简化 IT/OT 系统已成为工业运营商提升绩效、获取竞争优势的关键策略。然而，随着 IT/OT 的融合，尤其是现场设备接入网络，安全风险也不断增加。工业系统易受网络攻击的主要原因包括既有设备存在安全漏洞（如默认设置不安全或采用传统通信协议）、现场设备可视性不足以及 OT 网络缺乏分区管理。在此背景下，强大的网络韧性对于工业组织至关重要。加强网络韧性不仅能有效降低安全风险，还将助力企业从 IT/OT 融合中获益。若想深入了解如何在 IT/OT 融合系统中加强网络安全，请点击阅读 专家文章。

鉴于网络安全的重要性，各国政府实施的法规日趋严格，应对关键基础设施日益遭受网络攻击的问题。这些法规要求工业组织采取网络安全措施，减少单一安全事件对国家安全的影响。例如，欧盟的 NIS2 指令要求关键基础设施和基础服务运营商实施适当的安全措施，并向相关主管部门报告安全事件¹。美国的《关键基础设施网络事件报告法》则要求关键基础设施运营实体向网络安全和基础设施安全局报告重大网络事件以及勒索软件支付情况。²通过提升网络韧性，工业运营商不仅能够确保 IT/OT 融合系统的安全性，还能更好地适应动态环境并满足政府法规的要求。

提升网络韧性的三大网络规划考虑因素

企业韧性主要体现在经历意外中断后能否快速响应并恢复，同时保障日常运营、保持品牌形象。要提升企业韧性，强化网络韧性极为关键，确保企业能从网络攻击中迅速恢复。网络韧性涵盖了人员、策略和技术等多方面。从网络规划的角度来看，以下三点有助于增强企业的网络韧性。

考虑因素一：尽可能缩小攻击面

减少工业网络的攻击面至关重要。这有助于最大限度缩短系统故障停机时间并迅速恢复。企业需努力让更少设备受到漏洞影响，从而更好地保护系统。实现这一目标的常用策略是深度防御。为实施这一策略，我们建议采用符合“安全始于设计”理念的联网设备，并构建分层网络保护机制。工业运营商应选择符合网络安全标准（如 IEC 62443 和 NIST CSF）的联网设备。这些标准为关键资产、系统和组件提供了重要安全准则，为资产所有者建设安全网络基础设施奠定了坚实基础。 尽管实施多层网络保护益处良多，但许多工业组织仍因预算限制而难以付诸实践。

我们建议按照以下简单的三步流程，开启您的工业网络分层保护计划。

1. 现场设备保护: 联网的关键资产若未得到妥善保护，极易成为网络攻击的目标。在关键资产前端部署工业入侵防御系统 (IPS) 能够及时有效阻断已知恶意活动。此外，这些 IPS 设备还可为无法打补丁的既有设备提供虚拟补丁，从而增强现场设备的安全性。

2. 二层和三层分区: 将网络划分为较小的联网设备组并启用访问控制，即可降低未授权访问的风险。通过 VLAN 和网络分区，企业可按组管理网络访问和流量，确保可信通信。

3. 边界防护: IT/OT 融合消除了工业网络的物理隔离屏障。因此，保护不同网络之间的边界是关键举措。部署工业防火墙可在 LAN 与 WAN、OT 与 IT 网络之间建立安全的网络分区。根据安全需求和网络规模，工业防火墙还可对工业网络内的应用进行微分区。

这三个步骤为构建分层网络保护机制奠定了良好基础。根据工业应用的可访问范围，企业还可以实施其他网络安全措施。例如，工程师需远程访问现场机器时，VPN 安全隧道能最大限度减少潜在攻击点。

考虑因素二：提升安全事件检测效率

由于黑客们一直在试图绕开分层网络防御，企业要想成功阻击每一次攻击颇具难度。因此，网络管理员需要全面掌握网络运行状况，包括联网设备状态及网络流量动态。为快速识别安全漏洞，建议部署具备网络状态可视化、网络设备和流量监测及异常警报功能的网络管理工具。

同时，可在关键资产前端配置入侵检测系统 (IDS) 等高级网络安全解决方案，在不影响网络正常运行的前提下，及时检测异常活动并通知企业运维人员，再由运维人员判断是否需要采取进一步措施。

考虑因素三：加速攻击后的业务恢复

NIS2 指令将业务连续性列为网络安全风险管理的关键措施之一³。在遭受攻击时，首要任务是控制损失，维持业务运营。为快速响应网络攻击并恢复运营，需建立完善的事件报告与恢复规划机制。其中，网络设备配置的备份对于攻击后的高效恢复十分重要，可最大程度减少重新配置的工作量。此外，必须持续监测网络安全事件，及时完成所有网络设备的安全更新，以防止类似攻击再次发生。部分网络管理工具提供集中配置备份、大规模固件部署及网络安全事件监测仪表板等功能，可帮助管理员大幅缩短网络恢复时间。合理选用这些工具能显著提升恢复效率，确保网络快速恢复正常运行。

Moxa 安全联网解决方案助您提升网络韧性

为增强其网络韧性，工业组织需部署安全的工业网络，但要确保现有运营不受影响，因此简化安全网络部署流程至关重要。Moxa 提供安全联网综合解决方案，可显著提升工业网络安全性，确保系统具备工业级可靠性，并能扩展性能，应对未来挑战。Moxa 执行安全开发生命周期 (SDL) 策略，是最早通过 IEC 62443-4-1 认证的企业之一；多款联网产品获得 IEC 62443-4-2 认证，进一步巩固了其全球领先地位。各项成就充分体现了 Moxa 致力于帮助客户提升网络设备安全性的承诺。

Moxa 以太网交换机配备了安全加固功能，许多产品通过 IEC 62443-4-2 SL2 认证，可为设备和网络提供全方位保护。同时，Moxa 安全路由器和工业防火墙集成了 IPS、IDS、DPI、VPN 等先进安全技术，构建起分层网络安全体系，为关键资产、网络基础设施及网络边界筑牢安全防线。此外，Moxa 网络管理软件可清晰呈现网络状态，显示设备运行信息，对异常情况发出实时警告，并通过仪表板功能实现对安全事件的全程追踪。

访问 Moxa 微网站，进一步了解 Moxa 面向未来的联网解决方案。

1 NIS2 指令：网络和信息系统网络安全新规

2 《2022 年关键基础设施网络事件报告法案》(CIRCIA)

3 2022 年 12 月 14 日欧洲议会与欧盟理事会第 2022/2555 号指令