隨著 OT/IT 融合的趨勢不斷普及，幾乎所有工業(yè)企業(yè)都開始著手加固網絡安全，采取預防措施保障正常運營。企業(yè)之所以這么做，主要是因為關鍵基礎設施和生產設備更容易成為網絡攻擊的目標。這并不是在杞人憂天。我們?？吹竭@樣的新聞：某家企業(yè)由于遭受網絡攻擊，停產一天（甚至更久）。網絡攻擊不但會帶來資金損失，還有可能會讓公司成為新聞焦點，損害公司聲譽。勒索軟件攻擊的目標也在日益擴大，即使是已經采取預防措施的大型企業(yè)也難以幸免。這些攻擊事件表明，如今高度互聯(lián)的世界充滿風險，沒有任何機構可以高枕無憂。

毫無疑問，首席安全官 (CSO) 和首席信息安全官 (CISO) 亟需進一步理解 OT 環(huán)境，以及如何在不干擾正常生產運營的前提下有效部署網絡安全措施。這是個十分復雜的問題，公司在決定采用哪些措施和架構之前需要審慎考慮。本文將探討當前最常用的兩個安全架構并提供實用建議，幫助工業(yè)企業(yè)更好地將這些架構應用于各自的 OT 環(huán)境。

深度防御與零信任架構

根據(jù)美國國家標準與技術研究院 (NIST) 特刊 800-207，零信任架構的關鍵在于為需要操作網絡的人員開放最低限度的訪問權限。我們可以讓有正當事由的人員訪問網絡，但沒有必要授予無限制訪問權限讓他們自由訪問所有網絡，因為這會增加網絡遭遇攻擊的概率。零信任架構則可以規(guī)避這一點。

我們還可以采取深度防御策略，其中包括多層安全防護，為生產運營網絡安全保駕護航。深度防御背后的原理是，即使第一層防護失效，還有第二次機會來保護其他區(qū)域和線路免受侵害。網絡安全標準 IEC 62443 建議，部署深度防御時應根據(jù)所需防護等級為網絡分區(qū)。每個分區(qū)叫做區(qū)域 (Zone)，區(qū)域內的所有通信設備同屬一個安全等級，也就是說他們的防護等級相同。如果想要進一步加強保護，還可以將一個區(qū)域置于另一個具備額外安全措施的區(qū)域內。

將上述兩個措施結合起來，我們可以在多層保護的基礎上進行生產運營，再利用零信任策略，確保根據(jù)具體情況授予有限的訪問權限，進一步增強網絡安全。對這兩種措施進行分析可以看出，網絡安全問題沒有絕佳方案，需要多角度全面考慮，確保網絡安全無虞。

零信任與深度防御網絡應用示例

提高網絡安全意識

除了應用零信任架構和深度防御網絡以外，提高各部門的網絡安全意識、確保所有團隊成員以同樣的理念看待網絡安全也十分重要。應鼓勵員工了解遵循技術安全要求的益處，從而提高他們遵守安全指南的意愿。

這需要：

統(tǒng)籌協(xié)調安全響應及網絡監(jiān)管

假設所有設備和網絡都會遭受攻擊，為最壞的情況做準備

確保具備強大的恢復能力和響應流程

對用戶和網絡設備執(zhí)行嚴格的授權認證

用戶憑證泄露是工業(yè)網絡面臨的一大險境。如果網絡訪問沒有遵循零信任原則，入侵者可能只需要一條用戶憑證就可以訪問整個網絡。但在零信任網絡架構中，入侵者需要同時獲得設備訪問控制和用戶授權認證才能訪問網絡。此外，還可以利用信任列表對網絡進行更精細的控制。

設備訪問控制

通過信任列表、速率控制和故障注銷，可以只允許配備安全啟動功能的受信設備訪問網絡設備，防止遭受暴力破解和其他依靠反復嘗試達成的網絡攻擊。

用戶授權認證

登錄設備時驗證用戶憑證，網絡設備即可記錄所有用戶的訪問嘗試，并根據(jù)不同職位開放最低限度的訪問權限。

信任列表

如果企業(yè)想要加強網絡安全，信任列表是控制網絡流量的好方法。常用做法是為 IP 地址和設備端口建立信任列表，利用深層數(shù)據(jù)包檢測技術精準控制讀寫權限等網絡訪問行為。

利用網絡分區(qū)構建深度防御

遠程連接是工業(yè)控制系統(tǒng)的關鍵組成部分，必須有效管理。同時，內部威脅也會給網絡帶來風險。必須采取措施減少遠程連接和內部威脅造成的風險。恰當?shù)木W絡分區(qū)能防止侵害遠程連接的入侵者和威脅系統(tǒng)安全的內部人員訪問整個網絡。

網絡分區(qū)

網絡分區(qū)可以防止惡意數(shù)據(jù)在網絡中橫向移動。企業(yè)通常會在 IT 和 OT 網絡之間部署防火墻，創(chuàng)建高級別網絡分區(qū)。然而，如果網絡沒有正確分區(qū)，一旦攻擊者獲得用戶憑證，就很有可能有權訪問 OT 網絡及其中的設備。有許多手段能幫助實現(xiàn)網絡分區(qū)，部署防火墻就是其中之一。防火墻的優(yōu)勢之一在于它能幫助管理員為網絡分區(qū)，只有通過許可的數(shù)據(jù)才能在區(qū)域之間傳輸。此外，利用 IP 地址、經授權訪問啟用端口等安全策略和規(guī)則，能將網絡劃分為更小、更易管理的區(qū)域，確保只有特定數(shù)據(jù)能進入網絡。

網絡微分區(qū)

運動控制器是工業(yè)控制系統(tǒng)的關鍵資產之一。如果這些關鍵資產受到攻擊，企業(yè)生產可能會陷入停滯，甚至導致威脅人員生命安全等嚴重損害。因此，資產所有者應部署工業(yè)入侵防御系統(tǒng)，將網絡攻擊影響控制在遭受襲擊的區(qū)域內，從而保護關鍵資產。

此外，持續(xù)監(jiān)控網絡中用戶和設備的異常行為能阻止攻擊擴散，有利于專業(yè)人員快速恢復網絡。

選擇 Moxa 網絡安全解決方案，筑牢網絡安全防線 作為 35 年持續(xù)領跑工業(yè)網絡行業(yè)的先鋒，Moxa 致力于開發(fā)安全可靠的網絡解決方案，主動識別和消除 OT 環(huán)境中的網絡威脅。Moxa 信守承諾，嚴格遵守“安全始于設計”原則，根據(jù)網絡安全標準 IEC 62443-4-2 開發(fā)具備安全功能的網絡設備。實用的安全功能可以幫助企業(yè)建立零信任網絡。同時，Moxa 利用分布式 OT 入侵系統(tǒng)和具備深層 OT 數(shù)據(jù)包檢測功能的工業(yè)安全路由器打造深度防御工業(yè)網絡。

了解 Moxa 網絡安全解決方案的更多信息，請訪問 Moxa微網站。