提高網(wǎng)絡(luò)安全的重要工具都有哪些？

1、網(wǎng)絡(luò)細(xì)分

目前，工業(yè)網(wǎng)絡(luò)是機(jī)器，如果區(qū)域或功能之間的分割有限，那么提高網(wǎng)絡(luò)安全性的一個好的起點是在網(wǎng)絡(luò)上創(chuàng)建更多的分段，以限制不必要的通信。除了減少發(fā)送到所有設(shè)備的廣播消息數(shù)量外，分段還可以用作防火墻解決方案的先決條件。還考慮了ISA/IEC62443等安全方法。如果使用不支持VLAN和其他功能的交換機(jī)，則可能需要更新交換機(jī)硬件。

2、防火墻

在工業(yè)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間建立防火墻是限制設(shè)備通信路徑的第一步?？紤]到防火墻，您必須了解內(nèi)部行業(yè)協(xié)議，并根據(jù)未來的帶寬和連接數(shù)量對其進(jìn)行調(diào)整。在工業(yè)和辦公網(wǎng)絡(luò)連接之間規(guī)劃防火墻以中斷。為了最大限度地減少這種情況，請運行規(guī)則并小心阻止未定義的通信。防火墻也可以用作安全訪問的一種手段。通過虛擬專用網(wǎng)絡(luò)（VPN）功能，您可以從外部安全地訪問工業(yè)網(wǎng)絡(luò)，消除現(xiàn)有的遠(yuǎn)程訪問技術(shù)，并將其集成到一種集中和可管理的方法中。

3、入侵檢測/預(yù)防系統(tǒng)

有多種方法可以實現(xiàn)入侵檢測或入侵預(yù)防系統(tǒng)（IDS/IPS）。通常，這些解決方案會分析網(wǎng)絡(luò)通信，并針對未知、意外或預(yù)定義的活動發(fā)出警告。人機(jī)界面（HMI）和監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）在這種情況下，如果軟件和系統(tǒng)的操作能力不沖突，也可以將基于主機(jī)的方法集成到解決方案中。一些新產(chǎn)品包括高級學(xué)習(xí)功能，可以幫助您理解環(huán)境中的正常交流，并提醒您注意可疑行為?？赡苄枰D(zhuǎn)換網(wǎng)絡(luò)或添加網(wǎng)絡(luò)端口，并且需要與解決方案提供商進(jìn)行討論。

4、軟件定義網(wǎng)絡(luò)（SDN）

軟件定義網(wǎng)絡(luò)可用于希望更精細(xì)地控制設(shè)備之間通信的公司。每個設(shè)備或設(shè)備組只能通過配置中定義的特定端口或協(xié)議進(jìn)行通信。實施此解決方案可能需要新的交換機(jī)和控制器，但在安全性方面，您可以從上述投資中獲得好處。

考慮到工業(yè)網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性不斷增加，在安全性、必要性和可接受風(fēng)險之間找到正確的平衡因公司而異。像今天這樣抓住這一邊界從未像現(xiàn)在這樣重要和具有挑戰(zhàn)性。本文提出的方法和預(yù)防措施可作為確定差距的指導(dǎo)，并作為對話的起點。這兩個優(yōu)先事項總是沖突的，所以管理好它們的公司不會停止評估和創(chuàng)新網(wǎng)絡(luò)安全解決方案。