工业网络的四种网络安全方法和策略
实施网络安全计划的公司需要有一个明确的议程,并了解可用的工具。重点介绍了四种方法和产品。
学习目标
- 随着越来越多的设备变得容易受到攻击,企业需要制定一个强大而连贯的网络安全议程。
- 评估网络安全项目的当前状态并展望未来至关重要。
- 分割、入侵检测系统(IDS)、防火墙和软件定义网络(sdn)可以帮助公司改善其网络安全状况。
网络安全的见解
- 网络安全不仅仅是把一个程序拼凑在一起然后收工。对于制造商和其他行业组织来说,它需要一个全面的计划和自上而下的理解才能取得成功。
- 分割设备、防火墙和入侵检测系统(IDS)可以帮助改善公司的网络安全状况,并让公司了解自己的优势和弱点。
- 归根结底,网络安全项目的强大程度取决于运行该项目的幕后人员。
那些负责工业网络安全的人似乎被拉向了相反的方向。每个月,网络安全和基础设施安全局(CISA)等机构都会发布多个与运营技术(OT)相关的网络安全漏洞,该机构要求专业人员保护其网络免受威胁。
每个月,公司都会提出新的要求或倡议,以实现工业4.0、智能制造或安装工业物联网(IIoT)解决方案。那些负责网络安全的人如何在满足业务需求的同时,仍在努力减轻其环境中这些新的和现有的风险?以下是一些公司应该实施的网络安全方法和注意事项。
1.理解或制定规则
理解这一点很重要谁有问责和责任对于一个组织内的工业网络。是企业it、现场工程还是专门的OT员工?这种报告结构如何与CIO或CISO所拥有的更大的企业网络安全风险相关联?谁是对一个功能性和有能力的网络感兴趣的其他涉众,他们如何提供输入或保持对变化的了解?工业网络必须遵守哪些控制、标准或要求?
随着工业网络不再仅仅是设备之间进行流程控制通信的手段,每个组都有自己的优先级和需求。在制定网络安全战略时,由于变化带来的潜在影响,所有这些都必须考虑在内。如果这些问题没有直接的和文件化的答案,那么组织在继续前进之前花时间解决这些问题是很重要的。
2.评估当前网络安全状态
许多网络安全解决方案,如入侵检测系统要求网络基础设施具有仅存在于可配置或管理的交换机中的功能或功能。与网络隔离或分割相关的计划也需要交换机硬件,它能做的不仅仅是允许设备A与设备b通信,在开始任何引入新的网络安全解决方案或改变网络架构的项目之前,要评估工业网络中安装的网络交换机和防火墙。不要忘记关注滑板或机器网络,因为它们可能是与工业4.0或工业物联网相关的未来项目的目标。
在评估时,要考虑有多少物理端口可用,如果处于有效保修或支持合同之下,它具有的功能,以及当前是如何管理或管理的。如果某个位置发现交换机完全满,并且不支持远程管理或虚拟局域网(VLAN)等功能,那么从工程师和网络安全团队的计划中了解即将进行的项目,可能会驱动需要安装的交换机类型作为替代品。如果不知道现在是什么,未来需要什么,大量的时间和资金就会浪费在不恰当的升级或更换上。
3.展望网络基础设施
基于今天的环境实施网络安全解决方案并不是最好的方法。企业需要花时间展望未来,了解在未来1年、3年或5年内添加到控制系统中的新技术和解决方案将如何影响运营这些系统所需的网络和基础设施。工业网络也不仅仅是以太网和IEEE 802.11无线网络。至关重要的是,运营中涉及的所有网络,包括蜂窝、LoRaWAN、蓝牙低能耗(BLE)以及任何特定于供应商的协议,都应包括在网络安全计划和考虑因素中。
由于使用基于云的服务、在IT网络中运行的分析包以及直接连接到供应商系统或平台的第三方服务,入站和出站连接的数量将会增加。在今天设计网络安全战略时,不考虑与基于互联网的服务的交互,这肯定会在未来引起麻烦。因此,识别并参与所有产业网络利益相关者是至关重要的。
4.考虑网络安全能力
如果没有适当的实施、支持和维护,即使是最先进、最强大的网络安全解决方案也毫无价值。
作为任何解决方案评估过程的一部分,组织必须考虑由谁以及如何操作它。组织是否愿意派遣人员进行培训或雇用具有管理和维护新实施的网络安全工具的经验和能力的新人员?他们是否为正在进行的支持合同做了预算?当解决方案在凌晨2点检测到关键事件时,期望的响应是什么?当网络安全解决方案实施时,在控制环境中工作的员工将面临哪些新的责任和期望?
