過去兩年間,新冠疫情重塑了我們的工作模式,順勢帶動遠端運作的蓬勃發展。為快速因應這樣的工作環境變化,全球企業(包括工業)把提升營運韌性視為當務之急,並體認到,IT 與 OT 多網融合是提升營運韌性的關鍵。隨著各項先進科技快速發展,IT/OT 多網融合也不再是遙不可及的抽象概念。
根據 IDC 對工業企業進行的一項調查,40% 的受訪者已經或是預計在其工廠和生產站點中部署自動化系統,以因應未來各種數位應用的發展。然而,在全球網路攻擊事件頻傳下,越來越多攻擊直接鎖定鐵路、變電站和油氣管道等關鍵基礎設施的自動化系統,使得企業也意識到,不能輕忽網路安全問題。
但在 IT/OT 多網融合的同時提高網路安全性,卻是艱鉅的挑戰。舉例來說,多網融合將使得一個統合式網路中的設備和系統數量增加,也由於 IT 和 OT 在營運上的安全要求不同,要將兩者完美融合實非易事。我們將從三個面向,提供檢視與部署網路安全的心法,協助順利跨越充滿挑戰的網路安全叢林。
第一:依據使用者情境,構築工業網路安全防線
工業網路中的連網設備和系統數量不斷增加,駭客趁機入侵以獲得存取權限的機率也大增。我們需從各種可能發生的使用者情境進行全盤考量與審視網路安全問題,以制定縝密的安全漏洞防禦計畫。其中兩種重要的使用者情境如下,值得企業特別關注:
- 遠端連接
遠端運作可有效提升工作效率與彈性,然而,當 IT/OT 多網融合之下,如未採取適當的保護措施,就將機器貿然連上網路,則遠端連接有可能成為安全弱點。企業需明確定義哪些人可存取網路,並建立使用者身分驗證機制,以便嚴格控制網路存取權限,進而阻止未經授權的使用者任意存取網路。此外,透過 VPN 連接工廠內的機器設備和系統,以及對傳輸資料進行加密等措施,都有助於進一步強化網路安全防護。
- 網路管理
企業需持續監控管理網路的安全狀態,而不僅是偶一為之,因此大規模的網路管理是另一個重要情境。在 IT/OT 多網融合的情況下,必須能夠提高網路可視性,以即時掌握大量網路設備的最新安全狀態。企業需定期檢核現有網路節點和新節點,同時還需了解有哪些使用者、將使用哪些應用軟體,更重要的是,必須確認哪些使用者需要存取網路,並部署強而有力的網路管理解決方案,確保偵測到意外事件的第一時間,維運人員就能立即收到吿警。
第二:從整體網路到每個設備,用全方位視角保護工業網路安全
在 IT/OT 多網融合之下,企業將各種不同的系統整合進一個統合的網路基礎設施。因此,全盤掌握這個網路基礎設施的安全,才能確保所有網路設備都受到保護。我們建議從下列三個層級全面著手,來建構縱深防禦安全架構:
- 管理層
毋庸置疑地,企業要隨時掌握網路安全狀態,因此需同時部署網路管理和安全管理解決方案。除了藉助網路管理工具查看每個節點的安全狀態外,還可透過安全儀表板,更便利地管理網路安全設備、記錄相關安全事件,並分析網路安全報告,作為持續改進的依據。
- 網路層
控管網路存取權,是保護網路免於遭受入侵的第一步,而部署防火牆和安全路由器有助於控制網路存取、管理網路流量和資料傳輸,並將網路劃分為多個網段來管理,如果入侵者取得了某個網路設備的存取權限,企業可將威脅控制在特定網段中,避免整個網路皆淪陷。此外,還可使用工業級入侵防禦系統(IPS)裝置來辨識威脅,並在偵測到入侵事件時,即時發出警告。
- 設備層
如未採取適當的防禦措施,網路設備有可能為系統帶來潛在的安全風險。可透過密碼設定原則、關閉未使用的連接埠和服務等安全機制,來提升設備安全性,並將惡意網路存取的機率降到最低。此外,為網路設備制定適當的安全漏洞應對流程,也有助於降低網路安全風險。
第三:依據安全標準,保護工業網路
OT 和 IT 人員存取網路的目的和方式各不相同,所採用的安全措施也有目標上的差異。如果沒有同一套安全準則可依循,要確實做好網路安全防護實屬困難。幸而現在業界已有 IEC 62443 和 NERC CIP 等安全標準,可讓公司的 IT 和 OT 人員能以相同準則建立強大的安全防線。越來越多企業採用 IEC 62443 標準,是因為 IEC 62443 標準可為設備擁有者、系統整合商和設備供應商提供一個共通的語言,定義了企業內部不同人員應共同遵循的安全準則。針對網路設備,IEC 62443-4-1 標準特別關注產品生命週期開發是否符合相對應的安全準則。而 IEC 62443-4-2 標準則側重於網路設備的基本安全要求,因此通過此標準認證的設備,都能為工控系統維持在所要求的安全等級 (Security Level) 盡一份力。
透過專為 OT 打造的網路安全解決方案,建構工業應用安全堡壘
選擇專為 OT 打造的網路安全解決方案,更能符合 OT 環境的特殊應用與條件需求,例如 Moxa 專為 OT 應用打造的工業網路安全解決方案,對頻寬,效能,穩定度及可靠度皆有相當高的要求,以維持產線正常運行的目的。更支援網路安全中控管理、大規模部署和即時監控,全面提升網路可視性以建立安全又有效率的工業網路環境,為 IT/OT 多網融合的各項應用建構網路安全堡壘。
本文為投稿文章,不代表社方立場。