制造企業需要思考如何適應新的網絡安全環境，并在不影響生產運營的情況下提供更好的支持。

網絡安全曾經是信息技術（IT）領域專屬的。那些擁有計算機科學學位的人會封好入口，看住貴重物品，防止入侵者進入IT網絡。由于IT網絡被視為進入運營技術（OT）網絡的唯一途徑，很多公司認為這已經足夠了。

潛伏的威脅仍然游走在OT網絡的邊緣。一些員工電腦上的惡意軟件、插入USB密鑰或將設備接入網絡的物理訪問，以及偶爾的無線訪問都可能會讓帶來風險。雖然可能導致的問題很嚴重，但這些事件很少發生，對很多公司來講，這種風險被認為是可以接受的。

01

新的OT網絡架構

近年來，OT網絡之間的互聯比以往任何時候都更加緊密。一些企業正在運行扁平的網絡拓撲，而另一些企業正在將與云通信的物聯網或工業物聯網（IoT/IIoT）設備和系統添加到網絡中。這些較新的OT裝置，繞過了網絡分層或普渡模型，帶來了巨大的變化。

企業需要了解如何在不減緩數字化轉型計劃的情況下，適應這些不斷變化的環境并支持這些網絡。他們還需要考慮如何在保持網絡安全警惕的同時，實現預期的業務目標。

使用合適的技術可以降低風險?，F在，企業和用戶應該熟悉四個關鍵技術和安全概念：零信任；最小特權原則；被動和主動網絡監控；和安全信息和事件管理（SIEM）集成。

1.零信任

零信任是過去十年中出現的最重要的安全理念之一，被許多人視為安全領域的新黃金標準。它已經被世界各地的工業公司和軍事網絡所采用。零信任的理念是假設攻擊者可能已經在網絡上了，而且沒有被發現。正因為如此，公司不應該信任進入的任何設備、服務器和軟件的任何通信。

這容易讓人陷入一種左右為難的困境：如果你不信任通信，那你怎么能進行通信？在零信任網絡中，所有系統都必須驗明正身，這是實現通信的第一步。身份證明通常通過一些機制來完成，如使用公認標準的加密、用戶名和密碼驗證，有時還可以通過客戶端證書或密鑰形式的附加憑據。這其中的關鍵部分是負責證明“它是誰”的系統。

對于棕地工業網絡來說，零信任很難實現。許多可編程邏輯控制器（PLC）和遠程終端單元（RTU）的通信方式都是門戶洞開。只要與控制工程師交談，就可以得知哪些PLC在設計上是不安全的。如果用戶僅使用其IP地址，就可以通過本地協議從監控和數據采集（SCADA）系統連接到PLC或RTU，那么這很可能就是不安全的。有理由假設，很多PLC和RTU在設計上是不安全的，包括現在正在生產中使用的大多數設備。

▲圖1 ：使用零信任方法，網絡上的所有內容都必須驗明正身。

▲圖2 ：近年來安全需求發生了變化。技術也隨之改變。

如果企業正在保護這些網絡并希望采用零信任理念，那么通常有兩種選擇：一種是更換現有的PLC；另一種是消除它們不安全的通信，通常是將它們隔離在安全設備的后面。許多人正在使用運行邊緣軟件的簡單工業PC，以使這些系統遠離主控制網絡，并使用MQTT Sparkplug和OPC UA等安全協議提供數據和通信。

對于綠地網絡來說，情況要容易得多。一些關注安全的現代PLC，在默認情況下被鎖定，支持零信任策略。MQTT Sparkplug和OPC UA等協議以及Ignition等軟件，都內置了強大的身份驗證和安全性。在配置安全設置的同時，使用現代設備、協議和軟件可以簡化最佳實踐，真正實現零信任架構。

2.最小特權原則

從概念上來講，最小特權原則非常簡單：用戶的帳戶應只能訪問用戶需要做的事情。許多企業都有工程團隊，他們可以管理所有系統。如果企業遵循的是這一原則，那這就不是最小特權原則了。初級工程師只能訪問有限數量的系統和有限的功能集。管理這些需要做更多的工作，但如果用戶的帳戶被泄露，或者心懷不滿的員工決定采取可能損害業務的行動，最小特權原則也會降低風險。

3.被動和主動網絡監控

許多IT團隊都有IT網絡的監控工具。在OT網絡上使用這些監控工具也是一個好主意。入侵檢測系統（IDS）可提供被動監控，這意味著它在不向網絡本身添加任何內容的情況下監視網絡流量。這些系統通常由人工智能和機器學習（AI/ML）工具支持，以識別模式并嘗試定位異常。

有時，入侵檢測系統還采用主動網絡監控，在網絡上發送通信并嘗試與設備對話，作為其監控的一部分。主動監控系統有時指向PLC或其它設備，以監控它們何時發生變化或變化的內容。

如果一個零信任系統已經就位并且運行良好，即使“壞人”進入網絡，也可能什么都做不了。然而，這些監控系統旨在幫助IT部門識別那些不良行為者，并將他們踢出網絡，以防止他們試圖找到易受攻擊的系統。一些主動監控還可以識別意外變化并標記這些變化。

4.安全信息和事件管理集成

大多數公司的IT部門都使用安全信息和事件管理（SIEM）系統，但在OT網絡上則很容易忽略這些很有價值的工具。作為一個日志分析系統，它們可以幫助識別熱點并追溯發生的問題。這些系統側重于安全性，但有時也可用于現場系統的一般故障排除和IT支持。如果一家公司配置了SIEM，而OT系統沒有發送安全提要，那么可能值得探索將SCADA或其它OT系統添加到SIEM中。

安全性是一個復雜的話題，對于當今的制造商來講，現在需要向零信任和更好的安全性邁進。企業和用戶對本文強調的網絡安全技術和概念越熟悉，就越有可能做出更明智的決策。大多數制造企業還有很長的路要走，獲得更好的安全性更像是一場馬拉松，而不是百米沖刺。在工業領域構建更好的安全性對每個人都有幫助。

審核編輯 ：李倩