隨著 OT(操作技術(shù))與 IT(信息技術(shù))融合需求不斷增加����,數(shù)據(jù)安全比以往任何時(shí)候都更受人關(guān)注����。事實(shí)上,國(guó)際數(shù)據(jù)公司 (IDC) 的一項(xiàng)調(diào)查發(fā)現(xiàn)����,安全性被認(rèn)為是 OT/IT 集成的首要障礙。但同時(shí)����,它也被視為 OT/IT 集成的五大激勵(lì)因素之一,是實(shí)現(xiàn) OT/IT 融合的重要手段����。然而,將 OT 和 IT 系統(tǒng)從傳統(tǒng)的封閉數(shù)據(jù)系統(tǒng)集成到開放數(shù)據(jù)系統(tǒng)后����,可能會(huì)出現(xiàn)未經(jīng)授權(quán)用戶訪問組織私有操作數(shù)據(jù)的情況。
IDC 臺(tái)灣總經(jīng)理 Helen Chiang 在 Moxa 發(fā)起的安全談話節(jié)目中說到:“如果我們仔細(xì)研究為什么安全性是最大的障礙����,就會(huì)發(fā)現(xiàn)在 OT 環(huán)境中����,最重要的安全問題之一是如何安全可靠地維護(hù)既有運(yùn)行的系統(tǒng)����。在 OT 層面����,你會(huì)發(fā)現(xiàn)許多既有系統(tǒng)和應(yīng)用。它們不僅是獨(dú)立的����,而且沒有客戶端,這意味著這些資產(chǎn)只能通過有限的資源來運(yùn)行我們通常在 IT 環(huán)境中使用的安全解決方案����。”
在將既有系統(tǒng)接入網(wǎng)絡(luò)時(shí)����,可以通過一些技巧來增強(qiáng)連接安全性,減輕用戶對(duì) OT/IT 集成項(xiàng)目的安全擔(dān)憂����。
技巧 1: 更改聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼
既有系統(tǒng)是通過聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)����。因此����,要提高連接安全性,第一件事就是更改聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼����。默認(rèn)密碼的安全強(qiáng)度通常較低,容易在公開的用戶手冊(cè)中找到����。輕松完成這一步即可防患于未然。
技巧 2:禁用未使用但已連接的端口和服務(wù)
部署聯(lián)網(wǎng)設(shè)備時(shí)����,一些未使用的端口或不必要的服務(wù)可能會(huì)讓您的應(yīng)用遭受網(wǎng)絡(luò)威脅的幾率大增。您可以禁用這些端口和服務(wù)����,以防為不必要訪問提供路徑。
技巧 3:在更新固件前驗(yàn)證來源
聯(lián)網(wǎng)設(shè)備需要更新固件時(shí)����,請(qǐng)確保有驗(yàn)證固件來源的機(jī)制����?���?梢詸z查循環(huán)冗余校驗(yàn) (CRC) 代碼����,確保您即將使用的固件來自官方來源。另一種方法是使用安全啟動(dòng)功能����,以此確保運(yùn)行固件的完整性。
技巧 4:使用安全通訊協(xié)議
聯(lián)網(wǎng)保留系統(tǒng)使用安全協(xié)議(即支持 TLS 1.2 的 HTTPS 和 SNMPv3 協(xié)議)至關(guān)重要����。安全協(xié)議可以減少對(duì)聯(lián)網(wǎng)設(shè)備的不必要訪問,并增強(qiáng)數(shù)據(jù)傳輸?shù)耐暾?���。此外,在部署?lián)網(wǎng)設(shè)備時(shí)����,需禁用不安全協(xié)議����,才能最大限度減少發(fā)生人工操作失誤的可能性����。
