概述

　　2022 年，在全球主要行業(yè)中，制造業(yè)是最頻繁遭受網(wǎng)絡(luò)攻擊的領(lǐng)域。主要原因在于工業(yè)控制系統(tǒng) (ICS) 與互聯(lián)網(wǎng)之間的物理間隔被消除，操作技術(shù) (OT) 與信息技術(shù) (IT) 實現(xiàn)融合，OT 基礎(chǔ)網(wǎng)隨之暴露于不斷出現(xiàn)的網(wǎng)絡(luò)威脅之下。然而，現(xiàn)代制造業(yè)想保持競爭力就不能與世隔絕。下文將圍繞兩大智能制造應(yīng)用探討關(guān)鍵挑戰(zhàn)，即 (1) 新設(shè)備大規(guī)模互聯(lián)，實現(xiàn)實時廠務(wù)監(jiān)控，(2) 集成多個網(wǎng)絡(luò)，實現(xiàn)最優(yōu)管理。文章還將就如何保護應(yīng)用運行免遭網(wǎng)絡(luò)威脅提出實用建議。

　　針對智能制造系統(tǒng)的全新威脅

　　隨著智能制造(工業(yè) 4.0)興起，工業(yè)領(lǐng)域網(wǎng)絡(luò)威脅日益增多，這是 OT/IT 融合帶來的“副作用”。雖然 OT/IT 基礎(chǔ)網(wǎng)融合能提高效率、創(chuàng)造更多價值，但也使以往處于隔離狀態(tài)的 OT 系統(tǒng)面臨各種網(wǎng)絡(luò)攻擊。當(dāng)前網(wǎng)絡(luò)威脅日益嚴(yán)峻，而制造企業(yè)往往無法承受停機的代價，因此成為網(wǎng)絡(luò)攻擊的首要目標(biāo)。如前所述，2022 年，制造業(yè)遭受的網(wǎng)絡(luò)攻擊次數(shù)高于任何其他行業(yè)。

　　因此，需深入分析易受攻擊的工業(yè)應(yīng)用類型，了解普遍挑戰(zhàn)以及哪些地方需要改進。下面我們通過兩個工業(yè)應(yīng)用實例來看看，網(wǎng)絡(luò)威脅如何產(chǎn)生影響及如何降低網(wǎng)絡(luò)安全風(fēng)險。

　　應(yīng)用 1：實時廠務(wù)監(jiān)控系統(tǒng)

　　負(fù)責(zé)實時監(jiān)控大規(guī)模工業(yè)網(wǎng)絡(luò)的應(yīng)用越來越容易受到網(wǎng)絡(luò)威脅。這些應(yīng)用通常需大規(guī)模部署各類互聯(lián)設(shè)備，采集海量現(xiàn)場數(shù)據(jù)并發(fā)送至控制中心進行分析。要考慮的網(wǎng)絡(luò)安全問題如下：

　　需將數(shù)百個邊緣可編程邏輯控制器 (PLC) 和傳感器接入網(wǎng)絡(luò)，采集反映生產(chǎn)設(shè)施狀況的數(shù)據(jù)，優(yōu)化能源使用。每臺設(shè)備即是一個新的節(jié)點，均可能成為未授權(quán)訪問、惡意攻擊等網(wǎng)絡(luò)安全攻擊的對象。

　　網(wǎng)絡(luò)不斷擴展，大量邊緣設(shè)備集成至分布層，安全漏洞隨之?dāng)U大。如果網(wǎng)絡(luò)沒有適度分區(qū)，只要一個節(jié)點失守整個網(wǎng)絡(luò)便會遭受崩潰風(fēng)險。

　　針對上述問題，運維人員應(yīng)考慮采用深度防御方案，具體舉措包括選擇安全設(shè)備、構(gòu)建穩(wěn)固網(wǎng)絡(luò)防御層、確定網(wǎng)絡(luò)狀態(tài)等，確保網(wǎng)絡(luò)安全可用。當(dāng)增加網(wǎng)絡(luò)節(jié)點時，選擇通過國際安全認(rèn)證或安全功能符合 IEC 62443、NERC CIP 等國際認(rèn)可標(biāo)準(zhǔn)的安全加固型設(shè)備，有利于奠定堅實網(wǎng)絡(luò)基礎(chǔ)。網(wǎng)絡(luò)分區(qū)和威脅預(yù)防措施可提供另一層攻擊防護，且有助于防止非法入侵和威脅擴大至其他網(wǎng)絡(luò)節(jié)點。最后，持續(xù)監(jiān)控網(wǎng)絡(luò)節(jié)點的安全狀態(tài)可及時發(fā)現(xiàn)并響應(yīng)各類問題或異常情況。

　　應(yīng)用 2：工業(yè)機器集成

　　另一大容易遭受網(wǎng)絡(luò)安全威脅的制造應(yīng)用場景是，出于優(yōu)化管理目的將工業(yè)機器集成至網(wǎng)絡(luò)。過去，工業(yè)工程師會建立一個封閉網(wǎng)絡(luò)環(huán)境，采用相似模式為機器分配 IP 地址。

　　然而，要想遠程管控工業(yè)機器就必須將工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連。如需把傳統(tǒng)隔離的機器連接至集中管理系統(tǒng)，使用同一模式為所有機器生成 IP 地址將產(chǎn)生 IP 沖突，甚至可能導(dǎo)致網(wǎng)絡(luò)故障。因此，所有機器都必須重置 IP，這是一項費時費力的任務(wù)且易造成安全漏洞。此外，機器一旦與公共的互聯(lián)網(wǎng)連接，便面臨各種前所未有的網(wǎng)絡(luò)威脅。特別是可預(yù)測的 IP 地址很快成為網(wǎng)絡(luò)攻擊的目標(biāo)。

　　簡化管理與增強安全對解決漏洞大有幫助。例如，系統(tǒng)集成商可利用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 技術(shù)保護 IP 地址免遭覬覦，同時簡化設(shè)備集成。最新硬件解決方案還提供嵌入式智能威脅預(yù)防機制，可自動攔截來自未授權(quán) IP 地址的數(shù)據(jù)。這些措施構(gòu)建起另一層穩(wěn)固壁壘，共同守護機器網(wǎng)絡(luò)安全。

　　克服 OT 聯(lián)網(wǎng)障礙，擁抱智能數(shù)字化未來

　　面向數(shù)字化未來進行 OT/IT 網(wǎng)絡(luò)融合時，網(wǎng)絡(luò)安全必須相應(yīng)升級才能應(yīng)對不斷涌現(xiàn)的全新網(wǎng)絡(luò)威脅。定期監(jiān)控網(wǎng)絡(luò)基礎(chǔ)設(shè)施并及時更新保護機制是動態(tài)安全策略的重要組成部分，可有效保護互聯(lián)系統(tǒng)、減少損失巨大的故障停機。然而，OT 工程師可能由于缺乏最新 IT 知識或經(jīng)驗，在承擔(dān)智能系統(tǒng)安全防護工作時“心有余而力不足”。

　　面對網(wǎng)絡(luò)威脅，系統(tǒng)集成商和工業(yè)運營商應(yīng)采用集成工業(yè)聯(lián)網(wǎng)解決方案和專為 OT 工程師設(shè)計的深度防御系統(tǒng)，讓制造網(wǎng)絡(luò)不懼未來考驗。