05
提高网络安全的重要工具
除了基本策略之外,还有一些策略可以帮助企业在短期和长期内改善网络安全态势。
■ 网络分段。如果现在运行的工业网络,在机器、区域或功能之间的分段有限,那么加强网络安全的良好开端可能是在网络中创建更多的分段,以限制不必要的通信。除了减少发送到所有设备的广播消息的数量之外,分段可能是防火墙解决方案的先决条件,也是安全方法(如ISA/IEC62443)中的一个考虑因素。如果使用的交换机不支持VLAN等功能,则可能需要升级交换机硬件。
■ 防火墙。在工业和办公网络之间设置防火墙,是限制设备通信路径的第一步。在考虑防火墙时,请寻找那些了解内置工业协议的防火墙,并根据未来所需的带宽和连接数量对其进行调整。应计划在工业和办公网络的连接之间设置防火墙,以尽量减少中断,在开始执行规则和阻止未定义的通信时必须小心。防火墙还可以用作一种安全访问手段:通过使用虚拟专用网络(VPN)功能,从外部提供对工业网络的安全访问。这将允许去除现有的远程访问技术,并将其整合为一个集中且可管理的方法。
■ 入侵检测/预防系统。实施入侵检测或入侵预防系统(IDS/IPS)有许多不同的方法。通常,这些解决方案将分析网络通信,并对未知、意外或预定义的活动发出报警。对于人机界面(HMI)和监控与数据采集(SCADA)系统,如果软件不与系统运行能力冲突,则也可将基于主机的方法纳入解决方案。一些新产品包括更先进的学习功能,使它们能够了解环境中的正常通信,从而可以对可疑行为报警。根据IDS/IPS的提供方式,可能需要网络通信数据、网络交换机变更或添加网络接头,并应与解决方案供应商讨论。
■ 软件定义网络(SDN)。对于希望对设备间通信实施更细粒度控制的企业来说,软件定义网络可能是个选择。每个设备或设备组只能通过配置定义的特定端口或协议进行通信。此解决方案的实施可能需要新的交换机和控制器,但从安全角度来看,收益将远远大于投入。
在安全性和必要性以及可接受的风险之间,找到合适的平衡点,对于每个企业来说都是不同的。随着对工业网络的攻击越来越多、越来越复杂,如何把握这一界限,从未像现在这样关键和具有挑战性。本文列出的方法和注意事项,可以作为指南、查找差距的方法和对话的起点。这两个优先事项之间始终存在冲突,那些能够管理好它们的企业,将永远不会停止评估和创新其网络安全解决方案。