X保護-適應-發(fā)展:強化網(wǎng)絡安全,提升企業(yè)韌性
簡化 IT/OT 系統(tǒng)已成為工業(yè)運營商提升績效、獲取競爭優(yōu)勢的關(guān)鍵策略。然而,隨著 IT/OT 的融合,尤其是現(xiàn)場設備接入網(wǎng)絡,安全風險也不斷增加。工業(yè)系統(tǒng)易受網(wǎng)絡攻擊的主要原因包括既有設備存在安全漏洞(如默認設置不安全或采用傳統(tǒng)通信協(xié)議)、現(xiàn)場設備可視性不足以及 OT 網(wǎng)絡缺乏分區(qū)管理。在此背景下,強大的網(wǎng)絡韌性對于工業(yè)組織至關(guān)重要。加強網(wǎng)絡韌性不僅能有效降低安全風險,還將助力企業(yè)從 IT/OT 融合中獲益。若想深入了解如何在 IT/OT 融合系統(tǒng)中加強網(wǎng)絡安全,請點擊閱讀 專家文章。
鑒于網(wǎng)絡安全的重要性,各國政府實施的法規(guī)日趨嚴格,應對關(guān)鍵基礎(chǔ)設施日益遭受網(wǎng)絡攻擊的問題。這些法規(guī)要求工業(yè)組織采取網(wǎng)絡安全措施,減少單一安全事件對國家安全的影響。例如,歐盟的 NIS2 指令要求關(guān)鍵基礎(chǔ)設施和基礎(chǔ)服務運營商實施適當?shù)陌踩胧?,并向相關(guān)主管部門報告安全事件1。美國的《關(guān)鍵基礎(chǔ)設施網(wǎng)絡事件報告法》則要求關(guān)鍵基礎(chǔ)設施運營實體向網(wǎng)絡安全和基礎(chǔ)設施安全局報告重大網(wǎng)絡事件以及勒索軟件支付情況。2通過提升網(wǎng)絡韌性,工業(yè)運營商不僅能夠確保 IT/OT 融合系統(tǒng)的安全性,還能更好地適應動態(tài)環(huán)境并滿足政府法規(guī)的要求。
提升網(wǎng)絡韌性的三大網(wǎng)絡規(guī)劃考慮因素
企業(yè)韌性主要體現(xiàn)在經(jīng)歷意外中斷后能否快速響應并恢復,同時保障日常運營、保持品牌形象。要提升企業(yè)韌性,強化網(wǎng)絡韌性極為關(guān)鍵,確保企業(yè)能從網(wǎng)絡攻擊中迅速恢復。網(wǎng)絡韌性涵蓋了人員、策略和技術(shù)等多方面。從網(wǎng)絡規(guī)劃的角度來看,以下三點有助于增強企業(yè)的網(wǎng)絡韌性。
考慮因素一:盡可能縮小攻擊面
減少工業(yè)網(wǎng)絡的攻擊面至關(guān)重要。這有助于最大限度縮短系統(tǒng)故障停機時間并迅速恢復。企業(yè)需努力讓更少設備受到漏洞影響,從而更好地保護系統(tǒng)。實現(xiàn)這一目標的常用策略是深度防御。為實施這一策略,我們建議采用符合“安全始于設計”理念的聯(lián)網(wǎng)設備,并構(gòu)建分層網(wǎng)絡保護機制。工業(yè)運營商應選擇符合網(wǎng)絡安全標準(如 IEC 62443 和 NIST CSF)的聯(lián)網(wǎng)設備。這些標準為關(guān)鍵資產(chǎn)、系統(tǒng)和組件提供了重要安全準則,為資產(chǎn)所有者建設安全網(wǎng)絡基礎(chǔ)設施奠定了堅實基礎(chǔ)。 盡管實施多層網(wǎng)絡保護益處良多,但許多工業(yè)組織仍因預算限制而難以付諸實踐。
我們建議按照以下簡單的三步流程,開啟您的工業(yè)網(wǎng)絡分層保護計劃。
現(xiàn)場設備保護: 聯(lián)網(wǎng)的關(guān)鍵資產(chǎn)若未得到妥善保護,極易成為網(wǎng)絡攻擊的目標。在關(guān)鍵資產(chǎn)前端部署工業(yè)入侵防御系統(tǒng) (IPS) 能夠及時有效阻斷已知惡意活動。此外,這些 IPS 設備還可為無法打補丁的既有設備提供虛擬補丁,從而增強現(xiàn)場設備的安全性。
二層和三層分區(qū): 將網(wǎng)絡劃分為較小的聯(lián)網(wǎng)設備組并啟用訪問控制,即可降低未授權(quán)訪問的風險。通過 VLAN 和網(wǎng)絡分區(qū),企業(yè)可按組管理網(wǎng)絡訪問和流量,確??尚磐ㄐ拧?/p>
邊界防護: IT/OT 融合消除了工業(yè)網(wǎng)絡的物理隔離屏障。因此,保護不同網(wǎng)絡之間的邊界是關(guān)鍵舉措。部署工業(yè)防火墻可在 LAN 與 WAN、OT 與 IT 網(wǎng)絡之間建立安全的網(wǎng)絡分區(qū)。根據(jù)安全需求和網(wǎng)絡規(guī)模,工業(yè)防火墻還可對工業(yè)網(wǎng)絡內(nèi)的應用進行微分區(qū)。
