加强工厂网络安全的七个技巧
公司无法阻止所有网络攻击的发生,但简单的最佳实践,如执行安全策略,加强物理安全性,并通过设备分析控制网络访问,将大大降低攻击的风险。
工业4.0的吸引力是不可否认的。制造商正在通过挤压设备可用性、生产率和质量的新水平来获得竞争优势,同时降低成本和提高收入。工厂数据是实现下一代制造需要挖掘和提炼(分析)的“黄金”。
然而,从企业连接到工厂中的机器数据可能会带来安全风险。对于任何工业4.0或工业物联网(IIoT)项目,攻击面都将扩大。如果黑客对设备造成严重破坏,整个组织的工业物联网工作可能会戛然而至,所以要提前计划。
思科2017年年中网络安全报告不仅反映了制造商关注的这些领域,也反映了许多行业不断变化的安全形势。一些重要的制造业网络安全发现包括:
- 28%的制造企业报告称,在过去的一年里,由于受到攻击,收入出现了损失——平均损失为14%。
- 46%的制造企业使用6家或更多的安全供应商,20%使用10家以上。63%的人使用6种或6种以上的产品,30%的人使用10种以上的产品。
- 近60%的制造企业表示,从事安全工作的员工不足30人,25%的企业认为缺乏训练有素的人员是采用先进安全流程和技术的主要障碍。
这份网络安全报告涵盖了技术趋势、对企业的影响、对手战术、漏洞、更好地抵御风险的机会,以及如何与管理层沟通。在我们生活的这个可怕的世界里,要保持设施的安全,没有一种产品和解决方案可以提供完全的保证。尽管如此,还是有一些基本的步骤可以降低风险。
考虑以下七个步骤来保护工厂免受网络安全攻击:
- 添加管理交换机并实施基本安全措施.非托管交换机上的开放端口存在安全风险,需要锁定。此外,非托管交换机不提供弹性,导致停机时间更长。非托管交换机不能对流量进行优先级排序或分段,而且它们也只有有限或根本没有用于监控网络活动或性能的工具,这限制了在出现安全事件或其他问题时进行故障排除的能力。
- 创建并执行安全策略.这是最基本的,但令人惊讶的是,一些设施对此很少关注或细节。简单的问题,比如:“谁被允许做什么?”“承包商可以使用什么?”“什么‘外部世界’的联系是允许的?”现在就制定一个基本框架,并对员工进行培训。
- 用深度防御系统封锁工厂.深度防御方法是使用DMZ和DMZ下面的层保护工厂的公认方法。
- 加强物理安全.厂区门禁控制,控制柜上锁,plc (programmable logic controller)用钥匙上锁,安装监控摄像头,控制设备固件和代码版本。
- 使用设备概要来控制网络访问.获得一种能够对访问网络的用户、设备和应用程序提供完全可见性的解决方案。使用动态控制保护组织,以确保只有具有受信任设备的正确人员才能获得正确级别的网络服务访问权限。即使恶意用户访问了网络,也要确保他们无法走远。
- 使用行业最佳实践.公司应该使用ISA IEC 62443等标准来设置区域和设计模式,以分割和隔离工厂中的子系统。仅将关键流量隔离在网络上必须到达的位置。实施强大的防火墙和入侵防御,以及电子邮件和web安全。
- 探索并限制启用远程访问工厂的方式的数量.确保所有远程访问方法都是安全的。
如今市场上有数百个安全供应商,考虑所有这些系统之间的兼容性也很重要。选择一个已经一起对其产品进行兼容性测试的供应商,以确保在多个环境中具有可靠的性能。
虽然企业可能无法迈出一大步,建立一个完全安全的工厂环境,但他们可以采取一系列较小的步骤,以达到风险可控的程度。
苏格兰人Wlodarczak他于2016年初加入思科,专注于制造业、石油天然气和公用事业领域。本文最初发表于ISSSource.com是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑,cvavra@cfemedia.com.
原始内容可以在www.isssource.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。