Google 全球趨勢指數顯示，網絡安全類關鍵詞在 Google 搜索中的熱度不斷攀升。其中，“附近的網絡安全培訓班”以及“網絡安全行政命令”的搜索量最高（Google 趨勢，截至 2021 年 9 月）。回顧即將過去的 2021 年，這一現象并不稀奇。毫無疑問，網絡安全已經成為人們廣泛熱議的重要話題。人們發現，網絡安全就像一幅拼圖，只有了解每一塊碎片，才能拼出完整的畫面。如今，關注網絡安全已是刻不容緩。

據德勤發布的報告顯示，受訪制造商中有四成遭遇過網絡安全事件，其中有 86% 的制造商表示，事故曾導致工業系統中斷。隨著 OT/IT 融合的步伐加快，工業控制系統中出現多個攻擊面，其中一些是已知的安全漏洞，但其余的風險仍是未知數。因此，無論是管理層還是個人用戶，都應為建設工業網絡安全壁壘出一份力，從邊緣到云端層層防護工業網絡。本文將分享行業專家提出的實用建議，幫助企業開啟網絡安全征程。

圖表：工業控制系統中易受網絡攻擊侵害的新攻擊面

建議 1：部署秉持“安全始于設計”理念的網絡設備，采用安全的設備設置方式

工業系統中往往包含很多傳統設備，但由于現場網絡如今較少使用氣隙技術，這些設備越來越容易受到攻擊。理想情況下，傳統設備可借助內置安全功能的先進解決方案，實現自身的快速升級。然而，由于企業預算有限，再加上工業系統不能停機，新舊設備往往會在同一個系統中運行。在這種情況下，就需要使用安全性更強的網絡設備，將傳統設備連入網絡。挑選網絡設備時，應選擇采用“安全始于設計”理念的產品，建議您檢查設備的內置安全功能是否符合 IEC 62443 等安全標準。如果確認符合標準，便可選擇這種產品，并進行安全設置。例如，我們建議禁用所有閑置端口和服務，不讓入侵者有可乘之機。點擊查看更多關于提高邊緣層安全性的建議以及 Moxa 解決方案的案例研究了解如何實現安全的邊緣互聯。

建議 2：進行網絡分區

完成網絡節點的安全配置后，就該根據區域和線路政策為網絡分區。通過分區，可以避免網絡因某一節點受到攻擊而整體停機，從而提高網絡安全性。工業自動化解決方案和企業數位轉型咨詢服務提供商 YNY Technology 的 OT 安全顧問 Gary Kong 介紹了他如何幫助客戶消除 OT/IT 網絡融合過程中的安全隱患。他表示：“我推薦客戶采用網絡分區、隔離區 (DMZ) 等安全的網絡架構設計，減少來自 IT 網絡的威脅。” 同時，選擇合適的工業網絡分區解決方案也頗為重要。Gary Kong 稱：“客戶也明白，只在 OT 網絡外加筑 IT 防火墻，并不能為 OT 環境提供有力的保護，但他們常常忽視這條建議，盡管他們很清楚 IT 防火墻無法識別工業協議，監管和流程層面都可能遭遇網絡攻擊。單純依賴 IT 防火墻的風險很高，也很難讓人放心，各種漏洞和網絡入侵防不勝防。”作為工業控制系統解決方案，防火墻不僅要將網絡劃分為互相隔絕的區域，實現垂直防護，還要具備深層數據包檢測功能，在不影響系統運行的前提下過濾未經授權的數據包，提供水平防護。  

