使用適當的工具來保護工業網絡安全

　   你可能面臨著提高工業網絡信息安全的挑戰。

　　一方面，制造流程可能需要PLC和DCS等設備在設計上更注重可靠性和功能安全而非信息安全。另一方面，工業網絡已經或者即將和企業網、互聯網相連。

　　在考慮如何降低網絡風險、保護資產時，尋找專門針對工廠而設計的技術解決方案是很重要的。

　　工廠網絡和辦公網絡的區別主要體現以下幾個方面：

• 環境不同 — 工業網絡通常處在惡劣的自然環境中 

• 員工技能不同 – 你可能擅長于制造產品或PLC編程，但設計網絡安全解決方案并不是你的強項。 

• 優先級不同 – 工廠操作人員更關心可靠性和功能安全，而辦公室IT人員通常將保密性視為最高的優先級 

• 協議不同 – 工廠網絡需要支持工業協議來保持設備運行。這些協議的安全防護較難實現

　　考慮到以上因素，這里給出了保護工業網絡安全的6個建議：

1. 選擇工業組件 　　首先，要確保所有的網絡組件，包括電纜、機柜和設備等，都達到工業級要求，并且擁有較高的MTBF（平均無故障時間）評級。眾所周知，工廠的要求比典型IT環境下的要求要嚴厲苛刻得多，其設備也要達到相應的要求。

IT網絡系統的核心通常是氣候控制良好的、安全的數據中心，其設備一般都是標準的，并且使用時間往往在10年以下。相比之下，工廠里的工業網絡通常處于危險環境中，設備的平均壽命都超過了10年。照片承蒙Good Health Group提供。

2.尋求冗余和健壯性 　　容易被破壞的設備為攻擊者的工作帶來便捷，同時也增加了支持人員工作的難度。網絡中的組件，如交換機和路由器，需要支持工業冗余技術。這樣的話如果部分系統遭受惡意軟件攻擊或者受到網絡事件的影響，依然能保證正常運行。

　　這方面有許多首字母縮寫詞和專用術語，如“zero-failover”，并行冗余協議PRP（Parallel Redundancy Protocol）以及高可靠無縫冗余HSR（High-availability Seamless Redundancy）。重要的一點是確保網絡設備支持生產需求所要求的冗余等級。

3.尋求與工業網絡管理系統相結合的技術 　　融入工業管理系統對支持工作和安全事件監控至關重要。使用這樣的系統有助于檢測網絡中的異常活動。

　　如果一臺遠程的只讀操作站突然試圖對PLC進行編程，應當立即向工廠人員發出警告。等到第二天早上IT團隊再來分析事件，一切就太遲了。

4.部署可以保護工業協議安全的防火墻 　　防火墻應當優化保護Modbus和OPC這樣的SCADA協議的安全，而不是email和web通訊。Web和email消息在工廠系統中沒有容身之處，檢測這些協議的產品只會增加安全解決方案的成本和復雜度。

5.采用區域級安全來實施縱深防御 　　實施縱深防御的最佳實踐，信息安全不應以工廠網絡的邊界防火墻為終點。相反，應依據ISA IEC 62443標準對生產網絡分區。每個區域都有專門的工業防火墻來保護，這些防火墻應當可以部署在工廠網絡中，同時不會對業務操作造成任何風險。

6.集中精力 　　有些資產如果遭受攻擊的話，將會對生產、安全或環境造成嚴重的影響，每套控制系統中都有一個或多個這樣的資產。比如煉油廠中的SIS（安全集成系統）、水過濾廠中控制氯含量的PLC以及變電所的RTU。工廠人員清楚哪些真正地關系到操作。如果這些資產都能被積極地保護，發生真正嚴重的網絡事件的機會將會大大減小。

　　采用專為工業而設計的解決方案來保護工業網絡安全。如果對如何提高工廠的網絡安全態勢沒有把握，遵循上述建議將縮短進行改善所需的時間。