你可能面臨著提高工業(yè)網(wǎng)絡信息安全的挑戰(zhàn)。

　　一方面，制造流程可能需要PLC和DCS等設備在設計上更注重可靠性和功能安全而非信息安全。另一方面，工業(yè)網(wǎng)絡已經(jīng)或者即將和企業(yè)網(wǎng)、互聯(lián)網(wǎng)相連。

　　在考慮如何降低網(wǎng)絡風險、保護資產(chǎn)時，尋找專門針對工廠而設計的技術解決方案是很重要的。

　　工廠網(wǎng)絡和辦公網(wǎng)絡的區(qū)別主要體現(xiàn)以下幾個方面：

• 環(huán)境不同 — 工業(yè)網(wǎng)絡通常處在惡劣的自然環(huán)境中 

• 員工技能不同 – 你可能擅長于制造產(chǎn)品或PLC編程，但設計網(wǎng)絡安全解決方案并不是你的強項。 

• 優(yōu)先級不同 – 工廠操作人員更關心可靠性和功能安全，而辦公室IT人員通常將保密性視為最高的優(yōu)先級 

• 協(xié)議不同 – 工廠網(wǎng)絡需要支持工業(yè)協(xié)議來保持設備運行。這些協(xié)議的安全防護較難實現(xiàn)

　　考慮到以上因素，這里給出了保護工業(yè)網(wǎng)絡安全的6個建議：

1. 選擇工業(yè)組件 　　首先，要確保所有的網(wǎng)絡組件，包括電纜、機柜和設備等，都達到工業(yè)級要求，并且擁有較高的MTBF（平均無故障時間）評級。眾所周知，工廠的要求比典型IT環(huán)境下的要求要嚴厲苛刻得多，其設備也要達到相應的要求。

?

　　IT網(wǎng)絡系統(tǒng)的核心通常是氣候控制良好的、安全的數(shù)據(jù)中心，其設備一般都是標準的，并且使用時間往往在10年以下。相比之下，工廠里的工業(yè)網(wǎng)絡通常處于危險環(huán)境中，設備的平均壽命都超過了10年。照片承蒙Good Health Group提供。

2.尋求冗余和健壯性 　　容易被破壞的設備為攻擊者的工作帶來便捷，同時也增加了支持人員工作的難度。網(wǎng)絡中的組件，如交換機和路由器，需要支持工業(yè)冗余技術。這樣的話如果部分系統(tǒng)遭受惡意軟件攻擊或者受到網(wǎng)絡事件的影響，依然能保證正常運行。

　　這方面有許多首字母縮寫詞和專用術語，如“zero-failover”，并行冗余協(xié)議PRP（Parallel Redundancy Protocol）以及高可靠無縫冗余HSR（High-availability Seamless Redundancy）。重要的一點是確保網(wǎng)絡設備支持生產(chǎn)需求所要求的冗余等級。

3.尋求與工業(yè)網(wǎng)絡管理系統(tǒng)相結合的技術 　　融入工業(yè)管理系統(tǒng)對支持工作和安全事件監(jiān)控至關重要。使用這樣的系統(tǒng)有助于檢測網(wǎng)絡中的異?；顒?。

　　如果一臺遠程的只讀操作站突然試圖對PLC進行編程，應當立即向工廠人員發(fā)出警告。等到第二天早上IT團隊再來分析事件，一切就太遲了。

4.部署可以保護工業(yè)協(xié)議安全的防火墻 　　防火墻應當優(yōu)化保護Modbus和OPC這樣的SCADA協(xié)議的安全，而不是email和web通訊。Web和email消息在工廠系統(tǒng)中沒有容身之處，檢測這些協(xié)議的產(chǎn)品只會增加安全解決方案的成本和復雜度。

5.采用區(qū)域級安全來實施縱深防御 　　實施縱深防御的最佳實踐，信息安全不應以工廠網(wǎng)絡的邊界防火墻為終點。相反，應依據(jù)ISA IEC 62443標準對生產(chǎn)網(wǎng)絡分區(qū)。每個區(qū)域都有專門的工業(yè)防火墻來保護，這些防火墻應當可以部署在工廠網(wǎng)絡中，同時不會對業(yè)務操作造成任何風險。

6.集中精力 　　有些資產(chǎn)如果遭受攻擊的話，將會對生產(chǎn)、安全或環(huán)境造成嚴重的影響，每套控制系統(tǒng)中都有一個或多個這樣的資產(chǎn)。比如煉油廠中的SIS（安全集成系統(tǒng)）、水過濾廠中控制氯含量的PLC以及變電所的RTU。工廠人員清楚哪些真正地關系到操作。如果這些資產(chǎn)都能被積極地保護，發(fā)生真正嚴重的網(wǎng)絡事件的機會將會大大減小。

　　采用專為工業(yè)而設計的解決方案來保護工業(yè)網(wǎng)絡安全。如果對如何提高工廠的網(wǎng)絡安全態(tài)勢沒有把握，遵循上述建議將縮短進行改善所需的時間。