提高網(wǎng)絡(luò)安全的重要工具都有哪些?
1、網(wǎng)絡(luò)細(xì)分
目前,工業(yè)網(wǎng)絡(luò)是機(jī)器,如果區(qū)域或功能之間的分割有限,那么提高網(wǎng)絡(luò)安全性的一個好的起點是在網(wǎng)絡(luò)上創(chuàng)建更多的分段,以限制不必要的通信。除了減少發(fā)送到所有設(shè)備的廣播消息數(shù)量外,分段還可以用作防火墻解決方案的先決條件。還考慮了ISA/IEC62443等安全方法。如果使用不支持VLAN和其他功能的交換機(jī),則可能需要更新交換機(jī)硬件。
2、防火墻
在工業(yè)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間建立防火墻是限制設(shè)備通信路徑的第一步??紤]到防火墻,您必須了解內(nèi)部行業(yè)協(xié)議,并根據(jù)未來的帶寬和連接數(shù)量對其進(jìn)行調(diào)整。在工業(yè)和辦公網(wǎng)絡(luò)連接之間規(guī)劃防火墻以中斷。為了最大限度地減少這種情況,請運行規(guī)則并小心阻止未定義的通信。防火墻也可以用作安全訪問的一種手段。通過虛擬專用網(wǎng)絡(luò)(VPN)功能,您可以從外部安全地訪問工業(yè)網(wǎng)絡(luò),消除現(xiàn)有的遠(yuǎn)程訪問技術(shù),并將其集成到一種集中和可管理的方法中。
3、入侵檢測/預(yù)防系統(tǒng)
有多種方法可以實現(xiàn)入侵檢測或入侵預(yù)防系統(tǒng)(IDS/IPS)。通常,這些解決方案會分析網(wǎng)絡(luò)通信,并針對未知、意外或預(yù)定義的活動發(fā)出警告。人機(jī)界面(HMI)和監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)在這種情況下,如果軟件和系統(tǒng)的操作能力不沖突,也可以將基于主機(jī)的方法集成到解決方案中。一些新產(chǎn)品包括高級學(xué)習(xí)功能,可以幫助您理解環(huán)境中的正常交流,并提醒您注意可疑行為??赡苄枰D(zhuǎn)換網(wǎng)絡(luò)或添加網(wǎng)絡(luò)端口,并且需要與解決方案提供商進(jìn)行討論。
4、軟件定義網(wǎng)絡(luò)(SDN)
軟件定義網(wǎng)絡(luò)可用于希望更精細(xì)地控制設(shè)備之間通信的公司。每個設(shè)備或設(shè)備組只能通過配置中定義的特定端口或協(xié)議進(jìn)行通信。實施此解決方案可能需要新的交換機(jī)和控制器,但在安全性方面,您可以從上述投資中獲得好處。
考慮到工業(yè)網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性不斷增加,在安全性、必要性和可接受風(fēng)險之間找到正確的平衡因公司而異。像今天這樣抓住這一邊界從未像現(xiàn)在這樣重要和具有挑戰(zhàn)性。本文提出的方法和預(yù)防措施可作為確定差距的指導(dǎo),并作為對話的起點。這兩個優(yōu)先事項總是沖突的,所以管理好它們的公司不會停止評估和創(chuàng)新網(wǎng)絡(luò)安全解決方案。