎng)絡(luò)安全議程。但負(fù)責(zé)工業(yè)網(wǎng)絡(luò)網(wǎng)絡(luò)安全的人似乎被拉到了相反的方向。每個(gè)月都有多個(gè)與運(yùn)營(yíng)技術(shù)(OT)相關(guān)的網(wǎng)絡(luò)安全漏洞被發(fā)布到美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)等地方，該機(jī)構(gòu)要求專(zhuān)業(yè)人士確保其網(wǎng)絡(luò)免受威脅。

　　每個(gè)月，企業(yè)都會(huì)提出新的要求或倡議，以使這些網(wǎng)絡(luò)能夠用于工業(yè)4.0、智能制造或安裝工業(yè)物聯(lián)網(wǎng)(IIoT)解決方案。那些負(fù)責(zé)網(wǎng)絡(luò)安全的人員如何在滿(mǎn)足企業(yè)需求的同時(shí)，致力于減輕其工作環(huán)境中的已有風(fēng)險(xiǎn)和新風(fēng)險(xiǎn)?以下是企業(yè)應(yīng)該考慮實(shí)施的四種網(wǎng)絡(luò)安全方法和注意事項(xiàng)。

　　01 理解或制定規(guī)則

　　了解誰(shuí)對(duì)企業(yè)內(nèi)的工業(yè)網(wǎng)絡(luò)負(fù)責(zé)很重要。是企業(yè)IT人員、現(xiàn)場(chǎng)工程師還是專(zhuān)職OT員工?這種報(bào)告結(jié)構(gòu)如何與CIO或CISO負(fù)責(zé)的更大范圍的企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)聯(lián)?對(duì)功能網(wǎng)絡(luò)感興趣的其它利益相關(guān)者是誰(shuí)?他們?nèi)绾翁峁┹斎牖螂S時(shí)了解變化?工業(yè)網(wǎng)絡(luò)必須遵守哪些控制、標(biāo)準(zhǔn)或要求?

　　現(xiàn)在，工業(yè)網(wǎng)絡(luò)不再僅僅是設(shè)備之間進(jìn)行過(guò)程控制通信的一種手段，每個(gè)群體都有自己的優(yōu)先級(jí)，需求的數(shù)量也在增加。由于變化帶來(lái)的潛在影響，在制定網(wǎng)絡(luò)安全戰(zhàn)略時(shí)，必須考慮所有這些問(wèn)題。如果這些問(wèn)題沒(méi)有即時(shí)和書(shū)面的答案，在開(kāi)展進(jìn)一步工作之前，企業(yè)需要花時(shí)間解決這些問(wèn)題，這一點(diǎn)很重要。

　　02 評(píng)估當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)

　　很多網(wǎng)絡(luò)安全解決方案，如入侵檢測(cè)系統(tǒng)(IDS)，要求網(wǎng)絡(luò)基礎(chǔ)設(shè)施具有僅存在于可配置或管理的交換機(jī)中的能力或功能。與網(wǎng)絡(luò)隔離或分段相關(guān)的舉措需要交換機(jī)，該硬件不僅僅是允許設(shè)備A與設(shè)備B通信那么簡(jiǎn)單。在啟動(dòng)任何引入新網(wǎng)絡(luò)安全解決方案或改變網(wǎng)絡(luò)架構(gòu)的項(xiàng)目之前，請(qǐng)盤(pán)點(diǎn)工業(yè)網(wǎng)絡(luò)中安裝的網(wǎng)絡(luò)交換機(jī)和防火墻。不要忘記查看機(jī)器設(shè)備網(wǎng)絡(luò)，因?yàn)樗鼈兛赡苁桥c工業(yè)4.0或IIoT相關(guān)的未來(lái)項(xiàng)目的目標(biāo)。

　　在評(píng)估時(shí)，請(qǐng)考慮有多少物理端口可用，它是否處于有效的保修或支持合同之下，它具有哪些功能，以及當(dāng)前如何管理它們。如果在某個(gè)位置發(fā)現(xiàn)一個(gè)交換機(jī)，端口已經(jīng)完全使用，并且不支持遠(yuǎn)程管理或虛擬局域網(wǎng)(VLAN)等功能，那么從工程師和網(wǎng)絡(luò)安全團(tuán)隊(duì)的計(jì)劃中了解即將到來(lái)的項(xiàng)目，可能會(huì)決定需要安裝的交換機(jī)類(lèi)型。如果不知道目前的狀況以及未來(lái)需要什么，那么不合適的升級(jí)或更換可能會(huì)浪費(fèi)大量的時(shí)間和成本。

