簡化 IT/OT 系統(tǒng)已成為工業(yè)運(yùn)營商提升績效、獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的關(guān)鍵策略。然而，隨著 IT/OT 的融合，尤其是現(xiàn)場(chǎng)設(shè)備接入網(wǎng)絡(luò)，安全風(fēng)險(xiǎn)也不斷增加。工業(yè)系統(tǒng)易受網(wǎng)絡(luò)攻擊的主要原因包括既有設(shè)備存在安全漏洞（如默認(rèn)設(shè)置不安全或采用傳統(tǒng)通信協(xié)議）、現(xiàn)場(chǎng)設(shè)備可視性不足以及 OT 網(wǎng)絡(luò)缺乏分區(qū)管理。在此背景下，強(qiáng)大的網(wǎng)絡(luò)韌性對(duì)于工業(yè)組織至關(guān)重要。加強(qiáng)網(wǎng)絡(luò)韌性不僅能有效降低安全風(fēng)險(xiǎn)，還將助力企業(yè)從 IT/OT 融合中獲益。若想深入了解如何在 IT/OT 融合系統(tǒng)中加強(qiáng)網(wǎng)絡(luò)安全，請(qǐng)點(diǎn)擊閱讀 專家文章。

鑒于網(wǎng)絡(luò)安全的重要性，各國政府實(shí)施的法規(guī)日趨嚴(yán)格，應(yīng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施日益遭受網(wǎng)絡(luò)攻擊的問題。這些法規(guī)要求工業(yè)組織采取網(wǎng)絡(luò)安全措施，減少單一安全事件對(duì)國家安全的影響。例如，歐盟的 NIS2 指令要求關(guān)鍵基礎(chǔ)設(shè)施和基礎(chǔ)服務(wù)運(yùn)營商實(shí)施適當(dāng)?shù)陌踩胧?，并向相關(guān)主管部門報(bào)告安全事件1。美國的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》則要求關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營實(shí)體向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局報(bào)告重大網(wǎng)絡(luò)事件以及勒索軟件支付情況。2通過提升網(wǎng)絡(luò)韌性，工業(yè)運(yùn)營商不僅能夠確保 IT/OT 融合系統(tǒng)的安全性，還能更好地適應(yīng)動(dòng)態(tài)環(huán)境并滿足政府法規(guī)的要求。

提升網(wǎng)絡(luò)韌性的三大網(wǎng)絡(luò)規(guī)劃考慮因素

企業(yè)韌性主要體現(xiàn)在經(jīng)歷意外中斷后能否快速響應(yīng)并恢復(fù)，同時(shí)保障日常運(yùn)營、保持品牌形象。要提升企業(yè)韌性，強(qiáng)化網(wǎng)絡(luò)韌性極為關(guān)鍵，確保企業(yè)能從網(wǎng)絡(luò)攻擊中迅速恢復(fù)。網(wǎng)絡(luò)韌性涵蓋了人員、策略和技術(shù)等多方面。從網(wǎng)絡(luò)規(guī)劃的角度來看，以下三點(diǎn)有助于增強(qiáng)企業(yè)的網(wǎng)絡(luò)韌性。

考慮因素一：盡可能縮小攻擊面

減少工業(yè)網(wǎng)絡(luò)的攻擊面至關(guān)重要。這有助于最大限度縮短系統(tǒng)故障停機(jī)時(shí)間并迅速恢復(fù)。企業(yè)需努力讓更少設(shè)備受到漏洞影響，從而更好地保護(hù)系統(tǒng)。實(shí)現(xiàn)這一目標(biāo)的常用策略是深度防御。為實(shí)施這一策略，我們建議采用符合“安全始于設(shè)計(jì)”理念的聯(lián)網(wǎng)設(shè)備，并構(gòu)建分層網(wǎng)絡(luò)保護(hù)機(jī)制。工業(yè)運(yùn)營商應(yīng)選擇符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（如 IEC 62443 和 NIST CSF）的聯(lián)網(wǎng)設(shè)備。這些標(biāo)準(zhǔn)為關(guān)鍵資產(chǎn)、系統(tǒng)和組件提供了重要安全準(zhǔn)則，為資產(chǎn)所有者建設(shè)安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施奠定了堅(jiān)實(shí)基礎(chǔ)。 盡管實(shí)施多層網(wǎng)絡(luò)保護(hù)益處良多，但許多工業(yè)組織仍因預(yù)算限制而難以付諸實(shí)踐。

