不管怎樣,由于“新冠”疫情的影響爆發(fā)而起遠(yuǎn)程模式,可能并未因企業(yè)的復(fù)工復(fù)產(chǎn)而煙消云散,有人預(yù)測(cè),遠(yuǎn)程辦公模式會(huì)因這次疫情得到進(jìn)一步發(fā)展,并逐步改變?nèi)藗兊娜粘^k公習(xí)慣。
而本文所討論的不止是遠(yuǎn)程辦公,而是OT(運(yùn)營(yíng)技術(shù))環(huán)境下的遠(yuǎn)程訪問,同樣是遠(yuǎn)程作業(yè),但二者可謂有著“天壤之別”。
隨著遠(yuǎn)程模式規(guī)模的激增,對(duì)OT網(wǎng)絡(luò)的管理也成為“顛覆”模式發(fā)展的另一前沿領(lǐng)域。對(duì)OT網(wǎng)絡(luò)的管理通常需要為物理訪問工業(yè)控制系統(tǒng)的用戶提供在線連接,同時(shí)還要確保其安全性不會(huì)受到損害。這項(xiàng)任務(wù)意義重大,因?yàn)榭梢哉f每家企業(yè)都在依賴這些網(wǎng)絡(luò),例如,在電力、石油和天然氣、能源、公用事業(yè)、制造業(yè)、制藥、食品和飲料等行業(yè)中,OT網(wǎng)絡(luò)都是其業(yè)務(wù)的關(guān)鍵組成部分。還有其它企業(yè)依賴于OT網(wǎng)絡(luò)來運(yùn)行其辦公基礎(chǔ)架構(gòu)——照明、電梯和數(shù)據(jù)中心基礎(chǔ)架構(gòu)。
需要遠(yuǎn)程訪問OT環(huán)境的用戶都包括誰(shuí)呢?它們通常分為以下幾類:
設(shè)備制造商。在大多數(shù)情況下,在采購(gòu)時(shí),組成這些網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)包括了制造商自己進(jìn)行遠(yuǎn)程維護(hù)的協(xié)議。網(wǎng)絡(luò)管理員習(xí)慣于支持這些用戶為現(xiàn)有機(jī)器提供服務(wù),包括提供更新、錯(cuò)誤修復(fù)和性能讀數(shù),因此對(duì)它們來說這不是新的需求。
遠(yuǎn)程工作者。當(dāng)談?wù)摰竭h(yuǎn)程工作者用戶時(shí),挑戰(zhàn)就將升級(jí)了。因?yàn)樵诋?dāng)今的商業(yè)環(huán)境中,這可能意味著,以前在現(xiàn)場(chǎng)工作的人員,如今需要在工廠之外的場(chǎng)所進(jìn)行遠(yuǎn)程工作,這就需要為這些人提供OT網(wǎng)絡(luò)的在線訪問權(quán)限,以便他們可以進(jìn)行遠(yuǎn)程工作。例如,更改生產(chǎn)線和制造流程。
第三方承包商。許多企業(yè)會(huì)將某些服務(wù)外包給專門從事該特定運(yùn)營(yíng)領(lǐng)域的第三方承包商,例如生產(chǎn)優(yōu)化。而以前以物理方式提供這些服務(wù)的承包商,現(xiàn)在就需要遠(yuǎn)程訪問相關(guān)設(shè)備以保持生產(chǎn)線的平穩(wěn)運(yùn)行。在企業(yè)業(yè)務(wù)發(fā)生中斷時(shí),這些服務(wù)可能變得更加關(guān)鍵,這取決于行業(yè)以及所提供的產(chǎn)品和服務(wù)。評(píng)估各種類型的用戶、系統(tǒng)、訪問級(jí)別和功能是一項(xiàng)復(fù)雜的連接挑戰(zhàn)。但是,IT部門提供的標(biāo)準(zhǔn)訪問路徑通常與OT環(huán)境中的特定用例并不匹配。
在信息化時(shí)代迅速發(fā)展的當(dāng)下,每個(gè)企業(yè)組織都在減少現(xiàn)場(chǎng)人員,因此對(duì)安全遠(yuǎn)程訪問的需求在持續(xù)增加。無論您的企業(yè)是在評(píng)估現(xiàn)有與OT環(huán)境安全連接的能力,還是在考慮新的解決方案,以下3點(diǎn)都可以幫助幫助到您:
1.是否具備精細(xì)的特權(quán)訪問控制?
例如,基于最小權(quán)限原則,控制系統(tǒng)制造商的維護(hù)人員需要在有限的時(shí)間內(nèi)訪問特定任務(wù)的特定控制器即可。為了降低風(fēng)險(xiǎn),需要在設(shè)置的時(shí)間范圍內(nèi)僅將特定用戶的訪問權(quán)限擴(kuò)展到必要的資產(chǎn)。
2.是否具備主動(dòng)監(jiān)視、阻止和審核訪問的能力?
在進(jìn)行遠(yuǎn)程會(huì)話之前、期間和之后,需要具備對(duì)系統(tǒng)的可見性并控制對(duì)第三方和員工的訪問。這包括具備以下能力:實(shí)時(shí)觀察活動(dòng),并在必要時(shí)終止會(huì)話,以及查看日志記錄以便審核和取證。
3.工作流和進(jìn)程是否安全?
其實(shí)不必依賴第三方來保證密碼安全,因?yàn)樵S多第三方可以在多個(gè)人之間共享密碼,以致存在第三方泄露的風(fēng)險(xiǎn)。您需要具備的能力是:使用密碼庫(kù)集中管理用戶憑據(jù),并通過多因素身份驗(yàn)證來驗(yàn)證每個(gè)用戶。此外,許多工作涉及安裝新文件。為了確保文件完整性,您還需要確保安全的文件傳輸。
毫無疑問,對(duì)OT網(wǎng)絡(luò)的遠(yuǎn)程訪問會(huì)增加安全威脅的可能性,影響業(yè)務(wù)的平穩(wěn)運(yùn)行,甚至危及生產(chǎn)安全。但值得慶幸的是,通過確保對(duì)OT網(wǎng)絡(luò)遠(yuǎn)程訪問控制的細(xì)粒度,審核訪問的能力以及更高級(jí)別的安全性(例如密碼庫(kù)和安全文件傳輸),可以減輕這種風(fēng)險(xiǎn)。并且,提高一線員工(OT網(wǎng)絡(luò)的網(wǎng)絡(luò)管理人員)在關(guān)鍵環(huán)境下保持OT網(wǎng)絡(luò)更高安全連接的能力也是至關(guān)重要的。
