垂直与水平网络安全对策，构筑安全网络基础设施

• 关键词：摩莎,工业网络安全
• 摘要：如今，越来越多企业认识到，数字化是生存发展的必由之路。德勤 2019 年智能工厂研究显示，86% 的制造商认为智能工厂计划将会是未来五年内增强竞争力的主要因素。

如今，越来越多企业认识到，数字化是生存发展的必由之路。德勤 2019 年智能工厂研究显示，86% 的制造商认为智能工厂计划将会是未来五年内增强竞争力的主要因素。今年受全球新冠疫情影响，智能工厂计划加速进行。世界经济论坛近期发布的《疫情和后疫情时代制造业与供应链的适应性增强之路》报告表明，制造商正在采取新的运作和管理模式以增强行业适应性。然而，单靠数字化提速还不足以应对当前的危机。以下我们将探讨如何通过加强工业网络适应性以及部署网络安全防护策略确保工业运行持续稳定。

加固工业网络安全的分步流程

由于工业控制系统(ICS)网络安全事故频发，许多企业已开始部署自己的网络安全策略，保护关键资产稳定运行。“是否存在消除 ICS 安全隐患的万全之策？”很遗憾，答案是否定的。网络安全需要从多维度进行考量。通常加强网络安全的第一步是风险评估。第二步是制定相应的安全策略。为有效实施这些安全策略，有必要搭建安全架构协助建立安全网络基础设施。例如：借助访问控制列表，可有效控制用户对网络的访问。最后，企业在 OT 环境下实施工业网络安全对策，积极监控和应对网络安全事故。

图：网络安全分步流程

来源：ARC 咨询集团，https://www.arcweb.com/industry-concepts/cybersecurity-maturity-model

网络安全需全盘部署

如上文所示，工业网络安全流程包含不同阶段，每一阶段均有不同对策。既然不存在能够解决所有问题的单一方案，那么我们建议从整体角度考虑网络安全策略。防火墙等传统对策可为工业网络筑起安全防线，形成有效垂直防护，阻止无权限用户访问网络。但是，如果有人设法冲破垂直防护或工程师不慎发送错误指令，网络便再无能力降低由此产生的风险。因此，部署虚拟补丁和 IDS/IPS 等水平防护同样重要。接下来，我们将探讨垂直和水平防护如何共同发挥重要作用，确保工业网络安全。

图：兼顾水平和垂直数据传输，形成整体网络安全对策

垂直防护——搭建安全网络基础设施，实施安全策略

网络管理

工业网络会不断扩展演变，往往历经几年甚至数十年时间。因此，清晰知晓网络及其各组件状态及架构情况可能是颇具挑战的第一步。依我们的经验来看，工业网络管理工具可扫描整个网络并自动生成拓扑结构，将为 OT 工程师提供大量有用信息，帮助其制定行动方案。

网络保护

网络分区是一项基本预防措施，确保只有特定数据可在指定区域内传输。实现网络分区有多种方法。例如，使用状态防火墙创建第一条防线，无需改变网络拓扑结构，这对需要保持不间断运行的 OT 环境是不错的选择。在较大网络内创建虚拟局域网(VLAN)也有助于网络分区。另一个广泛使用的方法是通过 802.1x (AAA/Radius TACACS)进行认证并通过 ACL 进行访问控制。远程监控和维护在 OT 工程师日常操作中也越来越常见。应时刻谨记：确保安全远程访问能降低网络遭受入侵的概率。

设备安全

随着企业日益重视网络安全，围绕认证和网络分区制定、实施切实可行的安全策略成为两大挑战。IEC 62443 等标准有助于制定工业网络防护策略。下载白皮书了解 IEC 62443 详情。

水平防护——部署工业网络安全策略，积极监控与应对

企业开始实施工业网络安全措施，通常第一步是建立网络分区等防御机制，保护垂直流动的网络数据。这就足够吗？很遗憾，答案也是否定的。虽然垂直数据传输得到妥善管理，防御机制也很完善，但是员工、供应商和承包商仍可直接访问网络。如果保护措施不到位，无形当中允许他们绕过防火墙等传统防护，还可能会给工业网络带来病毒或恶意软件。所以虚拟补丁和入侵防御等水平防护对保护 PLC 和 HMI 等关键资产至关重要。

工业级 IPS 保护关键资产

由于 PLC 和 HMI 主要用来控制生产过程，如果 PLC 和控制中心之间通讯不畅或 HMI 发生故障，都可能对资产造成损害甚至伤及员工。因此，关键是要阻止 PLC 和 HMI 系统安装任何未经授权的协议或功能。工业级 IPS（入侵防御系统）采用以 OT 为中心的深层数据包检测技术，可识别多种工业协议，还能允许或禁止读写访问等特定功能。这样，工业网络中的数据便能确保安全可信。

虚拟补丁保护未升级设备

众所周知，设备要不断更新软件才能抵御网络威胁。然而，对于工业网络，关闭系统来进行软件更新有时不太现实。而且，对于有些关键资产，想更新已不太可能。例如：由于 Windows XP 不再支持更新，一些使用该系统的 HMI 就无法获得更新。这种情况下，虚拟补丁便可发挥重要作用，保护关键资产免受最新网络安全威胁。

安全管理令设备状态清晰可见

维护或快速调整运行当中的网络非常具有挑战性。可以选择安全管理软件来管理设备和安全策略，还可通过此类软件部署虚拟补丁。

既然没有单一的网络安全解决方案，企业就必须先审视网络状态，然后选择合适的解决方案组合。建议从网络基础设施的安全性和工业网络安全两个角度出发，建立垂直和水平防护。

Moxa 是工业网络和网络安全专家，为您的工业网络提供全方位保护。了解详情请访问：www.moxa.com/Security。