在开始评估网络安全产品或解决方案之前,对这些要点进行调整,可以帮助组织快速筛选不符合组织计划的产品或解决方案。
提高网络安全的四种潜在设备
除了基本策略之外,具体的策略可以帮助公司在短期和长期内改善其网络安全态势。第四个应该排在最前面。
1.分段的设备- - - - - -如果目前正在运行的工业网络在机器、区域或功能之间的分离有限,那么增强网络安全的一个良好开端可能是在网络中创建更多的分割,以限制不必要的通信。除了降低发送到所有设备的广播消息量外,分段可能是防火墙解决方案的先决条件,也是ISA/IEC 62443等安全方法的考虑因素。如果使用的交换机不支持vlan等特性,可能需要升级交换机硬件。
2.防火墙- - - - - -在工业和办公网络之间放置防火墙是限制进入设备和设备的通信路径的良好的第一步。在考虑防火墙时,请寻找那些理解内置工业协议的防火墙,并根据未来所需的带宽和连接数量来调整它们的大小。应该计划在工业和办公网络的连接之间内联放置防火墙,以最大限度地减少中断,并且在开始执行规则和阻止未定义的通信时必须谨慎。防火墙还可以作为一种手段,通过使用虚拟专用网络(VPN)功能,从外部提供对工业网络的安全访问。这可以将现有的远程访问技术移除,并将其整合到一个中央的、可管理的方法中。
3.入侵检测/防御系统- - - - - -实现入侵检测或入侵防御系统(IDS/IPS)有许多不同的方法。通常,这些解决方案将分析网络通信,并对未知、意外或预先定义的活动发出警报。对于人机界面(HMI)和监控和数据采集(SCADA)系统,如果软件与系统操作能力不冲突,也可以将基于主机的方法纳入解决方案。一些新产品包括更高级的学习功能,使它们能够了解环境中的正常通信,从而产生更有可能是可疑行为的警报。根据IDS/IPS的提供方式,可能需要网络通信数据、网络交换机更改或增加网络接头,应与解决方案供应商讨论。
4.软件定义网络(sdn)- - - - - -对于希望对设备到设备通信实施更细粒度控制的组织来说,软件定义网络可能是答案。每个设备或设备组将只允许通过配置定义的特定端口或协议进行通信。该解决方案的实现可能需要所有新的交换机和交换机控制器,但从安全角度来看,其好处可能超过与实现和设置相关的问题。
在安全性与必要和可接受的风险之间找到适当的平衡对每个企业来说都是不同的。随着针对工业网络的攻击越来越多、越来越复杂,把握这条微妙的界限从未像现在这样重要或具有挑战性。这里列出的方法和注意事项可以作为一个指南,一种找到差距的方法,一个对话的开端,等等。这两个优先事项之间总是会有冲突,管理好这一点的组织永远不会停止评估和创新他们的网络安全解决方案。
艾伦纠缠是OT建筑师州际公路和一个2021年40岁以下的工程领导,在控制工程2021年9月号.州际公路控制工程内容合作伙伴。
更多的答案
关键词:网络安全,工业网络
考虑一下这个
你有什么为了改善网络安全状况做了什么?
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
