概述

　　2022 年，在全球主要行業中，制造業是最頻繁遭受網絡攻擊的領域。主要原因在于工業控制系統 (ICS) 與互聯網之間的物理間隔被消除，操作技術 (OT) 與信息技術 (IT) 實現融合，OT 基礎網隨之暴露于不斷出現的網絡威脅之下。然而，現代制造業想保持競爭力就不能與世隔絕。下文將圍繞兩大智能制造應用探討關鍵挑戰，即 (1) 新設備大規模互聯，實現實時廠務監控，(2) 集成多個網絡，實現最優管理。文章還將就如何保護應用運行免遭網絡威脅提出實用建議。

　　針對智能制造系統的全新威脅

　　隨著智能制造(工業 4.0)興起，工業領域網絡威脅日益增多，這是 OT/IT 融合帶來的“副作用”。雖然 OT/IT 基礎網融合能提高效率、創造更多價值，但也使以往處于隔離狀態的 OT 系統面臨各種網絡攻擊。當前網絡威脅日益嚴峻，而制造企業往往無法承受停機的代價，因此成為網絡攻擊的首要目標。如前所述，2022 年，制造業遭受的網絡攻擊次數高于任何其他行業。

　　因此，需深入分析易受攻擊的工業應用類型，了解普遍挑戰以及哪些地方需要改進。下面我們通過兩個工業應用實例來看看，網絡威脅如何產生影響及如何降低網絡安全風險。

　　應用 1：實時廠務監控系統

　　負責實時監控大規模工業網絡的應用越來越容易受到網絡威脅。這些應用通常需大規模部署各類互聯設備，采集海量現場數據并發送至控制中心進行分析。要考慮的網絡安全問題如下：

　　需將數百個邊緣可編程邏輯控制器 (PLC) 和傳感器接入網絡，采集反映生產設施狀況的數據，優化能源使用。每臺設備即是一個新的節點，均可能成為未授權訪問、惡意攻擊等網絡安全攻擊的對象。

　　網絡不斷擴展，大量邊緣設備集成至分布層，安全漏洞隨之擴大。如果網絡沒有適度分區，只要一個節點失守整個網絡便會遭受崩潰風險。

　　針對上述問題，運維人員應考慮采用深度防御方案，具體舉措包括選擇安全設備、構建穩固網絡防御層、確定網絡狀態等，確保網絡安全可用。當增加網絡節點時，選擇通過國際安全認證或安全功能符合 IEC 62443、NERC CIP 等國際認可標準的安全加固型設備，有利于奠定堅實網絡基礎。網絡分區和威脅預防措施可提供另一層攻擊防護，且有助于防止非法入侵和威脅擴大至其他網絡節點。最后，持續監控網絡節點的安全狀態可及時發現并響應各類問題或異常情況。

　　應用 2：工業機器集成

　　另一大容易遭受網絡安全威脅的制造應用場景是，出于優化管理目的將工業機器集成至網絡。過去，工業工程師會建立一個封閉網絡環境，采用相似模式為機器分配 IP 地址。

　　然而，要想遠程管控工業機器就必須將工業網絡與互聯網相連。如需把傳統隔離的機器連接至集中管理系統，使用同一模式為所有機器生成 IP 地址將產生 IP 沖突，甚至可能導致網絡故障。因此，所有機器都必須重置 IP，這是一項費時費力的任務且易造成安全漏洞。此外，機器一旦與公共的互聯網連接，便面臨各種前所未有的網絡威脅。特別是可預測的 IP 地址很快成為網絡攻擊的目標。

　　簡化管理與增強安全對解決漏洞大有幫助。例如，系統集成商可利用網絡地址轉換 (NAT) 技術保護 IP 地址免遭覬覦，同時簡化設備集成。最新硬件解決方案還提供嵌入式智能威脅預防機制，可自動攔截來自未授權 IP 地址的數據。這些措施構建起另一層穩固壁壘，共同守護機器網絡安全。

　　克服 OT 聯網障礙，擁抱智能數字化未來

　　面向數字化未來進行 OT/IT 網絡融合時，網絡安全必須相應升級才能應對不斷涌現的全新網絡威脅。定期監控網絡基礎設施并及時更新保護機制是動態安全策略的重要組成部分，可有效保護互聯系統、減少損失巨大的故障停機。然而，OT 工程師可能由于缺乏最新 IT 知識或經驗，在承擔智能系統安全防護工作時“心有余而力不足”。

　　面對網絡威脅，系統集成商和工業運營商應采用集成工業聯網解決方案和專為 OT 工程師設計的深度防御系統，讓制造網絡不懼未來考驗。