這三個步驟為構(gòu)建分層網(wǎng)絡保護機制奠定了良好基礎(chǔ)。根據(jù)工業(yè)應用的可訪問范圍,企業(yè)還可以實施其他網(wǎng)絡安全措施。例如,工程師需遠程訪問現(xiàn)場機器時,VPN 安全隧道能最大限度減少潛在攻擊點。
考慮因素二:提升安全事件檢測效率
由于黑客們一直在試圖繞開分層網(wǎng)絡防御,企業(yè)要想成功阻擊每一次攻擊頗具難度。因此,網(wǎng)絡管理員需要全面掌握網(wǎng)絡運行狀況,包括聯(lián)網(wǎng)設備狀態(tài)及網(wǎng)絡流量動態(tài)。為快速識別安全漏洞,建議部署具備網(wǎng)絡狀態(tài)可視化、網(wǎng)絡設備和流量監(jiān)測及異常警報功能的網(wǎng)絡管理工具。
同時,可在關(guān)鍵資產(chǎn)前端配置入侵檢測系統(tǒng) (IDS) 等高級網(wǎng)絡安全解決方案,在不影響網(wǎng)絡正常運行的前提下,及時檢測異?;顒硬⑼ㄖ髽I(yè)運維人員,再由運維人員判斷是否需要采取進一步措施。
考慮因素三:加速攻擊后的業(yè)務恢復
NIS2 指令將業(yè)務連續(xù)性列為網(wǎng)絡安全風險管理的關(guān)鍵措施之一3。在遭受攻擊時,首要任務是控制損失,維持業(yè)務運營。為快速響應網(wǎng)絡攻擊并恢復運營,需建立完善的事件報告與恢復規(guī)劃機制。其中,網(wǎng)絡設備配置的備份對于攻擊后的高效恢復十分重要,可最大程度減少重新配置的工作量。此外,必須持續(xù)監(jiān)測網(wǎng)絡安全事件,及時完成所有網(wǎng)絡設備的安全更新,以防止類似攻擊再次發(fā)生。部分網(wǎng)絡管理工具提供集中配置備份、大規(guī)模固件部署及網(wǎng)絡安全事件監(jiān)測儀表板等功能,可幫助管理員大幅縮短網(wǎng)絡恢復時間。合理選用這些工具能顯著提升恢復效率,確保網(wǎng)絡快速恢復正常運行。
Moxa 安全聯(lián)網(wǎng)解決方案助您提升網(wǎng)絡韌性
為增強其網(wǎng)絡韌性,工業(yè)組織需部署安全的工業(yè)網(wǎng)絡,但要確保現(xiàn)有運營不受影響,因此簡化安全網(wǎng)絡部署流程至關(guān)重要。Moxa 提供安全聯(lián)網(wǎng)綜合解決方案,可顯著提升工業(yè)網(wǎng)絡安全性,確保系統(tǒng)具備工業(yè)級可靠性,并能擴展性能,應對未來挑戰(zhàn)。Moxa 執(zhí)行安全開發(fā)生命周期 (SDL) 策略,是最早通過 IEC 62443-4-1 認證的企業(yè)之一;多款聯(lián)網(wǎng)產(chǎn)品獲得 IEC 62443-4-2 認證,進一步鞏固了其全球領(lǐng)先地位。各項成就充分體現(xiàn)了 Moxa 致力于幫助客戶提升網(wǎng)絡設備安全性的承諾。
Moxa 以太網(wǎng)交換機配備了安全加固功能,許多產(chǎn)品通過 IEC 62443-4-2 SL2 認證,可為設備和網(wǎng)絡提供全方位保護。同時,Moxa 安全路由器和工業(yè)防火墻集成了 IPS、IDS、DPI、VPN 等先進安全技術(shù),構(gòu)建起分層網(wǎng)絡安全體系,為關(guān)鍵資產(chǎn)、網(wǎng)絡基礎(chǔ)設施及網(wǎng)絡邊界筑牢安全防線。此外,Moxa 網(wǎng)絡管理軟件可清晰呈現(xiàn)網(wǎng)絡狀態(tài),顯示設備運行信息,對異常情況發(fā)出實時警告,并通過儀表板功能實現(xiàn)對安全事件的全程追蹤。
訪問 Moxa 微網(wǎng)站,進一步了解 Moxa 面向未來的聯(lián)網(wǎng)解決方案。

提交
Moxa 榮膺國際著名 ATD 卓越實踐獎
Moxa 加入開放流程自動化? 論壇,參與制定廠商中立的開放技術(shù)標準,全力支持工業(yè)自動化
Moxa 全新 64 位 ARM 架構(gòu)計算機,打造值得信賴的 IIoT 解決方案
Moxa 網(wǎng)絡通信設備喜獲 DNV 型式認證,創(chuàng)業(yè)界首例
理清海事監(jiān)管法規(guī),駛向可持續(xù)未來