2021年9月29日 星期三

工业网络安全的四大关键策略 快看

时间:2023-04-27 15:24:56来源 : 控制工程网

实施网络安全计划需要有明确的议程并了解其可用的工具。本文重点介绍四种网络安全方法和策略。

随着越来越多的设备容易受到攻击,制造企业需要有一个强大而连贯的网络安全议程。但负责工业网络网络安全的人似乎被拉到了相反的方向。每个月都有多个与运营技术(OT)相关的网络安全漏洞被发布到美国网络安全和基础设施安全局(CISA)等地方,该机构要求专业人士确保其网络免受威胁。


【资料图】

每个月,企业都会提出新的要求或倡议,以使这些网络能够用于工业4.0、智能制造或安装工业物联网(IIoT)解决方案。那些负责网络安全的人员如何在满足企业需求的同时,致力于减轻其工作环境中的已有风险和新风险?以下是企业应该考虑实施的四种网络安全方法和注意事项。

01 理解或制定规则

了解谁对企业内的工业网络负责很重要。是企业IT人员、现场工程师还是专职OT员工?这种报告结构如何与CIO或CISO负责的更大范围的企业网络安全风险相关联?对功能网络感兴趣的其它利益相关者是谁?他们如何提供输入或随时了解变化?工业网络必须遵守哪些控制、标准或要求?

现在,工业网络不再仅仅是设备之间进行过程控制通信的一种手段,每个群体都有自己的优先级,需求的数量也在增加。由于变化带来的潜在影响,在制定网络安全战略时,必须考虑所有这些问题。如果这些问题没有即时和书面的答案,在开展进一步工作之前,企业需要花时间解决这些问题,这一点很重要。

02 评估当前的网络安全状态

很多网络安全解决方案,如入侵检测系统(IDS),要求网络基础设施具有仅存在于可配置或管理的交换机中的能力或功能。与网络隔离或分段相关的举措需要交换机,该硬件不仅仅是允许设备A与设备B通信那么简单。在启动任何引入新网络安全解决方案或改变网络架构的项目之前,请盘点工业网络中安装的网络交换机和防火墙。不要忘记查看机器设备网络,因为它们可能是与工业4.0或IIoT相关的未来项目的目标。

在评估时,请考虑有多少物理端口可用,它是否处于有效的保修或支持合同之下,它具有哪些功能,以及当前如何管理它们。如果在某个位置发现一个交换机,端口已经完全使用,并且不支持远程管理或虚拟局域网(VLAN)等功能,那么从工程师和网络安全团队的计划中了解即将到来的项目,可能会决定需要安装的交换机类型。如果不知道目前的状况以及未来需要什么,那么不合适的升级或更换可能会浪费大量的时间和成本。

03 展望未来的网络基础设施

基于当今环境实施网络安全解决方案有时并不是最佳方案。企业需要花时间展望未来,并了解在未来一年、三年或五年内,控制系统中可能增加的新技术和解决方案,将如何影响运营这些系统所需的网络和基础设施。工业网络也不仅仅是以太网和IEEE 802.11无线网络。至关重要的是,网络安全计划和考虑事项中应包括运营中涉及的所有网络,包括蜂窝、LoRaWAN、蓝牙低能耗(BLE)和任何供应商专有协议。

由于使用基于云的服务、在IT网络中运行的分析包以及直接连接到供应商系统或平台的第三方服务,入站和出站连接的数量将增加。今天设计一个网络安全策略而不考虑与基于互联网的服务的交互,未来肯定会引起麻烦。因此,必须确定所有工业网络利益相关者,并让他们参与进来。

04 考虑网络安全功能

如果没有适当的实施、支持和维护,即使是最先进和最强大的网络安全解决方案也毫无价值。

作为任何解决方案评估过程的一部分,企业必须考虑谁来运营以及如何运营。组织是否愿意派遣人员进行培训,或雇佣具有管理和维护新实施的网络安全工具的经验和能力的新员工?他们是否为正在进行的支持合同编制了预算?当解决方案在凌晨2点检测到关键事件时,预期的响应是什么?当实施网络安全解决方案时,控制环境中工作的员工将承担哪些新的责任和期望?