技巧 5:只允許授權(quán)用戶訪問您的設(shè)備和網(wǎng)絡(luò)
優(yōu)先考慮關(guān)鍵資產(chǎn),啟用網(wǎng)絡(luò)分區(qū)����,從而清晰知曉特定分區(qū)可有哪些權(quán)限。此外����,設(shè)置信任列表,例如列出允許訪問的 IP 地址����,防止非授權(quán)用戶訪問保留系統(tǒng)。同時(shí)還可以使用其他高級(jí)功能來限制不必要訪問����,例如為設(shè)備和網(wǎng)絡(luò)定義特殊協(xié)議格式或命令。
技巧 6:傳輸前加密關(guān)鍵數(shù)據(jù)
在 OT 環(huán)境中����,關(guān)鍵數(shù)據(jù)泄漏會(huì)導(dǎo)致系統(tǒng)停機(jī)����,從而影響操作效率����。對(duì)于聯(lián)網(wǎng)的既有系統(tǒng),可對(duì)傳輸?shù)年P(guān)鍵數(shù)據(jù)進(jìn)行加密����,增強(qiáng)數(shù)據(jù)的保密性����,降低對(duì)日常操作產(chǎn)生負(fù)面影響的可能性。
技巧 7:持續(xù)監(jiān)控網(wǎng)絡(luò)設(shè)備是否處于正常安全級(jí)別
將既有系統(tǒng)接入網(wǎng)絡(luò)時(shí)����,應(yīng)根據(jù)應(yīng)用需求定義安全措施,以便輕松監(jiān)控和管理聯(lián)網(wǎng)設(shè)備����。當(dāng)系統(tǒng)網(wǎng)絡(luò)啟動(dòng)運(yùn)行后,持續(xù)監(jiān)控設(shè)備的安全狀態(tài)����,確保其滿足最初設(shè)置的要求����。
技巧 8:定期掃描漏洞����,發(fā)現(xiàn)潛在威脅
了解保留系統(tǒng)的潛在威脅至關(guān)重要。定期掃描漏洞可以幫助您更好地了解整個(gè)系統(tǒng)的安全狀態(tài)����,并酌情采取必要行動(dòng)。
技巧 9:為聯(lián)網(wǎng)設(shè)備添加安全補(bǔ)丁����,減少漏洞
眾所周知,安全補(bǔ)丁十分重要����。然而,在作業(yè)現(xiàn)場(chǎng)為設(shè)備添加補(bǔ)丁并非易事����。從企業(yè)角度來看,當(dāng)您暫停作業(yè)來測(cè)試和執(zhí)行補(bǔ)丁時(shí),可能產(chǎn)生巨額成本����。但如果置之不顧,不為設(shè)備添加安全補(bǔ)丁����,風(fēng)險(xiǎn)和成本也會(huì)隨之產(chǎn)生。一種更具可持續(xù)性的折中做法是在成本可控的前提下為關(guān)鍵系統(tǒng)設(shè)置添加安全補(bǔ)丁����。
技巧 10:為保留系統(tǒng)的已知漏洞添加虛擬補(bǔ)丁
有時(shí)系統(tǒng)沒有可用的安全補(bǔ)丁,還有一些保留系統(tǒng)無法執(zhí)行補(bǔ)丁����。對(duì)于這些情況,添加虛擬補(bǔ)丁是不錯(cuò)的選擇����。您可以為保留系統(tǒng)接入的網(wǎng)絡(luò)添加虛擬補(bǔ)丁����,來修復(fù)已知漏洞,保護(hù)設(shè)備免受攻擊����。在下一個(gè)維護(hù)周期前����,為系統(tǒng)設(shè)置虛擬補(bǔ)丁也是一種預(yù)留緩沖時(shí)間的好方法����。
在連接保留系統(tǒng)時(shí),請(qǐng)酌情采納以上 10 個(gè)技巧——它們可以幫助您增強(qiáng)連接安全性����,并將保留系統(tǒng)的安全威脅降至最低。Moxa 為您的邊緣連接安全提供全方位防護(hù)����,詳情請(qǐng)?jiān)L問 Moxa 網(wǎng)站。