隨著工業(yè)環(huán)境中連接性的增加,添加到網(wǎng)絡(luò)中的每個(gè)設(shè)備都會(huì)在工業(yè)網(wǎng)絡(luò)或工業(yè)控制系統(tǒng)上產(chǎn)生潛在的弱點(diǎn)或漏洞。網(wǎng)絡(luò)的這種演變迫使資產(chǎn)所有者考慮如何增強(qiáng)其安全狀態(tài),以降低可能危及其系統(tǒng)運(yùn)營(yíng)可用性的風(fēng)險(xiǎn)。大多數(shù)網(wǎng)絡(luò)運(yùn)營(yíng)商都認(rèn)為保護(hù)其網(wǎng)絡(luò)安全的最佳方法是遵循IEC 62443標(biāo)準(zhǔn)中規(guī)定的指導(dǎo)原則。
了解安全風(fēng)險(xiǎn)
在安全專家中,普遍的共識(shí)是內(nèi)部網(wǎng)絡(luò)的六個(gè)主要安全威脅是:(1)未經(jīng)授權(quán)的訪問,(2)不安全的數(shù)據(jù)傳輸,(3)未加密的密鑰數(shù)據(jù),(4)不完整的事件日志,(5)缺乏安全監(jiān)控,以及(6)人為配置錯(cuò)誤。最重要的是,網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)了解這些威脅,以便他們可以部署具有足夠安全功能的設(shè)備,并確保其網(wǎng)絡(luò)免受內(nèi)部和外部威脅?,F(xiàn)在將考慮可能出現(xiàn)這些安全風(fēng)險(xiǎn)的情況以及網(wǎng)絡(luò)運(yùn)營(yíng)商可用于中和其網(wǎng)絡(luò)威脅的一些選項(xiàng)。
防止入侵和攻擊
帳戶管理和密碼驗(yàn)證對(duì)于保護(hù)網(wǎng)絡(luò)至關(guān)重要。此外,標(biāo)識(shí)符管理策略也很重要,它通常包括幾個(gè)參數(shù)以進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。這些參數(shù)通常會(huì)確保帳戶只能由創(chuàng)建它們的用戶使用,并且用戶只能訪問他們履行工作角色所需的部分網(wǎng)絡(luò)。部署在網(wǎng)絡(luò)上的設(shè)備應(yīng)該能夠?qū)⒂脩魪乃麄儾粦?yīng)該訪問的帳戶中記錄下來,并警告網(wǎng)絡(luò)運(yùn)營(yíng)商任何違規(guī)行為。這將進(jìn)一步降低某人未經(jīng)授權(quán)訪問網(wǎng)絡(luò)或設(shè)備的機(jī)會(huì)。
保護(hù)敏感數(shù)據(jù)
當(dāng)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí),網(wǎng)絡(luò)上的所有設(shè)備都必須支持和實(shí)施數(shù)據(jù)加密。這幾乎可以消除傳輸過程中數(shù)據(jù)被盜的風(fēng)險(xiǎn)。數(shù)據(jù)完整性如此重要的原因在于它保證了數(shù)據(jù)的準(zhǔn)確性,并且可以在需要時(shí)可靠,安全地處理和檢索數(shù)據(jù)。此外,工業(yè)控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的配置非常重要。如果配置數(shù)據(jù)不準(zhǔn)確或可以損壞,則可能會(huì)削弱網(wǎng)絡(luò)操作。為了降低配置數(shù)據(jù)損壞的風(fēng)險(xiǎn),設(shè)備必須支持和實(shí)施配置加密。
可視化網(wǎng)絡(luò)的安全狀態(tài)
可視化網(wǎng)絡(luò)安全狀態(tài)的軟件允許網(wǎng)絡(luò)運(yùn)營(yíng)商監(jiān)控網(wǎng)絡(luò)上發(fā)生的任何異?;驖撛谄茐男曰顒?dòng)。此外,這種類型的軟件可以幫助網(wǎng)絡(luò)運(yùn)營(yíng)商在出現(xiàn)問題之前通過允許網(wǎng)絡(luò)運(yùn)營(yíng)商快速瀏覽一下是否將正確的設(shè)置應(yīng)用于網(wǎng)絡(luò)上的每個(gè)設(shè)備來幫助它們。如果設(shè)備不夠安全,網(wǎng)絡(luò)運(yùn)營(yíng)商可以在黑客有機(jī)會(huì)攻擊設(shè)備之前識(shí)別問題。通常涵蓋的安全功能可以包括密碼策略,加密,登錄憑據(jù)以及確保數(shù)據(jù)的完整性。