0已點贊

IT/OT融合時代 OT網絡安全的變化與對策

行業科普 2024年12月06日 13:57:13來源：控制工程網 25936

摘要探索運營技術網絡安全的復雜性，可能是一項艱巨的任務；本文深入探討了IT/OT集成所面臨的挑戰、暴露的漏洞，并倡導在數字化時代采取平衡的戰略方法來保護關鍵基礎設施。

　　【儀表網行業科普】探索運營技術網絡安全的復雜性，可能是一項艱巨的任務；本文深入探討了IT/OT集成所面臨的挑戰、暴露的漏洞，并倡導在數字化時代采取平衡的戰略方法來保護關鍵基礎設施。

　　在當今的現代工業環境中，運營技術(OT)和信息技術(IT)的融合為制造企業帶來了諸多好處。OT是指用于控制和監控物理設備和過程的硬件和軟件，如工廠機器、印刷機、機器人和計算機終端等。

　　這種集成促進了實時數據分析、預測性維護和增強決策，并徹底改變了工業運營。然而，它也帶來了許多網絡安全挑戰。OT網絡面臨的潛在威脅，凸顯了企業需要優先考慮網絡安全措施，并投資于強大的防御系統，以保護其關鍵基礎設施。本文討論了OT環境下需要考慮的網絡安全因素，并概述了IT/OT融合帶來的挑戰和漏洞。

　　01 網絡安全威脅形勢的變化

　　過去，OT系統與IT網絡和互聯網隔離運行，這提供了一定程度的固有機器和數據安全。盡管存在這種隔離，但它們仍然容易受到網絡威脅的影響。例如，通過USB存儲盤或CD等可移動介質，很容易將惡意軟件引入到這些孤立的系統中。不過，這種有限程度的網絡安全威脅通常被認為是溫和的。

　　然而，隨著各行業開始集成IT和OT系統(將傳感器、計算機和數據收集系統放在網絡上，在某些情況下放進云端)，網絡安全威脅形勢發生了變化，使OT系統面臨更廣泛的現代網絡威脅。許多老舊的OT系統仍在運行，加劇了這一問題，因為在設計這些系統時，網絡安全不是主要問題。它們需要更強大的安全功能來抵御現代網絡威脅。

　　▲圖：在企業內，信息技術(IT)和運營技術(OT)是由兩套不同的平臺、技術和組件構成。

　　IT與OT的集成帶來了相互沖突的需求和優先事項，使網絡安全形勢進一步復雜化。在OT環境中，優先考慮的是系統的可用性，因為任何停機都可能導致重大的運營中斷和潛在的安全隱患。相比之下，傳統上IT系統優先考慮機密性。這種優先事項的差異為協調IT和OT領域的網絡安全策略帶來了獨特的挑戰，因此需要一種平衡所有關鍵要素的方法：機密性、完整性和可用性。

　　有許多因素使IT和OT安全威脅具有挑戰性。其中包括使用來自低成本供應商的未經測試的現成商業組件。網絡上的機器和傳感器等OT設備，會將OT系統的各個方面暴露給訪問本地網絡的人。遠程監控和訪問的增加使OT系統面臨外部網絡攻擊和未經授權的訪問。

　　工業過程和關鍵基礎設施嚴重依賴OT系統。不幸的是，很多類似系統都建立在過時的技術之上，不符合當前網絡安全威脅時代的要求。為了確保OT環境的安全，必須了解為什么仍在使用這些系統以及它們存在的漏洞。OT系統的設計注重使用壽命，這可能導致潛在的高更換成本。此外，這些系統往往缺乏現代安全功能，并使用過時的軟件。這些挑戰往往導致這些系統的升級成本非常高，甚至令人望而卻步。

　　02 實現OT網絡安全最佳實踐的關鍵要素

　　將IT和OT系統集成在一起不僅對運營至關重要，也是加強網絡安全的戰略步驟。首先，在這兩個領域建立一個正確的IT/OT策略。安全策略應在所有系統中保持一致。OT系統必須同時遵守IT系統的最佳實踐，IT和OT安全實踐必須統一。

