分享

如何保证工业网络始终安全无虞

Felipe Sabino Costa     2020年5月12日
您可在 My Moxa 管理和分享已保存列表
Teaser Image
分享
您可在 My Moxa 管理和分享已保存列表

提到加强工业网络安全,很多人的第一反应是:应该从何处入手?其实,加强工业应用的网络安全与守护我们的家园非常相似。为了保障家庭安全,我们会锁好门窗,安装 IP 视频监控系统,将贵重物品锁进保险柜。总之,采取的安全措施越多,家就越安全。工业网络也是如此,想提高安全度,就要多采取安全保障程序。那么该采取多少道安全程序呢?这往往取决于人们能接受的风险水平、计划达到的安全程度,以及落实安全程序的能力。

由于各企业保障网络安全的成熟度不尽相同(ARC,2019 年),因此很难有适合所有企业的通用方法。在此,我们将 IEC 62443 标准作为适合所有关键工业流程的网络安全指南,重点关注应用于网络基础设施资产的技术,并提出系统性自动配置方法,减少人为错误。这种方法有助于核查每台联网设备的实时性能,确保设备符合 IEC 62443 标准。如果发现设备配置不符合最低要求,则会向用户发送警报。

图 1:网络安全成熟度模型(来源:ARC 顾问集团)
 

系统性方法

工业流程的各项配置必须保持统一,更重要的是,能够持续稳定地重复应用。为此,必须使用以自动操作为主的系统性配置方法。这种方法旨在减少工作人员手动操作的工作量,原因有三。第一,人是造成网络事故的一大主要因素,无论是有意为之还是无心之失。第二,人为错误造成的漏洞很难检测,因为漏洞检测往往依赖于企业的审查流程,而这个流程并非百分百可靠。第三,执行配置的人员可能会误认为自己完成得很好,但实际留下了网络漏洞。 

我们不仅要研究应该采取哪些安全程序,还要重视如何落实这些程序。系统性自动配置方法有助于大幅降低手动操作带来的风险,从而提高网络的可靠性和安全度。

软件辅助落实安全程序

软件是助力落实安全程序的一大有效工具,可帮助员工顺利完成落实工作。哪怕工程师经验再丰富,都不可能牢记安全程序中的每一项配置,再加上企业有时需要管理配置,确保配置在整个网络生命周期保持一致,使得软件成为必要之选。使用软件执行配置时,可参考以下三条小建议。

制定安全措施检查清单

在工程师开始执行配置前,公司必须根据自身安全政策,制定检查清单,向工程师提供明确指示。根据 IEC 62443 标准,我们需要考虑以下五项步骤(图 2)。例如,强烈建议启用用户名和密码保护,在用户登录设备前先验证用户身份。虽然这不如禁用密码保护时快速、简便,但会更安全。 

图 2:检验安全措施的五大步骤


使用图像而非名称列表

要助力用户完成安全检查流程,同时不影响用户判断,更高效的方法之一是为用户提供图像化视图,助其快速锁定网络中的设备,而不要提供名称列表,因为人脑对图像的处理速度更快,识别能力更强。因此,提供如图 3 所示的图像化视图,有助于用户更快掌握每台设备的安全设置。

MXview Security View

图 3:以彩色体现系统安全状态的图像化结构

使用彩色标注

最后一点是使用不同颜色突出显示不同安全等级。人脑可以轻松识别不同颜色(Engel S、Zhang X、Wandell B,1997 年),因此,可以通过使用不同颜色,帮助用户快速了解每台设备的安全状态,确定需要采取哪些措施。

结语

总之,系统性自动方法比员工重复执行手动操作更可靠。我们不仅要启用满足每个系统特殊需求的网络安全功能,还要确保落实过程准确无误。系统性方法可助力完成复杂的安全配置,同时减少人为错误。

Moxa MXview 网络管理软件能完整显示所有联网设备的安全状态,而 MXconfig 配置软件可用于批量配置安全参数,加固网络安全壁垒。此外,Moxa 还针对旗下以太网交换机和串口设备联网服务器制定了安全措施清单,帮助用户核查安全措施是否落实到位。如需了解更多信息,请点击此处

更多文章

添加至收藏夹