您的控制系统网络中哪些信息最重要?与供职于生命科学行业的多数 OT/IT 专业人士一样,您会不假思索地做出回答。
识别关键系统数据,有意识地采取多种手段保护它们,做到这些其实不难。如何在缓解网络安全风险的同时,又能充分利用最新的物联网 (IOT) 技术,这才是网络基础设施设计的难点所在。
当然,生命科学公司已经认识到推动企业内部信息互通的优势,正努力优化其电子批记录和报告系统,同时运用高级分析工具和其他数字化技术。
但是,在寻求提升互通性的同时,其选择的网络解决方案无意间会带来风险。
发布时间 2020年1月15日
您的网络基础设施是刻意选择的结果,还是在不经意间形成的?
好好想一下,如何在类型各异的系统之间共享数据?
当然,最简单的方法是将所有数据放在同一网络上,不少人都会这么做。
为方便起见,企业会刻意选择不分段扁平网络架构,便于自由交换信息。但是,如果传统网络基础设施在规模扩展的同时没有加入 VLAN、防火墙和其他边界防护设备,不经意间也会形成不分段网络,这种情况比较普遍。
不分段网络存在哪些问题
不管出于什么原因,采用不分段网络使得设备间的访问和通信更加便捷,但是也埋下了不小隐患。
首先,不分段扁平网络架构会使非关键数据和关键数据都面临网络安全风险。如果缺乏网络边界防护或访问限制措施,攻击者可以通过最脆弱的入口点入侵网络或任何联网设备。
届时,包括制造和配方信息、临床试验数据、定价和营销策略在内的所有内容都有可能泄露。
此外,不分段网络具有效能低下的弊端。企业起初不会意识到网络性能问题,因为生产经营依然看似正常。但是,随着系统不断更新并加入更多新功能,网络通信量激增,网络冲突和延迟现象日渐频繁,最终严重影响生产。
您或身边的人有过丢失数据或丧失系统可见性的惨痛经历吗?这样的例子比比皆是。
作为纵深防御安全策略的组成部分,网络分段 (即将网络分成一个个网段) 有助于抑制不必要的广播流量,同时限制攻击者可以直接盗取的信息。
为您的系统部署网络分段
构建自动化系统时,您考虑过网络设计和性能吗?如何有效部署网络分段,从而遏制潜在安全漏洞并提升网络性能?
根据我的经验,绝大多数生命科学公司精通生产过程管理。但是,他们并没有意识到自己选择的解决方案会对网络基础设施产生怎样的影响。其结果是,他们对现有基础设施的涵盖内容、通信模式乃至潜在风险和性能限制一无所知。
系统审计可以帮助您更好地了解系统中包含的内容、设备的通信方式及信息的传播方式。首先,系统审计将为您提供识别潜在风险和评估性能改进所需的基本信息。
随后,将执行 IEC 62443 标准规定的风险评估——这是一种业界最佳做法,可以引导您正确地优化网络设计和分段。
IEC 62443 是由一系列国际标准组成的灵活框架,旨在应对和缓解工业自动化和控制系统 (IACS) 当前和未来面临的安全漏洞。其中,IEC 62443-3-2 提供详细的风险评估指南。
风险评估可以为您呈现当前的安全态势,以及达到可接受风险状态的必要措施。
毫无疑问,您会发现系统中各区域的安全需求大不相同。通过风险评估,您可审视自身运用新技术的风险承受能力以及如何合理地进行网络分段,从而做出明智的决策,最终达成安全性和生产率目标。
根据自身要求,您可以选择访问控制列表、防火墙、VLAN、工业隔离区 (IDMZ) 等多种分段方法。
保障互联设施的安全
切记,网络分段只是我们构建纵深防御安全策略的诸多做法之一。要建立有效的安全策略,需要加入多层防护,其中既包括简单的实体防护设备 (例如大门),也包括复杂的电子和程序保护措施。
而且这是一个持续投入的过程,不仅需要细致周密的设计,还需要积极的干预和维护。
了解罗克维尔自动化如何帮助您设计和维护符合 IEC 62443 标准的系统。请参见我们最新的IEC 62443 认证信息。
