您的運(yùn)營(yíng)技術(shù)是否為網(wǎng)絡(luò)攻擊敞開(kāi)了大門(mén)？

無(wú)論是機(jī)器自行安排的維護(hù)預(yù)約，還是數(shù)字孿生模擬生產(chǎn)線(xiàn)上的流程，都表明IT（信息技術(shù)）和OT（操作技術(shù)）的融合正在為工業(yè)環(huán)境帶來(lái)新的潛力。

通過(guò)IT和OT的融合，可以利用PLC和SCADA等運(yùn)營(yíng)技術(shù)系統(tǒng)產(chǎn)生的實(shí)時(shí)數(shù)據(jù)來(lái)改善業(yè)務(wù)運(yùn)營(yíng)。例如，通過(guò)評(píng)估這些數(shù)據(jù)，公司可以更好地了解其流程，并知道在哪里以及如何優(yōu)化工作流程以提高效率和利潤(rùn)。

IT-OT融合為工廠車(chē)間帶來(lái)新機(jī)遇

雖然IT和OT協(xié)同工作好處很多，本文僅以您能體驗(yàn)到的少許成果為例。

通過(guò)監(jiān)測(cè)和控制所有設(shè)備，其使用時(shí)間和能耗，實(shí)現(xiàn)更好的能源管理。

通過(guò)遠(yuǎn)程監(jiān)測(cè)、訪問(wèn)、控制和驗(yàn)證，在發(fā)生運(yùn)行故障時(shí)快速響應(yīng)。

預(yù)測(cè)性維護(hù)允許機(jī)器在需要服務(wù)時(shí)發(fā)出信號(hào)，并自動(dòng)訂購(gòu)備件以防止停機(jī)。

需求驅(qū)動(dòng)型制造支持可擴(kuò)展的靈活生產(chǎn)，以滿(mǎn)足不斷變化的客戶(hù)需求和物料瓶頸。

通過(guò)數(shù)字孿生進(jìn)行過(guò)程調(diào)整的事件模擬，數(shù)字孿生充當(dāng)基礎(chǔ)設(shè)施、生產(chǎn)線(xiàn)等的虛擬模型。

通過(guò)機(jī)器對(duì)機(jī)器通信在機(jī)器、單元或車(chē)輛等端點(diǎn)之間自動(dòng)交換信息。

當(dāng)運(yùn)營(yíng)技術(shù)與IT融合時(shí)，會(huì)出現(xiàn)新的安全問(wèn)題

IT和OT的合并雖然優(yōu)點(diǎn)顯著，但也帶來(lái)了潛在的缺點(diǎn)——主要是在安全性方面。

以往，運(yùn)營(yíng)技術(shù)系統(tǒng)一直孤立運(yùn)行，以保護(hù)業(yè)務(wù)關(guān)鍵流程（這種分離通常稱(chēng)為“氣隙”）。然而，隨著工作流程的互聯(lián)，IT和OT之間的界限正在變得模糊。這可能使運(yùn)營(yíng)技術(shù)成為網(wǎng)絡(luò)攻擊的目標(biāo)。方式如下。

IT-OT接口產(chǎn)生漏洞

OT和IT之間的接口可能成為漏洞，成為攻擊者的潛在切入點(diǎn)。對(duì)這些接口的網(wǎng)絡(luò)攻擊可能導(dǎo)致運(yùn)行停機(jī)和巨大的金錢(qián)損失。

OT系統(tǒng)采取了保守的安全措施

與IT相比，運(yùn)營(yíng)技術(shù)需要額外的保護(hù)層，以確保操作員和工作場(chǎng)所的安全。雖然物理系統(tǒng)缺乏功能安全性會(huì)導(dǎo)致生產(chǎn)停機(jī)，但也可能有其他原因。例如，現(xiàn)場(chǎng)機(jī)器的錯(cuò)誤行為可能會(huì)危及員工，從而導(dǎo)致停機(jī)。因此，OT系統(tǒng)通常采取保守的安全措施。網(wǎng)絡(luò)攻擊可以明確地利用這種方法來(lái)破壞運(yùn)營(yíng)。

缺乏安全標(biāo)準(zhǔn)