　　03 展望未來(lái)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施

　　基于當(dāng)今環(huán)境實(shí)施網(wǎng)絡(luò)安全解決方案有時(shí)并不是最佳方案。企業(yè)需要花時(shí)間展望未來(lái)，并了解在未來(lái)一年、三年或五年內(nèi)，控制系統(tǒng)中可能增加的新技術(shù)和解決方案，將如何影響運(yùn)營(yíng)這些系統(tǒng)所需的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。工業(yè)網(wǎng)絡(luò)也不僅僅是以太網(wǎng)和IEEE 802.11無(wú)線網(wǎng)絡(luò)。至關(guān)重要的是，網(wǎng)絡(luò)安全計(jì)劃和考慮事項(xiàng)中應(yīng)包括運(yùn)營(yíng)中涉及的所有網(wǎng)絡(luò)，包括蜂窩、LoRaWAN、藍(lán)牙低能耗(BLE)和任何供應(yīng)商專(zhuān)有協(xié)議。

　　由于使用基于云的服務(wù)、在IT網(wǎng)絡(luò)中運(yùn)行的分析包以及直接連接到供應(yīng)商系統(tǒng)或平臺(tái)的第三方服務(wù)，入站和出站連接的數(shù)量將增加。今天設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全策略而不考慮與基于互聯(lián)網(wǎng)的服務(wù)的交互，未來(lái)肯定會(huì)引起麻煩。因此，必須確定所有工業(yè)網(wǎng)絡(luò)利益相關(guān)者，并讓他們參與進(jìn)來(lái)。

　　04 考慮網(wǎng)絡(luò)安全功能

　　如果沒(méi)有適當(dāng)?shù)膶?shí)施、支持和維護(hù)，即使是最先進(jìn)和最強(qiáng)大的網(wǎng)絡(luò)安全解決方案也毫無(wú)價(jià)值。

　　作為任何解決方案評(píng)估過(guò)程的一部分，企業(yè)必須考慮誰(shuí)來(lái)運(yùn)營(yíng)以及如何運(yùn)營(yíng)。組織是否愿意派遣人員進(jìn)行培訓(xùn)，或雇傭具有管理和維護(hù)新實(shí)施的網(wǎng)絡(luò)安全工具的經(jīng)驗(yàn)和能力的新員工?他們是否為正在進(jìn)行的支持合同編制了預(yù)算?當(dāng)解決方案在凌晨2點(diǎn)檢測(cè)到關(guān)鍵事件時(shí)，預(yù)期的響應(yīng)是什么?當(dāng)實(shí)施網(wǎng)絡(luò)安全解決方案時(shí)，控制環(huán)境中工作的員工將承擔(dān)哪些新的責(zé)任和期望?

　　在開(kāi)始評(píng)估網(wǎng)絡(luò)安全產(chǎn)品或解決方案之前就這些問(wèn)題達(dá)成一致，可以幫助企業(yè)快速過(guò)濾掉那些與組織計(jì)劃不一致的產(chǎn)品。

　　05 提高網(wǎng)絡(luò)安全的重要工具

　　除了基本策略之外，還有一些策略可以幫助企業(yè)在短期和長(zhǎng)期內(nèi)改善網(wǎng)絡(luò)安全態(tài)勢(shì)。

　　■ 網(wǎng)絡(luò)分段。如果現(xiàn)在運(yùn)行的工業(yè)網(wǎng)絡(luò)，在機(jī)器、區(qū)域或功能之間的分段有限，那么加強(qiáng)網(wǎng)絡(luò)安全的良好開(kāi)端可能是在網(wǎng)絡(luò)中創(chuàng)建更多的分段，以限制不必要的通信。除了減少發(fā)送到所有設(shè)備的廣播消息的數(shù)量之外，分段可能是防火墻解決方案的先決條件，也是安全方法(如ISA/IEC 62443)中的一個(gè)考慮因素。如果使用的交換機(jī)不支持VLAN等功能，則可能需要升級(jí)交換機(jī)硬件。