我們建議按照以下簡單的三步流程，開啟您的工業(yè)網(wǎng)絡(luò)分層保護(hù)計(jì)劃。

現(xiàn)場(chǎng)設(shè)備保護(hù): 聯(lián)網(wǎng)的關(guān)鍵資產(chǎn)若未得到妥善保護(hù)，極易成為網(wǎng)絡(luò)攻擊的目標(biāo)。在關(guān)鍵資產(chǎn)前端部署工業(yè)入侵防御系統(tǒng) (IPS) 能夠及時(shí)有效阻斷已知惡意活動(dòng)。此外，這些 IPS 設(shè)備還可為無法打補(bǔ)丁的既有設(shè)備提供虛擬補(bǔ)丁，從而增強(qiáng)現(xiàn)場(chǎng)設(shè)備的安全性。

二層和三層分區(qū): 將網(wǎng)絡(luò)劃分為較小的聯(lián)網(wǎng)設(shè)備組并啟用訪問控制，即可降低未授權(quán)訪問的風(fēng)險(xiǎn)。通過 VLAN 和網(wǎng)絡(luò)分區(qū)，企業(yè)可按組管理網(wǎng)絡(luò)訪問和流量，確保可信通信。

邊界防護(hù): IT/OT 融合消除了工業(yè)網(wǎng)絡(luò)的物理隔離屏障。因此，保護(hù)不同網(wǎng)絡(luò)之間的邊界是關(guān)鍵舉措。部署工業(yè)防火墻可在 LAN 與 WAN、OT 與 IT 網(wǎng)絡(luò)之間建立安全的網(wǎng)絡(luò)分區(qū)。根據(jù)安全需求和網(wǎng)絡(luò)規(guī)模，工業(yè)防火墻還可對(duì)工業(yè)網(wǎng)絡(luò)內(nèi)的應(yīng)用進(jìn)行微分區(qū)。

這三個(gè)步驟為構(gòu)建分層網(wǎng)絡(luò)保護(hù)機(jī)制奠定了良好基礎(chǔ)。根據(jù)工業(yè)應(yīng)用的可訪問范圍，企業(yè)還可以實(shí)施其他網(wǎng)絡(luò)安全措施。例如，工程師需遠(yuǎn)程訪問現(xiàn)場(chǎng)機(jī)器時(shí)，VPN 安全隧道能最大限度減少潛在攻擊點(diǎn)。

考慮因素二：提升安全事件檢測(cè)效率

由于黑客們一直在試圖繞開分層網(wǎng)絡(luò)防御，企業(yè)要想成功阻擊每一次攻擊頗具難度。因此，網(wǎng)絡(luò)管理員需要全面掌握網(wǎng)絡(luò)運(yùn)行狀況，包括聯(lián)網(wǎng)設(shè)備狀態(tài)及網(wǎng)絡(luò)流量動(dòng)態(tài)。為快速識(shí)別安全漏洞，建議部署具備網(wǎng)絡(luò)狀態(tài)可視化、網(wǎng)絡(luò)設(shè)備和流量監(jiān)測(cè)及異常警報(bào)功能的網(wǎng)絡(luò)管理工具。

