自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

分享页面

夯实 OT 网络安全基础:正确提问是关键

2021年11月8日
您可在 My Moxa 管理和分享已保存列表
Teaser Image

分享页面

您可在 My Moxa 管理和分享已保存列表

自新冠肺炎疫情爆发以来,数位转型步伐显著加快。同时,企业也日益意识到在新数字时代,良好地控制和管理现场 OT 数据才能引领发展。因此,想要在新时期勇立潮头,企业首先需要促成 IT 与 OT 部门之间的成功合作,更好地掌控 OT 数据。IT/OT 融合已然成为衡量企业未来发展潜力的一个关键性指标。但对许多企业而言仍难以实现至关重要的 IT/OT 融合,主要原因在于:网络安全。根据国际数据公司 (IDC) 一项调查,企业由于担心 IT/OT 融合会影响网络安全,往往持较为谨慎的态度。

强调网络安全的重要性可能有点老生常谈。然而,进一步调查发现,虽然 IT 将网络安全置于首位,但 OT 却并非如此。近年来,工业数位转型已将 OT 从独立的局域网推向更广阔的互联网海洋。由于互联网潜伏大量威胁,网络安全顿时成为 OT 系统亟需尽快解决的迫切问题。为助力企业避开重重威胁、安全前行,Moxa 携手马来西亚工业数字解决方案提供商和 IIoT 项目长期合作伙伴 YNY Technology 找出企业加强控制系统安全所需解决的基本问题。接下来,我们把三个常见问题(FAQ) 与问题背后的问题(QBQ)即反向问题进行对比分析,助您解决基本难题,加强网络安全策略。

FAQ 1 vs. QBQ 1

“网络安全项目由谁负责?”vs.“网络安全策略最薄弱环节在哪里?”

对企业而言,往往难以确定网络安全项目该由谁来负责。这一问题目前虽归属 OT 领域,但以往一直都是 IT 核心任务。OT 人员可能认为自己未经一定训练,无从处理网络安全问题;IT 人员同样觉得自己 OT 设备经验不足,可能影响整个系统运行。的确,没有哪个部门既全面了解网络安全又清楚知晓 OT 运维,如此一来便陷入两难境地。仅以经验为依据来界定责任似乎无解。因此,我们建议客户采用“优先定位问题”的方法。不要探究“谁有经验能够负责?”,一切应从风险和漏洞评估开始。通过客观评估,发现未列名或高风险 OT 设备、过时软件或服务、人为错误导致的管理漏洞等潜在风险。这为制定目标清单奠定良好基础,便于 OT 和 IT 部门加强合作、解决问题。

FAQ 2 vs. QBQ 2

“投资回报 (ROI) 是多少?”vs.“不作为成本 (COI) 是多少?”

企业考虑投资全新 OT 设备,ROI 是关键指标。然而,如果用 ROI 衡量网络安全的成本和收益,结果(即高层主导投资)往往不尽如人意。这是由网络安全的特性所决定。网络安全的核心是降低风险,不应将其视为以增长为中心的“投资”。因此,真正的问题是:“如果现在不作为,可能发生的最坏结果是什么?”,简称 COI。一旦涉及网络安全问题,不作为带来的风险通常比预期要大很多[1]。COI 可帮助企业从更实际角度评估潜在网络安全风险可能造成的影响,并通过优先处理加速项目决策进程。

FAQ 3 vs. QBQ 3

“最安全的解决方案是什么?”vs.“最适合的解决方案是什么?”

解决上述两个问题,发现并优先处理网络安全漏洞后,您还需评估计划、流程、系统或工具。由于现有大多数网络安全方法、工具或服务专为 IT 设计,不一定适用 OT 部署。例如,Moxa 的一个东南亚客户收到 IT 部门建议:在计算机和现场人机交互界面 (HMI) 启用锁屏保护功能,防止设备遭受攻击。但是,这一适用 IT 环境的解决方案并没有考虑到机器需要立即响应 OT 环境中的异常。例如,站点一旦出现异常,需要在几毫秒内快速响应,重获系统控制,否则可能造成巨大损失。如果等待运维人员输入正确密码花费过长时间而导致延迟,可能造成严重经济损失甚至威胁生命。因此,选择网络安全解决方案,最昂贵或最常用的可能都并非最佳。真正重要的是,根据特定需求选择最适合的解决方案。

网络安全不仅是技术问题,也是商业问题。近期,工业环境下网络安全频繁遭受挑战,不难看出网络安全为什么成为许多企业主最为担心的问题。将常规 FAQ 转变为 QBQ,夯实网络安全基础,助您构建最适合的网络安全策略。

添加至收藏夹