隨著 OT(操作技術)與 IT(信息技術)融合需求不斷增加,數(shù)據(jù)安全比以往任何時候都更受人關注。事實上,國際數(shù)據(jù)公司 (IDC) 的一項調查發(fā)現(xiàn),安全性被認為是 OT/IT 集成的首要障礙。但同時,它也被視為 OT/IT 集成的五大激勵因素之一,是實現(xiàn) OT/IT 融合的重要手段。然而,將 OT 和 IT 系統(tǒng)從傳統(tǒng)的封閉數(shù)據(jù)系統(tǒng)集成到開放數(shù)據(jù)系統(tǒng)后,可能會出現(xiàn)未經(jīng)授權用戶訪問組織私有操作數(shù)據(jù)的情況。
IDC 臺灣總經(jīng)理 Helen Chiang 在 Moxa 發(fā)起的安全談話節(jié)目中說到:“如果我們仔細研究為什么安全性是最大的障礙,就會發(fā)現(xiàn)在 OT 環(huán)境中,最重要的安全問題之一是如何安全可靠地維護既有運行的系統(tǒng)。在 OT 層面,你會發(fā)現(xiàn)許多既有系統(tǒng)和應用。它們不僅是獨立的,而且沒有客戶端,這意味著這些資產(chǎn)只能通過有限的資源來運行我們通常在 IT 環(huán)境中使用的安全解決方案。”
在將既有系統(tǒng)接入網(wǎng)絡時,可以通過一些技巧來增強連接安全性,減輕用戶對 OT/IT 集成項目的安全擔憂。
技巧 1: 更改聯(lián)網(wǎng)設備的默認密碼
既有系統(tǒng)是通過聯(lián)網(wǎng)設備接入網(wǎng)絡。因此,要提高連接安全性,第一件事就是更改聯(lián)網(wǎng)設備的默認密碼。默認密碼的安全強度通常較低,容易在公開的用戶手冊中找到。輕松完成這一步即可防患于未然。
技巧 2:禁用未使用但已連接的端口和服務
部署聯(lián)網(wǎng)設備時,一些未使用的端口或不必要的服務可能會讓您的應用遭受網(wǎng)絡威脅的幾率大增。您可以禁用這些端口和服務,以防為不必要訪問提供路徑。
技巧 3:在更新固件前驗證來源
聯(lián)網(wǎng)設備需要更新固件時,請確保有驗證固件來源的機制。可以檢查循環(huán)冗余校驗 (CRC) 代碼,確保您即將使用的固件來自官方來源。另一種方法是使用安全啟動功能,以此確保運行固件的完整性。
技巧 4:使用安全通訊協(xié)議
聯(lián)網(wǎng)保留系統(tǒng)使用安全協(xié)議(即支持 TLS 1.2 的 HTTPS 和 SNMPv3 協(xié)議)至關重要。安全協(xié)議可以減少對聯(lián)網(wǎng)設備的不必要訪問,并增強數(shù)據(jù)傳輸?shù)耐暾浴4送猓诓渴鹇?lián)網(wǎng)設備時,需禁用不安全協(xié)議,才能最大限度減少發(fā)生人工操作失誤的可能性。
技巧 5:只允許授權用戶訪問您的設備和網(wǎng)絡
優(yōu)先考慮關鍵資產(chǎn),啟用網(wǎng)絡分區(qū),從而清晰知曉特定分區(qū)可有哪些權限。此外,設置信任列表,例如列出允許訪問的 IP 地址,防止非授權用戶訪問保留系統(tǒng)。同時還可以使用其他高級功能來限制不必要訪問,例如為設備和網(wǎng)絡定義特殊協(xié)議格式或命令。
技巧 6:傳輸前加密關鍵數(shù)據(jù)
在 OT 環(huán)境中,關鍵數(shù)據(jù)泄漏會導致系統(tǒng)停機,從而影響操作效率。對于聯(lián)網(wǎng)的既有系統(tǒng),可對傳輸?shù)年P鍵數(shù)據(jù)進行加密,增強數(shù)據(jù)的保密性,降低對日常操作產(chǎn)生負面影響的可能性。
技巧 7:持續(xù)監(jiān)控網(wǎng)絡設備是否處于正常安全級別
將既有系統(tǒng)接入網(wǎng)絡時,應根據(jù)應用需求定義安全措施,以便輕松監(jiān)控和管理聯(lián)網(wǎng)設備。當系統(tǒng)網(wǎng)絡啟動運行后,持續(xù)監(jiān)控設備的安全狀態(tài),確保其滿足最初設置的要求。
技巧 8:定期掃描漏洞,發(fā)現(xiàn)潛在威脅
了解保留系統(tǒng)的潛在威脅至關重要。定期掃描漏洞可以幫助您更好地了解整個系統(tǒng)的安全狀態(tài),并酌情采取必要行動。
技巧 9:為聯(lián)網(wǎng)設備添加安全補丁,減少漏洞
眾所周知,安全補丁十分重要。然而,在作業(yè)現(xiàn)場為設備添加補丁并非易事。從企業(yè)角度來看,當您暫停作業(yè)來測試和執(zhí)行補丁時,可能產(chǎn)生巨額成本。但如果置之不顧,不為設備添加安全補丁,風險和成本也會隨之產(chǎn)生。一種更具可持續(xù)性的折中做法是在成本可控的前提下為關鍵系統(tǒng)設置添加安全補丁。
技巧 10:為保留系統(tǒng)的已知漏洞添加虛擬補丁
有時系統(tǒng)沒有可用的安全補丁,還有一些保留系統(tǒng)無法執(zhí)行補丁。對于這些情況,添加虛擬補丁是不錯的選擇。您可以為保留系統(tǒng)接入的網(wǎng)絡添加虛擬補丁,來修復已知漏洞,保護設備免受攻擊。在下一個維護周期前,為系統(tǒng)設置虛擬補丁也是一種預留緩沖時間的好方法。
在連接保留系統(tǒng)時,請酌情采納以上 10 個技巧——它們可以幫助您增強連接安全性,并將保留系統(tǒng)的安全威脅降至最低。Moxa 為您的邊緣連接安全提供全方位防護,詳情請訪問 Moxa 網(wǎng)站。