建議 3：應用安全的通訊解決方案，保障關鍵數據和資產安全

OT/IT 網絡融合的目的是收集數據并從中提取有價值的信息。在這一方面，云技術可謂理想之選，這類技術使用簡便，還有著強大的數據分析能力，可以簡化網絡融合。近期，人們越來越重視如何保障從 OT 到 IT、從現場到云端的數據訪問安全。自動化和流程控制技術領導企業 ABB 集團旗下 B&R 工業自動化公司的網絡安全產品經理 Ninad Deshpande 表示：“OPC UA 協議包含大量安全原則，不僅有應用認證和用戶認證，還有涵蓋網絡安全三大支柱的安全機制，即保密性、完整性和可用性 (CIA)。”OPC UA 協議提供了可靠的通訊解決方案，確保數據融合簡便安全，可助力企業在邊緣設備和云端服務器之間輕松建立順暢的通訊。 

然而，要使用云技術，就必然會產生遠程訪問的需求，而其安全性令人擔憂。如今，越來越多的機器制造商開始利用云平臺簡化設備維護工作。不過，在享受云技術帶來的優勢之前，應利用數據加密、VPN 等技術確保遠程訪問的安全性，保障關鍵資產安全無虞。

前文介紹了如何減少潛在攻擊面，從邊緣層到云端全面保護聯網工業控制系統，接下來本文將聚焦操控這些工業系統和設備的人員。外包供應商、系統集成商甚至是遠程服務工程師，都是日常運營、維護和故障排除不可或缺的重要人員，也是落實安全政策的重要參與方。如果這類人員缺乏網絡安全意識，不懂得利用安全技術，那么一切投入都將是徒勞。為避免出現這種情況，必須確保工業流程的所有參與者秉持相同的網絡安全理念和心態，只有這樣才能讓安全防護措施發揮應有的作用。

建議 4：從管理層到個人，提高工業網絡安全意識

安全意識金字塔將網絡安全意識劃分成幾個層級。管理層的承諾和支持是整個金字塔的基石，第二級是為提高安全意識設計的安全方案和政策。以安全政策為例，根據安全配置分配讀寫權限是一項基本政策，但在具體落實時，要讓整個公司的所有人遵守政策并非易事。設施管理人員常常感到網絡安全措施執行起來非常繁瑣，因此不會嚴格要求所有員工都照章行事。有的管理人員會以小組為單位落實安全政策，而不是為每位員工分配專用登錄信息，這會帶來更多網絡安全風險。

圖表：安全意識金字塔

三菱電機自動化公司致力于為眾多工業市場提供全面的自動化產品。Thomas Burke 是該公司的工業標準全球行業經理，在工業自動化領域有著豐富的經驗。他曾在 Moxa 安全對話上談及提高安全意識、執行安全政策的重要性。他表示：“應確保終端用戶、供應商和公司員工充分了解各項潛在風險，認識到自己在網絡安全維護中扮演的角色有多重要。”

建議 5：檢查配置和設置是否符合安全政策

有了較強的安全意識和完善的安全政策，員工會更重視系統的安全設置。誠然，一次性檢查所有系統并非易事，但安全檢查什么時候開始都不算晚。企業可以先開展風險評估，確定安全防護的優先級，如此就能更輕松地識別和保護關鍵資產。接下來，可以先從檢查配置入手。如果網絡規模龐大，建議使用可視化軟件清晰呈現網絡結構，以便檢查安全設置，視需進行調整。

反思和展望

隨著企業繼續尋求數位轉型和 OT/IT 融合帶來的紅利，“網絡安全”這個關鍵詞在 Google 搜索上的熱度還將攀升。技術發展只會不斷前進，而不會開倒車。我們希望本文的專家觀點能讓企業對工業網絡安全形成更全面的認識。

建議從改變思維方式做起，制定安全政策，系統地檢查安全配置。

基礎工作完成后，可以聚焦邊緣連接的安全確保新系統和傳統系統都安全無虞。

注意保護骨干網絡，保障數據傳輸不中斷，這是實現 OT/IT 融合的必要條件。

建議安裝工業防火墻加固垂直和水平兩道安全壁壘。

最后，隨著企業對遠程連接的需求日益增加，選擇可靠省心的安全遠程訪問解決方案將為企業節省開支，免去麻煩。

如欲了解更多信息，請訪問 Moxa 微網站 www.moxa.com/Security.