　　■ 防火墻。在工業(yè)和辦公網(wǎng)絡(luò)之間設(shè)置防火墻，是限制設(shè)備通信路徑的第一步。在考慮防火墻時(shí)，請(qǐng)尋找那些了解內(nèi)置工業(yè)協(xié)議的防火墻，并根據(jù)未來(lái)所需的帶寬和連接數(shù)量對(duì)其進(jìn)行調(diào)整。應(yīng)計(jì)劃在工業(yè)和辦公網(wǎng)絡(luò)的連接之間設(shè)置防火墻，以盡量減少中斷，在開(kāi)始執(zhí)行規(guī)則和阻止未定義的通信時(shí)必須小心。防火墻還可以用作一種安全訪問(wèn)手段：通過(guò)使用虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)功能，從外部提供對(duì)工業(yè)網(wǎng)絡(luò)的安全訪問(wèn)。這將允許去除現(xiàn)有的遠(yuǎn)程訪問(wèn)技術(shù)，并將其整合為一個(gè)集中且可管理的方法。

　　■ 入侵檢測(cè)/預(yù)防系統(tǒng)。實(shí)施入侵檢測(cè)或入侵預(yù)防系統(tǒng)(IDS/IPS)有許多不同的方法。通常，這些解決方案將分析網(wǎng)絡(luò)通信，并對(duì)未知、意外或預(yù)定義的活動(dòng)發(fā)出報(bào)警。對(duì)于人機(jī)界面(HMI)和監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)，如果軟件不與系統(tǒng)運(yùn)行能力沖突，則也可將基于主機(jī)的方法納入解決方案。一些新產(chǎn)品包括更先進(jìn)的學(xué)習(xí)功能，使它們能夠了解環(huán)境中的正常通信，從而可以對(duì)可疑行為報(bào)警。根據(jù)IDS/IPS的提供方式，可能需要網(wǎng)絡(luò)通信數(shù)據(jù)、網(wǎng)絡(luò)交換機(jī)變更或添加網(wǎng)絡(luò)接頭，并應(yīng)與解決方案供應(yīng)商討論。

　　■ 軟件定義網(wǎng)絡(luò)(SDN)。對(duì)于希望對(duì)設(shè)備間通信實(shí)施更細(xì)粒度控制的企業(yè)來(lái)說(shuō)，軟件定義網(wǎng)絡(luò)可能是個(gè)選擇。每個(gè)設(shè)備或設(shè)備組只能通過(guò)配置定義的特定端口或協(xié)議進(jìn)行通信。此解決方案的實(shí)施可能需要新的交換機(jī)和控制器，但從安全角度來(lái)看，收益將遠(yuǎn)遠(yuǎn)大于投入。

　　在安全性和必要性以及可接受的風(fēng)險(xiǎn)之間，找到合適的平衡點(diǎn)，對(duì)于每個(gè)企業(yè)來(lái)說(shuō)都是不同的。隨著對(duì)工業(yè)網(wǎng)絡(luò)的攻擊越來(lái)越多、越來(lái)越復(fù)雜，如何把握這一界限，從未像現(xiàn)在這樣關(guān)鍵和具有挑戰(zhàn)性。本文列出的方法和注意事項(xiàng)，可以作為指南、查找差距的方法和對(duì)話的起點(diǎn)。這兩個(gè)優(yōu)先事項(xiàng)之間始終存在沖突，那些能夠管理好它們的企業(yè)，將永遠(yuǎn)不會(huì)停止評(píng)估和創(chuàng)新其網(wǎng)絡(luò)安全解決方案。(作者：Alan Raveling)

　　關(guān)鍵概念：

　　■ 由于越來(lái)越多的設(shè)備容易受到攻擊，企業(yè)需要制定一個(gè)強(qiáng)有力的、連貫的網(wǎng)絡(luò)安全議程。

　　■ 評(píng)估網(wǎng)絡(luò)安全計(jì)劃的現(xiàn)狀和展望未來(lái)至關(guān)重要。

　　思考一下：

　　您做了哪些工作來(lái)改善網(wǎng)絡(luò)安全狀況?