提高网络安全的重要工具都有哪些?
1、网络细分
目前,工业网络是机器,如果区域或功能之间的分割有限,那么提高网络安全性的一个好的起点是在网络上创建更多的分段,以限制不必要的通信。除了减少发送到所有设备的广播消息数量外,分段还可以用作防火墙解决方案的先决条件。还考虑了ISA/IEC62443等安全方法。如果使用不支持VLAN和其他功能的交换机,则可能需要更新交换机硬件。
2、防火墙
在工业网络和办公网络之间建立防火墙是限制设备通信路径的第一步。考虑到防火墙,您必须了解内部行业协议,并根据未来的带宽和连接数量对其进行调整。在工业和办公网络连接之间规划防火墙以中断。为了最大限度地减少这种情况,请运行规则并小心阻止未定义的通信。防火墙也可以用作安全访问的一种手段。通过虚拟专用网络(VPN)功能,您可以从外部安全地访问工业网络,消除现有的远程访问技术,并将其集成到一种集中和可管理的方法中。
3、入侵检测/预防系统
有多种方法可以实现入侵检测或入侵预防系统(IDS/IPS)。通常,这些解决方案会分析网络通信,并针对未知、意外或预定义的活动发出警告。人机界面(HMI)和监控与数据采集系统(SCADA)在这种情况下,如果软件和系统的操作能力不冲突,也可以将基于主机的方法集成到解决方案中。一些新产品包括高级学习功能,可以帮助您理解环境中的正常交流,并提醒您注意可疑行为。可能需要转换网络或添加网络端口,并且需要与解决方案提供商进行讨论。
4、软件定义网络(SDN)
软件定义网络可用于希望更精细地控制设备之间通信的公司。每个设备或设备组只能通过配置中定义的特定端口或协议进行通信。实施此解决方案可能需要新的交换机和控制器,但在安全性方面,您可以从上述投资中获得好处。
考虑到工业网络攻击的数量和复杂性不断增加,在安全性、必要性和可接受风险之间找到正确的平衡因公司而异。像今天这样抓住这一边界从未像现在这样重要和具有挑战性。本文提出的方法和预防措施可作为确定差距的指导,并作为对话的起点。这两个优先事项总是冲突的,所以管理好它们的公司不会停止评估和创新网络安全解决方案。
