工控網(wǎng)首頁
>

應用設計

>

提升工業(yè)網(wǎng)絡安全,輕松應對未來挑戰(zhàn)

提升工業(yè)網(wǎng)絡安全,輕松應對未來挑戰(zhàn)

摩莎1.png

當前,工業(yè)企業(yè)正積極投身數(shù)位轉型,力求提升競爭優(yōu)勢,促進營收增長。轉型之路上,企業(yè)經(jīng)營者面臨的首要難題是將信息技術 (IT) 與操作技術 (OT) 基礎設施無縫融合。然而,簡化 IT/OT 集成系統(tǒng)的數(shù)據(jù)連接并非易事,企業(yè)常常會遇到各種各樣的問題,例如設備性能欠佳、網(wǎng)絡可視化程度低、現(xiàn)有 OT 網(wǎng)絡基礎設施安全性較差等。要構建可靠高效、易于維護的網(wǎng)絡,保障企業(yè)日常運行,必須做好全盤規(guī)劃。本文聚焦 OT 網(wǎng)絡安全的重要性,就增強工業(yè)運營網(wǎng)絡安全提供實用建議。

提高 OT 網(wǎng)絡安全為何勢在必行

如今,新型網(wǎng)絡安全威脅層出不窮,日益擾亂工業(yè)應用運行。這些威脅往往瞄準全球各行各業(yè)的關鍵基礎設施,例如能源1 、交通2 、給排水服務3 等。攻擊者一旦得手,將導致工業(yè)企業(yè)生產延誤或背負高昂的修復成本,給企業(yè)造成重大損失。在建立 IT/OT 融合網(wǎng)絡之前,企業(yè)首先要確定整個網(wǎng)絡的安全級別,并積極采取防護措施,降低潛在網(wǎng)絡攻擊對資產的殺傷力。如果網(wǎng)絡安全性能不佳,不法分子就有可能趁機訪問關鍵資產,侵入集成系統(tǒng)。

然而,加強 OT 網(wǎng)絡安全實屬不易。IT 安全解決方案必須經(jīng)常更新迭代,才能抵御不斷演變的網(wǎng)絡威脅,但更新時往往需要切斷網(wǎng)絡服務和系統(tǒng)運行,而 OT 運行無法承受由此帶來的損失。因此,企業(yè)經(jīng)營者必須采取以 OT 為中心的網(wǎng)絡安全方案,在不影響網(wǎng)絡或運營連續(xù)性的前提下,有效保護工業(yè)網(wǎng)絡安全。

筑牢 OT 網(wǎng)絡安全的三大步驟

只有正確構建工業(yè)網(wǎng)絡才能保障網(wǎng)絡安全,其中的關鍵是有序落實多層防御策略。

第一步:部署安全聯(lián)網(wǎng)設備,夯實網(wǎng)絡安全基石

要構建安全基礎網(wǎng),首先要選擇安全可靠的設備。面對日益猖獗的網(wǎng)絡威脅,業(yè)界制定了全面的 OT 網(wǎng)絡安全標準。其中,NIST CSF、IEC 62443 等工業(yè)網(wǎng)絡安全標準為保護關鍵資產、系統(tǒng)和組件提供了安全指南。通過執(zhí)行工業(yè)網(wǎng)絡安全標準,并使用依照這些標準設計的聯(lián)網(wǎng)設備,可為構建安全基礎網(wǎng)奠定堅實基礎。

點此了解如何依照 IEC 62443 標準提升工業(yè)網(wǎng)絡安全。

第二步:部署以 OT 為中心的分層保護機制

深度防御的理念是通過在各層級實施網(wǎng)絡安全措施,提供多層次保護,以降低安全風險。即便攻擊者突破了某一層防線,其他層級的保護機制仍可阻止攻擊者進一步侵入網(wǎng)絡。此外,系統(tǒng)可在監(jiān)測到安全事件后立即發(fā)出警報,幫助用戶及時應對潛在威脅,緩釋風險。

目前,有兩種重要的 OT 網(wǎng)絡安全解決方案可用于為 OT 網(wǎng)絡和基礎設施構建多層網(wǎng)絡保護機制,分別為工業(yè)防火墻和安全路由器。

摩莎2.png

工業(yè)防火墻保護關鍵資產安全

工業(yè)防火墻能建立安全的網(wǎng)絡區(qū)域,全面防范潛在威脅,高效保護關鍵資產。如今,任何聯(lián)網(wǎng)設備都可能成為網(wǎng)絡威脅的目標,因此必須部署具備強大流量過濾功能的防火墻,以便管理員為整個網(wǎng)絡設置安全通道。新一代防火墻具有入侵檢測/防御系統(tǒng) (IDS/IPS)、深層數(shù)據(jù)包檢測 (DPI) 等高級安全功能,可主動檢測并阻止外部威脅,防止攻擊者侵入網(wǎng)絡。

