不管怎樣,由于“新冠”疫情的影響爆發(fā)而起遠(yuǎn)程模式,可能并未因企業(yè)的復(fù)工復(fù)產(chǎn)而煙消云散,有人預(yù)測,遠(yuǎn)程辦公模式會因這次疫情得到進(jìn)一步發(fā)展,并逐步改變?nèi)藗兊娜粘^k公習(xí)慣。
而本文所討論的不止是遠(yuǎn)程辦公,而是OT(運營技術(shù))環(huán)境下的遠(yuǎn)程訪問,同樣是遠(yuǎn)程作業(yè),但二者可謂有著“天壤之別”。
隨著遠(yuǎn)程模式規(guī)模的激增,對OT網(wǎng)絡(luò)的管理也成為“顛覆”模式發(fā)展的另一前沿領(lǐng)域。對OT網(wǎng)絡(luò)的管理通常需要為物理訪問工業(yè)控制系統(tǒng)的用戶提供在線連接,同時還要確保其安全性不會受到損害。這項任務(wù)意義重大,因為可以說每家企業(yè)都在依賴這些網(wǎng)絡(luò),例如,在電力、石油和天然氣、能源、公用事業(yè)、制造業(yè)、制藥、食品和飲料等行業(yè)中,OT網(wǎng)絡(luò)都是其業(yè)務(wù)的關(guān)鍵組成部分。還有其它企業(yè)依賴于OT網(wǎng)絡(luò)來運行其辦公基礎(chǔ)架構(gòu)——照明、電梯和數(shù)據(jù)中心基礎(chǔ)架構(gòu)。
需要遠(yuǎn)程訪問OT環(huán)境的用戶都包括誰呢?它們通常分為以下幾類:
設(shè)備制造商。在大多數(shù)情況下,在采購時,組成這些網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)包括了制造商自己進(jìn)行遠(yuǎn)程維護(hù)的協(xié)議。網(wǎng)絡(luò)管理員習(xí)慣于支持這些用戶為現(xiàn)有機(jī)器提供服務(wù),包括提供更新、錯誤修復(fù)和性能讀數(shù),因此對它們來說這不是新的需求。
遠(yuǎn)程工作者。當(dāng)談?wù)摰竭h(yuǎn)程工作者用戶時,挑戰(zhàn)就將升級了。因為在當(dāng)今的商業(yè)環(huán)境中,這可能意味著,以前在現(xiàn)場工作的人員,如今需要在工廠之外的場所進(jìn)行遠(yuǎn)程工作,這就需要為這些人提供OT網(wǎng)絡(luò)的在線訪問權(quán)限,以便他們可以進(jìn)行遠(yuǎn)程工作。例如,更改生產(chǎn)線和制造流程。
第三方承包商。許多企業(yè)會將某些服務(wù)外包給專門從事該特定運營領(lǐng)域的第三方承包商,例如生產(chǎn)優(yōu)化。而以前以物理方式提供這些服務(wù)的承包商,現(xiàn)在就需要遠(yuǎn)程訪問相關(guān)設(shè)備以保持生產(chǎn)線的平穩(wěn)運行。在企業(yè)業(yè)務(wù)發(fā)生中斷時,這些服務(wù)可能變得更加關(guān)鍵,這取決于行業(yè)以及所提供的產(chǎn)品和服務(wù)。評估各種類型的用戶、系統(tǒng)、訪問級別和功能是一項復(fù)雜的連接挑戰(zhàn)。但是,IT部門提供的標(biāo)準(zhǔn)訪問路徑通常與OT環(huán)境中的特定用例并不匹配。
在信息化時代迅速發(fā)展的當(dāng)下,每個企業(yè)組織都在減少現(xiàn)場人員,因此對安全遠(yuǎn)程訪問的需求在持續(xù)增加。無論您的企業(yè)是在評估現(xiàn)有與OT環(huán)境安全連接的能力,還是在考慮新的解決方案,以下3點都可以幫助幫助到您:
1.是否具備精細(xì)的特權(quán)訪問控制?
例如,基于最小權(quán)限原則,控制系統(tǒng)制造商的維護(hù)人員需要在有限的時間內(nèi)訪問特定任務(wù)的特定控制器即可。為了降低風(fēng)險,需要在設(shè)置的時間范圍內(nèi)僅將特定用戶的訪問權(quán)限擴(kuò)展到必要的資產(chǎn)。
2.是否具備主動監(jiān)視、阻止和審核訪問的能力?
在進(jìn)行遠(yuǎn)程會話之前、期間和之后,需要具備對系統(tǒng)的可見性并控制對第三方和員工的訪問。這包括具備以下能力:實時觀察活動,并在必要時終止會話,以及查看日志記錄以便審核和取證。
3.工作流和進(jìn)程是否安全?
其實不必依賴第三方來保證密碼安全,因為許多第三方可以在多個人之間共享密碼,以致存在第三方泄露的風(fēng)險。您需要具備的能力是:使用密碼庫集中管理用戶憑據(jù),并通過多因素身份驗證來驗證每個用戶。此外,許多工作涉及安裝新文件。為了確保文件完整性,您還需要確保安全的文件傳輸。
毫無疑問,對OT網(wǎng)絡(luò)的遠(yuǎn)程訪問會增加安全威脅的可能性,影響業(yè)務(wù)的平穩(wěn)運行,甚至危及生產(chǎn)安全。但值得慶幸的是,通過確保對OT網(wǎng)絡(luò)遠(yuǎn)程訪問控制的細(xì)粒度,審核訪問的能力以及更高級別的安全性(例如密碼庫和安全文件傳輸),可以減輕這種風(fēng)險。并且,提高一線員工(OT網(wǎng)絡(luò)的網(wǎng)絡(luò)管理人員)在關(guān)鍵環(huán)境下保持OT網(wǎng)絡(luò)更高安全連接的能力也是至關(guān)重要的。