　　網絡安全最佳實踐在OT領域至關重要，可以保護關鍵基礎設施免受日益增長的網絡威脅。在形成最佳實踐方面，標準起了至關重要的作用，為確保OT系統的安全提供結構化的指導和框架。OT網絡安全的通用標準，包括IEC 62443、NIST SP 800-82和ISO 27001。根據既定標準和準則，實現OT網絡安全最佳實踐的關鍵要素包括：

　　1 制定風險管理和安全政策

　　制定包括所有OT設備和軟件的資產清單。根據資產的關鍵性及其損害對組織的潛在影響，對資產進行分類。然后定期進行風險評估，以識別OT網絡中的漏洞，并根據風險級別對其進行優先級排序。最后，建立并維護特定于OT環境需求的安全政策，明確界定人員之間的安全責任。

　　2 具有持續的網絡安全和監控

　　將OT網絡與IT網絡隔離，并使用防火墻和非軍事區(DMZ)來控制不同網段之間的流量。然后實施持續監控策略，實時檢測異常活動或未經授權的訪問嘗試。這可能涉及為OT環境量身定制的入侵檢測系統。

　　3 對整個OT和IT系統進行訪問控制和管理

　　標準化訪問控制、身份驗證和授權(通常稱為三A策略)，可以確保關鍵系統只能由授權用戶訪問。執行最低權限原則，確保用戶只有執行其工作所需的訪問權限。利用多因素身份驗證(MFA)遠程訪問OT系統，在傳統用戶名和密碼之外額外增加一層安全性。

　　4 維護系統和數據的完整性

　　考慮OT環境的運行限制，建立應用補丁的系統方法。如果打補丁不可行，可實施補償控制，如虛擬打補丁。通過實施備份程序并在適當情況下使用加密措施，來保護傳輸中和靜止中的敏感數據，確保數據的完整性。

　　5 制定事件響應和恢復計劃

　　制定事件響應計劃，包括OT環境的具體程序，考慮網絡事件的潛在物理影響。制定災難恢復計劃，以便在發生網絡安全事件時恢復運營所需的時間最小。

　　6 開展持續的教育和培訓

　　定期對所有OT人員進行網絡安全意識培訓，重點關注OT網絡安全的獨特方面。為IT和OT安全團隊提供技術培訓，涵蓋OT環境中使用的特定技術和流程。

　　03 從何處開始著手？

　　為了加強OT的網絡安全，制造企業應對其系統進行全面審計，以識別和評估所有資產中的任何漏洞。這一關鍵步驟將為針對獨特的OT環境定制安全策略鋪平道路。重點應放在將技術保障與以人為中心的要素(如培訓計劃)相結合，以確保人員具備識別和應對網絡威脅和事件的能力。

　　在計劃和執行系統升級等長期解決方案的同時，必須立即采取措施。投資應優先考慮虛擬補丁和其它風險緩解技術，以解決老舊系統的漏洞問題。這些短期防御將是保持系統完整性以應對持續網絡威脅的關鍵緩沖。此外，網絡安全預算應被視為運營投資的一個組成部分，對確保安全和連續性至關重要。最后，組織還應培養協作和信息共享的文化。必須保持積極主動，不斷更新網絡安全戰略和事件應對計劃，以適應快速變化的威脅形勢。

我要評論

昵稱

匿名

文明上網，理性發言。（您還可以輸入200個字符)

表情

所有評論僅代表網友意見，與本站立場無關。

儀表網首頁資訊首頁

延伸閱讀

版權與免責聲明

凡本網注明"來源：儀表網"的所有作品，版權均屬于儀表網，未經本網授權不得轉載、摘編或利用其它方式使用上述作品。已經本網授權使用作品的，應在授權范圍內使用，并注明"來源：儀表網"。違反上述聲明者，本網將追究其相關法律責任。
本網轉載并注明自其它來源的作品，目的在于傳遞更多信息，并不代表本網贊同其觀點或證實其內容的真實性，不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時，必須保留本網注明的作品來源，并自負版權等法律責任。
如涉及作品內容、版權等問題，請在作品發表之日起一周內與本網聯系，否則視為放棄相關權利。
合作、投稿、轉載授權等相關事宜，請聯系本網。聯系電話：0571-87759945，QQ：1103027433。