適用 OT 環(huán)境的高級安全功能可有效維護無縫通信,使工業(yè)運營時間最大化。例如,支持工業(yè)協(xié)議的 OT 專用 DPI 技術可檢測并阻止未經(jīng)授權的數(shù)據(jù)傳輸,保障工業(yè)協(xié)議通信安全。此外,工業(yè)級 IPS 系統(tǒng)支持虛擬補丁,可防止目前所知的最新威脅侵入關鍵資產和既有設備,且不影響網(wǎng)絡運行時間。IPS 系統(tǒng)專為工業(yè)應用設計,能對 PLC、HMI 等常用現(xiàn)場設備進行基于模式的檢測。

工業(yè)級安全路由器加固網(wǎng)絡邊界

IT/OT 融合網(wǎng)絡必須依靠復雜的多層工業(yè)基礎網(wǎng),才能將海量現(xiàn)場數(shù)據(jù)傳輸至控制中心。通過在不同網(wǎng)絡之間部署強大的工業(yè)級安全路由器,可以加固網(wǎng)絡邊界,并保持網(wǎng)絡性能穩(wěn)定。安全路由器內置防火墻、NAT 等高級安全功能,支持管理員建立安全網(wǎng)絡分區(qū),實現(xiàn)跨區(qū)域數(shù)據(jù)路由。優(yōu)越的工業(yè)級安全路由器還具備千兆級交換和路由功能,并設有冗余機制,可保障網(wǎng)絡內部和跨網(wǎng)絡通信穩(wěn)定,有效提高網(wǎng)絡性能。

同時,通過遠程訪問維護關鍵資產和網(wǎng)絡的需求與日俱增。運維工程師和網(wǎng)絡管理員可借助支持 VPN 功能的工業(yè)級安全路由器,通過安全隧道遠程訪問專用網(wǎng)絡,更高效地開展遠程管理。

第三步:監(jiān)測網(wǎng)絡狀態(tài),識別網(wǎng)絡威脅

部署安全的工業(yè)網(wǎng)絡只是構建網(wǎng)絡安全屏障的第一步。在日常運營中,網(wǎng)絡管理員還要投入大量時間和精力來提高網(wǎng)絡可視性,監(jiān)控流量,管理無數(shù)聯(lián)網(wǎng)設備。集中式網(wǎng)絡管理平臺能實現(xiàn)全網(wǎng)可視化,簡化設備管理,從而極大提高操作效率,以便網(wǎng)絡管理員將更多資源用于提高網(wǎng)絡和設備安全。

此外,網(wǎng)絡安全解決方案的集中式網(wǎng)絡安全管理平臺還可從更多方面提升效率。這類軟件支持管理員批量部署防火墻策略,監(jiān)控網(wǎng)絡威脅,并在檢測到威脅后生成通知。網(wǎng)絡安全解決方案搭配適當?shù)墓芾碥浖瑢O大協(xié)助管理員從全局視角監(jiān)測和識別威脅。

Moxa 助您構建面向未來的網(wǎng)絡安全屏障

網(wǎng)絡安全對于工業(yè)網(wǎng)絡基礎設施至關重要。Moxa 依托超過 35 年的工業(yè)聯(lián)網(wǎng)經(jīng)驗,打造出全套以 OT 為中心的網(wǎng)絡安全產品組合,助力客戶筑牢安全屏障,并將網(wǎng)絡運行時間最大化。我們的工業(yè)連接和聯(lián)網(wǎng)解決方案通過 IEC 62443-4-1 認證,產品開發(fā)遵循 IEC 62443-4-2 標準的安全原則,旨在為用戶提供保障工業(yè)應用設備安全的重要工具。

隨著網(wǎng)絡威脅日益嚴峻,我們的 OT 網(wǎng)絡安全解決方案將保護工業(yè)網(wǎng)絡免遭侵入,同時最大限度提高運行時間。我們的網(wǎng)絡管理軟件可有效簡化聯(lián)網(wǎng)設備和 OT 網(wǎng)絡安全解決方案管理,方便管理員輕松監(jiān)測網(wǎng)絡安全狀態(tài),管控網(wǎng)絡威脅。

訪問 Moxa 微網(wǎng)站,了解我們面向未來的聯(lián)網(wǎng)產品組合如何助您筑牢網(wǎng)絡安全屏障,輕松應對當前和未來挑戰(zhàn)。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

Moxa 推出無懼嚴苛工業(yè)環(huán)境、持久可靠運行的強固型 MPC-3000 系列平板計算機

通往 IEC 61850 智能電網(wǎng)之路在哪里?

體驗未來工業(yè)網(wǎng)絡 解鎖無限發(fā)展機遇 | Moxa

CANbus“全能王”:Yes We CAN! | Moxa

下一代 LAN 防火墻如何保障工業(yè)網(wǎng)絡安全穩(wěn)定運行