在疫情橫掃全球的過去兩年間,全球環境起了重大的變化。企業從來不曾像現在這樣,面臨著這麼高的不確定性,從材料短缺,一直到供應鏈中斷。這些因素驅策著企業傾全力增強營運韌性,以便保持競爭力。對許多產業而言,IT 與 OT 融合是提升韌性的捷徑。為確保兩者能成功融合,開發安全可靠的網路基礎設施至關重要。
《IDC 技術聚焦》報告指出,想要將 IT 和 OT 融合在一起,企業需無縫地結合網路連接和網路安全準則與功能。然而,IT 和 OT 的結合,卻使得工業網路變得更複雜,特別是現在有越來越多的現場設備,都需連接到網路。在此情況下,提升網路功能,以便可靠又準確地處理海量資料,顯得尤為重要。此外,安全問題也不容忽視。隨著連網設備數量增加,駭客入侵網路的風險也急遽攀升。落實安全原則,是為網路基礎設施奠定穩固基礎的第一步。然而,在 OT 領域部署網路安全設計的挑戰性不低,因為不同工業應用,其網路連接和網路安全要求相去甚遠。本文將探討如何加強工業網路安全性,以奠定穩固的網路基礎,進而成功實現 IT 與 OT 融合。
工業網路安全:需要考慮的事項
OT 領域對於運作中斷零容忍。一旦系統停機,企業需承受巨大損失。網路安全準則會建議業者不斷更新系統,以強化網路保護力,並抵禦千變萬化的網路威脅。這使得 OT 業者對落實網路安全準則感到猶豫不決,因為每次更新系統,就需停止部分運作,導致生產效率大幅下滑。為同時兼顧不間斷運作和網路安全準則需求,我們建議您採用兩階段方式來增強網路安全性。首先,請建立基本運作所需的分層防禦以抵擋網路威脅,接著則需建構安全的網路,以因應不間斷運作要求。以下將詳細說明這些要點。
針對工業運作採取縱深防禦策略
縱深防禦的概念是在網路各個層面實施網路安全保護措施,以提供多層的保護,將安全風險降到最低。在發生入侵事件時,您可快速發現並消除威脅,以便將可能的損失降到最低。要想建立強大的防禦系統,首先您需對貴公司進行徹底的安全評估。接著,請根據評估報告,部署多層保護,並針對企業的各項面向部署網路安全措施,包括實體、ICS 網路和設備的安全防護。您可參考專為工業自動化和控制系統制定的國際安全標準,以便輕鬆落實縱深防禦概念。IEC 62443 標準為縱深防禦安全部署提供完整的指引,讓企業能夠為工業運作奠定穩固的安全基礎。
建構可滿足工業運作需求的安全網路基礎設施
在開發安全的網路基礎設施,特別是適用於 IT/OT 融合的網路基礎設施時,請確定 OT 現場的網路連接既安全又可靠。以下將進一步闡述,在加強 OT 網路基礎設施的安全性時,您需仔細考慮的幾個要點。
選擇安全設備,強化網路邊緣安全性
過去,在完全隔離情況下,OT 系統具有無與倫比的安全性。有時,企業甚至完全忘了安全性這回事。今天,隨著現場設備開始連網,您的網路設備不僅需具備工業級可靠性,以避免發生意外停機,同時還需具備基本的安全功能,以抵禦網路威脅。使用者身分認證等安全機制,有助於控制使用者對網路的存取。安全啟動是另一項重要的安全防護功能,可確保網路設備的完整性。建立安全檢查表,以便驗證您的網路設備是否受到保護,是維持安全網路環境的利器。此外,您可檢查網路設備是否通過 IEC 62443 等國際安全標準的認證。符合此標準的設備,代表它們是根據 IEC 62443-4-1 安全產品開發生命週期準則開發的,具有安全防護功能,可保護網路設備並增強整體網路安全性。
以不同安全功能保護網路
如欲實現最佳的 OT 網路保護,分層防禦必不可少。它可確保當某一層保護被攻破時,仍有下一層保護可抵禦威脅。將 OT 網路劃分為多個區域,是另一種提高網路安全性的方法,可避免威脅擴散到其他系統。利用 VLAN 和防火牆等功能,您可將網路劃分為多個彼此隔離的區域,並過濾惡意或未經授權的流量,以進一步保障安全性。如果網路節點被入侵,工業入侵偵測/防護系統(IDS/IPS)可採取主動防護措施,以識別並遏止特定區域內的威脅。添加存取控制功能是另一個加強網路安全性的好方法。您還可利用 IEEE 802.1X 等認證協定,來驗證使用者是否正在存取 OT 網路。有些存取控制功能僅允許授權使用者(依照 MAC 位址或其他身分認證來判斷)透過指定的埠連入網路,並根據其角色存取特定區域的網路。
深入洞察網路狀態並簡化管理
連網的現場設備越多,就越難以有效地配置、監控和維護網路。OT 使用者需透過實用工具,快速配置大量設備的安全設定,將網路管理複雜性降到最低。此外,您需找到合適的方法,來輕鬆監控並維護每台網路設備的安全等級,讓日常運作變得更順暢。為工業網路選擇設備時,請同時尋找易用且具有 OT 操作介面的網路管理工具,以便省時省力地管理安全設定和監控網路設備的安全狀態。
善用適合您的網路基礎設施的連網和 OT 專用安全防護工具
建構安全的網路基礎設施時,請仔細挑選合適的設備。Moxa EDS-4000/G4000 系列是經過 IEC 62443-4-2 認證的乙太網路交換器,旨在協助您提升工業網路的安全性,並因應各種不同的網路需求。EDS-4000/G4000 系列的設計遵循嚴格的 IEC 62443 安全準則,讓您能夠打造靈活的安全網路解決方案,以通過不同產業(包括關鍵基礎設施)對網路安全評估的嚴苛要求。
EDS-4000/G4000 系列除可增強網路安全外,同時還提供強大的網路功能,以協助您開發與時俱進的的網路,並以更高的可靠性和安全性,加速進行 IT/OT 融合。請瀏覽 Moxa 網站,以獲得下一代 EDS-4000/G4000 系列工業級網管型乙太網路交換器的完整資訊。