信息和數(shù)據(jù)安全是另外需要考慮的安全問(wèn)題。OT系統(tǒng)通常不具有與IT相同的安全標(biāo)準(zhǔn)。操作技術(shù)通常比信息技術(shù)更陳舊；硬件設(shè)計(jì)可以維持?jǐn)?shù)十年的運(yùn)行。系統(tǒng)、機(jī)器和其他設(shè)備的長(zhǎng)生命周期通常也意味著過(guò)時(shí)的安全措施，包括：

過(guò)時(shí)的軟件和操作系統(tǒng)

簡(jiǎn)短或不經(jīng)常更改的密碼

支持?jǐn)?shù)據(jù)通信的舊協(xié)議

沒(méi)有數(shù)據(jù)加密

伴隨IT-OT的融合，出現(xiàn)了數(shù)據(jù)管理。但運(yùn)營(yíng)技術(shù)并不總是提供數(shù)據(jù)加密，并且會(huì)產(chǎn)生大量數(shù)據(jù)以供實(shí)時(shí)使用。網(wǎng)絡(luò)攻擊可以通過(guò)操縱、數(shù)據(jù)盜竊、間諜活動(dòng)甚至數(shù)據(jù)破壞來(lái)?yè)p害數(shù)據(jù)完整性。

提高IT-OT安全性的4個(gè)重要考慮因素

整合OT和IT需要一個(gè)全面、統(tǒng)一的網(wǎng)絡(luò)安全戰(zhàn)略來(lái)滿(mǎn)足這兩個(gè)系統(tǒng)的特定需求，而B(niǎo)elden可以支持您完成任務(wù)。

Belden及其子品牌（包括macmon）可以幫助您順利完成IT-OT融合，讓您體驗(yàn)其提供的好處，同時(shí)最大限度地減少給OT安全和系統(tǒng)帶來(lái)的漏洞。

為了幫助您改善操作技術(shù)的安全狀況，我們的團(tuán)隊(duì)分享了四項(xiàng)建議。

01 實(shí)施網(wǎng)絡(luò)訪問(wèn)控制

如果OT系統(tǒng)是互連的并且可以遠(yuǎn)程訪問(wèn)，那么網(wǎng)絡(luò)訪問(wèn)控制對(duì)于確保安全至關(guān)重要。所有客戶(hù)端和端點(diǎn)都必須經(jīng)過(guò)身份驗(yàn)證和授權(quán)。

02 建立網(wǎng)絡(luò)視圖

為了使復(fù)雜的系統(tǒng)可見(jiàn)，需要完整的網(wǎng)絡(luò)視圖。這確保了對(duì)具有異構(gòu)系統(tǒng)環(huán)境的整個(gè)網(wǎng)絡(luò)的持續(xù)監(jiān)測(cè)。

請(qǐng)務(wù)必明確標(biāo)識(shí)所有通信參與者以及資產(chǎn)，并驗(yàn)證其安全狀態(tài)。盡管復(fù)雜性日益增加，但這是實(shí)現(xiàn)網(wǎng)絡(luò)流量透明度的唯一方法。所有數(shù)據(jù)流都應(yīng)在實(shí)時(shí)視圖和歷史視圖中可見(jiàn)。

03 通過(guò)網(wǎng)絡(luò)分段隔離

為了確保機(jī)器的故障不會(huì)影響整個(gè)運(yùn)營(yíng)，可以使用網(wǎng)絡(luò)分段（VLAN管理）形成虛擬子部分。這種安全措施可以將受影響的區(qū)域與網(wǎng)絡(luò)的其余部分隔離開(kāi)來(lái)，并使數(shù)據(jù)流可控。

04 確定補(bǔ)丁管理的優(yōu)先級(jí)

為了可靠地保護(hù)互連的OT系統(tǒng)，定期更新軟件和協(xié)議非常重要。具體而言，就是將舊的機(jī)器協(xié)議轉(zhuǎn)換為安全的協(xié)議標(biāo)準(zhǔn)和行業(yè)兼容的防火墻，以驗(yàn)證運(yùn)營(yíng)技術(shù)通信協(xié)議的重要性。