如何安全地实施制造流程的数字化转型

数字化转型与其说是终点，不如说是一段旅程。由于网络安全风险的性质不断变化，数字转型、信息技术(IT)/运营技术(OT)融合和网络安全最佳实践必须持续保持警惕。Larry Grate, GICSP, EOSYS(前身为PREMIER系统集成商公司)的技术总监，为安全的数字化转型之旅提供指导。

CFE媒体:我的数字化转型项目是否应该涉及IT安全?

拉里•格栅:根据我们的经验，当IT不参与时，通常会做出避免IT参与的决策，这要么降低了解决方案的有效性，要么增加了风险，或者两者兼而有之。因此，我们鼓励以ot为中心的客户将IT纳入规划过程。您的IT部门对您的工业物联网(IIoT)解决方案的适当架构、开发和调试具有既得利益。

由于他们管理您的业务系统，任何与这些解决方案的集成都需要他们的参与。我们发现IT/OT语言障碍是一个持续的挑战。根据您的角度不同，相同的词语有时会有不同的定义，因此花时间预先定义术语并设置合理的期望将导致一种将您的转换团队推向成功之路的工作关系。

CFE媒体:有什么标准可以为我的制造(OT)网络架构提供方向?

炉篦:我们通常推荐的文件是罗克韦尔/思科CPwE验证的设计文件。虽然侧重于思科技术的使用，但该体系结构和概念可应用于任何交换机硬件供应商。此外，IEC 62443的应用，特别是围绕区域和导管模型的分割，是在OT网络中提供足够的水平和垂直分割的关键，以实现基于风险的适当安全控制。

CFE媒体:为什么以ot为重点的风险评估很重要?

炉篦:与操作、维护和工程人员以及安全人员一起执行的以ot为重点的风险评估是理解与您的流程相关的业务风险的关键。首先要确定要关注的主要威胁参与者，然后研究它们可能恶意或意外地损害进程的不同方式。最后，您将研究现有的安全控制，并确定将业务风险降低到可容忍的水平所需的新控制。

CFE媒体:实现的关键安全控制是什么?

炉篦:安全永远是一段旅程;在处理制造或OT系统时更是如此。如果没有前面讨论过的风险评估，几乎不可能确定关键控制措施。话虽如此，重要的是要注意，除了极少数例外，大多数制造系统在设计上是不安全的。它们是开放的，通常不需要身份验证，而且它们的网络流量是未加密的，这使得任何可以物理上或作为远程用户上网的人都很容易受到攻击。

因此，重要的是要记住绝不允许制造流量流出OT网络。至少，在您的制造网络和企业网络之间部署防火墙，最好是一个工业非军事区(IDMZ)和适当的应用程序网关，用于强制从设计上不安全的协议转换为设计上安全的协议。适当部署身份验证机制以及同步时间的方法也很关键。最后，部署适当的监控工具，以检查进入和离开制造网络的所有流量。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。