實施網絡安全計劃需要有明確的議程并了解其可用的工具。本文重點介紹四種網絡安全方法和策略。

隨著越來越多的設備容易受到攻擊，制造企業需要有一個強大而連貫的網絡安全議程。但負責工業網絡網絡安全的人似乎被拉到了相反的方向。每個月都有多個與運營技術（OT）相關的網絡安全漏洞被發布到美國網絡安全和基礎設施安全局（CISA）等地方，該機構要求專業人士確保其網絡免受威脅。

每個月，企業都會提出新的要求或倡議，以使這些網絡能夠用于工業4.0、智能制造或安裝工業物聯網（IIoT）解決方案。那些負責網絡安全的人員如何在滿足企業需求的同時，致力于減輕其工作環境中的已有風險和新風險？以下是企業應該考慮實施的四種網絡安全方法和注意事項。

01

理解或制定規則

了解誰對企業內的工業網絡負責很重要。是企業IT人員、現場工程師還是專職OT員工？這種報告結構如何與CIO或CISO負責的更大范圍的企業網絡安全風險相關聯？對功能網絡感興趣的其它利益相關者是誰？他們如何提供輸入或隨時了解變化？工業網絡必須遵守哪些控制、標準或要求？

現在，工業網絡不再僅僅是設備之間進行過程控制通信的一種手段，每個群體都有自己的優先級，需求的數量也在增加。由于變化帶來的潛在影響，在制定網絡安全戰略時，必須考慮所有這些問題。如果這些問題沒有即時和書面的答案，在開展進一步工作之前，企業需要花時間解決這些問題，這一點很重要。

02

評估當前的網絡安全狀態

很多網絡安全解決方案，如入侵檢測系統（IDS），要求網絡基礎設施具有僅存在于可配置或管理的交換機中的能力或功能。與網絡隔離或分段相關的舉措需要交換機，該硬件不僅僅是允許設備A與設備B通信那么簡單。在啟動任何引入新網絡安全解決方案或改變網絡架構的項目之前，請盤點工業網絡中安裝的網絡交換機和防火墻。不要忘記查看機器設備網絡，因為它們可能是與工業4.0或IIoT相關的未來項目的目標。

在評估時，請考慮有多少物理端口可用，它是否處于有效的保修或支持合同之下，它具有哪些功能，以及當前如何管理它們。如果在某個位置發現一個交換機，端口已經完全使用，并且不支持遠程管理或虛擬局域網（VLAN）等功能，那么從工程師和網絡安全團隊的計劃中了解即將到來的項目，可能會決定需要安裝的交換機類型。如果不知道目前的狀況以及未來需要什么，那么不合適的升級或更換可能會浪費大量的時間和成本。

03

展望未來的網絡基礎設施

基于當今環境實施網絡安全解決方案有時并不是最佳方案。企業需要花時間展望未來，并了解在未來一年、三年或五年內，控制系統中可能增加的新技術和解決方案，將如何影響運營這些系統所需的網絡和基礎設施。工業網絡也不僅僅是以太網和IEEE 802.11無線網絡。至關重要的是，網絡安全計劃和考慮事項中應包括運營中涉及的所有網絡，包括蜂窩、LoRaWAN、藍牙低能耗（BLE）和任何供應商專有協議。

由于使用基于云的服務、在IT網絡中運行的分析包以及直接連接到供應商系統或平臺的第三方服務，入站和出站連接的數量將增加。今天設計一個網絡安全策略而不考慮與基于互聯網的服務的交互，未來肯定會引起麻煩。因此，必須確定所有工業網絡利益相關者，并讓他們參與進來。

04

考慮網絡安全功能

如果沒有適當的實施、支持和維護，即使是最先進和最強大的網絡安全解決方案也毫無價值。

作為任何解決方案評估過程的一部分，企業必須考慮誰來運營以及如何運營。組織是否愿意派遣人員進行培訓，或雇傭具有管理和維護新實施的網絡安全工具的經驗和能力的新員工？他們是否為正在進行的支持合同編制了預算？當解決方案在凌晨2點檢測到關鍵事件時，預期的響應是什么？當實施網絡安全解決方案時，控制環境中工作的員工將承擔哪些新的責任和期望？

在開始評估網絡安全產品或解決方案之前就這些問題達成一致，可以幫助企業快速過濾掉那些與組織計劃不一致的產品。

05

提高網絡安全的重要工具

除了基本策略之外，還有一些策略可以幫助企業在短期和長期內改善網絡安全態勢。

■網絡分段。如果現在運行的工業網絡，在機器、區域或功能之間的分段有限，那么加強網絡安全的良好開端可能是在網絡中創建更多的分段，以限制不必要的通信。除了減少發送到所有設備的廣播消息的數量之外，分段可能是防火墻解決方案的先決條件，也是安全方法（如ISA/IEC 62443）中的一個考慮因素。如果使用的交換機不支持VLAN等功能，則可能需要升級交換機硬件。

■防火墻。在工業和辦公網絡之間設置防火墻，是限制設備通信路徑的第一步。在考慮防火墻時，請尋找那些了解內置工業協議的防火墻，并根據未來所需的帶寬和連接數量對其進行調整。應計劃在工業和辦公網絡的連接之間設置防火墻，以盡量減少中斷，在開始執行規則和阻止未定義的通信時必須小心。防火墻還可以用作一種安全訪問手段：通過使用虛擬專用網絡（VPN）功能，從外部提供對工業網絡的安全訪問。這將允許去除現有的遠程訪問技術，并將其整合為一個集中且可管理的方法。

■入侵檢測/預防系統。實施入侵檢測或入侵預防系統（IDS/IPS）有許多不同的方法。通常，這些解決方案將分析網絡通信，并對未知、意外或預定義的活動發出報警。對于人機界面（HMI）和監控與數據采集（SCADA）系統，如果軟件不與系統運行能力沖突，則也可將基于主機的方法納入解決方案。一些新產品包括更先進的學習功能，使它們能夠了解環境中的正常通信，從而可以對可疑行為報警。根據IDS/IPS的提供方式，可能需要網絡通信數據、網絡交換機變更或添加網絡接頭，并應與解決方案供應商討論。

■軟件定義網絡（SDN）。對于希望對設備間通信實施更細粒度控制的企業來說，軟件定義網絡可能是個選擇。每個設備或設備組只能通過配置定義的特定端口或協議進行通信。此解決方案的實施可能需要新的交換機和控制器，但從安全角度來看，收益將遠遠大于投入。

在安全性和必要性以及可接受的風險之間，找到合適的平衡點，對于每個企業來說都是不同的。隨著對工業網絡的攻擊越來越多、越來越復雜，如何把握這一界限，從未像現在這樣關鍵和具有挑戰性。本文列出的方法和注意事項，可以作為指南、查找差距的方法和對話的起點。這兩個優先事項之間始終存在沖突，那些能夠管理好它們的企業，將永遠不會停止評估和創新其網絡安全解決方案。

審核編輯 ：李倩