在开始评估网络安全产品或解决方案之前就这些问题达成一致,可以帮助企业快速过滤掉那些与组织计划不一致的产品。

05 提高网络安全的重要工具

除了基本策略之外,还有一些策略可以帮助企业在短期和长期内改善网络安全态势。

■ 网络分段。如果现在运行的工业网络,在机器、区域或功能之间的分段有限,那么加强网络安全的良好开端可能是在网络中创建更多的分段,以限制不必要的通信。除了减少发送到所有设备的广播消息的数量之外,分段可能是防火墙解决方案的先决条件,也是安全方法(如ISA/IEC 62443)中的一个考虑因素。如果使用的交换机不支持VLAN等功能,则可能需要升级交换机硬件。

■ 防火墙。在工业和办公网络之间设置防火墙,是限制设备通信路径的第一步。在考虑防火墙时,请寻找那些了解内置工业协议的防火墙,并根据未来所需的带宽和连接数量对其进行调整。应计划在工业和办公网络的连接之间设置防火墙,以尽量减少中断,在开始执行规则和阻止未定义的通信时必须小心。防火墙还可以用作一种安全访问手段:通过使用虚拟专用网络(VPN)功能,从外部提供对工业网络的安全访问。这将允许去除现有的远程访问技术,并将其整合为一个集中且可管理的方法。

■ 入侵检测/预防系统。实施入侵检测或入侵预防系统(IDS/IPS)有许多不同的方法。通常,这些解决方案将分析网络通信,并对未知、意外或预定义的活动发出报警。对于人机界面(HMI)和监控与数据采集(SCADA)系统,如果软件不与系统运行能力冲突,则也可将基于主机的方法纳入解决方案。一些新产品包括更先进的学习功能,使它们能够了解环境中的正常通信,从而可以对可疑行为报警。根据IDS/IPS的提供方式,可能需要网络通信数据、网络交换机变更或添加网络接头,并应与解决方案供应商讨论。

■ 软件定义网络(SDN)。对于希望对设备间通信实施更细粒度控制的企业来说,软件定义网络可能是个选择。每个设备或设备组只能通过配置定义的特定端口或协议进行通信。此解决方案的实施可能需要新的交换机和控制器,但从安全角度来看,收益将远远大于投入。

在安全性和必要性以及可接受的风险之间,找到合适的平衡点,对于每个企业来说都是不同的。随着对工业网络的攻击越来越多、越来越复杂,如何把握这一界限,从未像现在这样关键和具有挑战性。本文列出的方法和注意事项,可以作为指南、查找差距的方法和对话的起点。这两个优先事项之间始终存在冲突,那些能够管理好它们的企业,将永远不会停止评估和创新其网络安全解决方案。(作者:Alan Raveling)

关键概念:

■ 由于越来越多的设备容易受到攻击,企业需要制定一个强有力的、连贯的网络安全议程。

■ 评估网络安全计划的现状和展望未来至关重要。

思考一下:

您做了哪些工作来改善网络安全状况?

标签:

最近更新

工业网络安全的四大关键策略 快看

股市加息是利好还是利空?加息50个基点相当于多少?

股市空仓了还能投资什么?股市空仓和满仓哪个比较好?

秘鲁宣布边境地区进入紧急状态|即时看

四川内江市威远县发生3.5级地震 震源深度8公里 独家焦点

【全球速看料】两部门:2023年全国计划招聘特岗教师5.23万名

阿富汗巴尔赫省发生一起交通事故 致11死9伤_环球最新

涉胡鑫宇事件,这些造谣自媒体人被公诉、行拘_全球热推荐

全球速讯:撕掉软蛋标签 力抗字母狂砍三双成队史第三人 硬起来的热巴赢救赎

中国卫通:感谢关注中国卫通。公司第一季度报告将于2023年4月29日披露

被狮王资产申请重整,泛海控股再收深交所关注函 每日信息

珍惜时间的格言 珍惜时间的格言警句怎么写

天天资讯:尼泊尔签发463张登顶珠峰许可证 为历年来最多

“梅姨案”两名人贩张维平、周容平被执行死刑

丫丫就快到家了,今天下午落地上海!

中国近地小行星防御计划公布 2030年将首次撞击小行星

海尔AWE发布新成果 “双赛道”引领智慧家庭全球落地|世界快资讯

【多彩新论】保护知识产权就是保护创新

【当前热闻】两个人写的协议怎么写,才能生效

人社部:运用税收优惠和补贴政策 加强困难人员就业帮扶

疑遭污染 美国伊利诺伊州一肉企召回牛肉制品

2023天津法定产假多少天?天津产假2023年新规(最新)

二维码仓库管理系统_二维码仓库管理系统有哪些优势

聚焦关键 提升服务 新乡财政出台“支持中小企业发展60条” 全球时讯

平顶山市出台全省首个食品生产许可“一证多址”管理办法

鹤商家园“上新” 为企业“腾飞”插上法治之翼-环球微头条

中锐股份:4月26日融资买入311.75万元,融资融券余额1.41亿元

第358场中国工程院煤炭绿色低碳发展工程科技论坛暨第六届煤炭科技创新高峰论坛在京举办|环球头条

中国智能座椅轮毂电机行业发展趋势|焦点热讯

当前快讯:石平

Back to Top