同時(shí)，可在關(guān)鍵資產(chǎn)前端配置入侵檢測(cè)系統(tǒng) (IDS) 等高級(jí)網(wǎng)絡(luò)安全解決方案，在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，及時(shí)檢測(cè)異?；顒?dòng)并通知企業(yè)運(yùn)維人員，再由運(yùn)維人員判斷是否需要采取進(jìn)一步措施。

考慮因素三：加速攻擊后的業(yè)務(wù)恢復(fù)

NIS2 指令將業(yè)務(wù)連續(xù)性列為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的關(guān)鍵措施之一3。在遭受攻擊時(shí)，首要任務(wù)是控制損失，維持業(yè)務(wù)運(yùn)營。為快速響應(yīng)網(wǎng)絡(luò)攻擊并恢復(fù)運(yùn)營，需建立完善的事件報(bào)告與恢復(fù)規(guī)劃機(jī)制。其中，網(wǎng)絡(luò)設(shè)備配置的備份對(duì)于攻擊后的高效恢復(fù)十分重要，可最大程度減少重新配置的工作量。此外，必須持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全事件，及時(shí)完成所有網(wǎng)絡(luò)設(shè)備的安全更新，以防止類似攻擊再次發(fā)生。部分網(wǎng)絡(luò)管理工具提供集中配置備份、大規(guī)模固件部署及網(wǎng)絡(luò)安全事件監(jiān)測(cè)儀表板等功能，可幫助管理員大幅縮短網(wǎng)絡(luò)恢復(fù)時(shí)間。合理選用這些工具能顯著提升恢復(fù)效率，確保網(wǎng)絡(luò)快速恢復(fù)正常運(yùn)行。

Moxa 安全聯(lián)網(wǎng)解決方案助您提升網(wǎng)絡(luò)韌性

為增強(qiáng)其網(wǎng)絡(luò)韌性，工業(yè)組織需部署安全的工業(yè)網(wǎng)絡(luò)，但要確保現(xiàn)有運(yùn)營不受影響，因此簡化安全網(wǎng)絡(luò)部署流程至關(guān)重要。Moxa 提供安全聯(lián)網(wǎng)綜合解決方案，可顯著提升工業(yè)網(wǎng)絡(luò)安全性，確保系統(tǒng)具備工業(yè)級(jí)可靠性，并能擴(kuò)展性能，應(yīng)對(duì)未來挑戰(zhàn)。Moxa 執(zhí)行安全開發(fā)生命周期 (SDL) 策略，是最早通過 IEC 62443-4-1 認(rèn)證的企業(yè)之一；多款聯(lián)網(wǎng)產(chǎn)品獲得 IEC 62443-4-2 認(rèn)證，進(jìn)一步鞏固了其全球領(lǐng)先地位。各項(xiàng)成就充分體現(xiàn)了 Moxa 致力于幫助客戶提升網(wǎng)絡(luò)設(shè)備安全性的承諾。

Moxa 以太網(wǎng)交換機(jī)配備了安全加固功能，許多產(chǎn)品通過 IEC 62443-4-2 SL2 認(rèn)證，可為設(shè)備和網(wǎng)絡(luò)提供全方位保護(hù)。同時(shí)，Moxa 安全路由器和工業(yè)防火墻集成了 IPS、IDS、DPI、VPN 等先進(jìn)安全技術(shù)，構(gòu)建起分層網(wǎng)絡(luò)安全體系，為關(guān)鍵資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及網(wǎng)絡(luò)邊界筑牢安全防線。此外，Moxa 網(wǎng)絡(luò)管理軟件可清晰呈現(xiàn)網(wǎng)絡(luò)狀態(tài)，顯示設(shè)備運(yùn)行信息，對(duì)異常情況發(fā)出實(shí)時(shí)警告，并通過儀表板功能實(shí)現(xiàn)對(duì)安全事件的全程追蹤。

訪問 Moxa 微網(wǎng)站，進(jìn)一步了解 Moxa 面向未來的聯(lián)網(wǎng)解決方案。