伴隨工業(yè)互聯(lián)網(wǎng) (lloT) 與智能制造的快速發(fā)展，網(wǎng)絡(luò)安全已不僅關(guān)乎防范黑客入侵或數(shù)據(jù)泄露，更直接關(guān)系到系統(tǒng)穩(wěn)定和生產(chǎn)效率。對于操作技術(shù) (OT) 網(wǎng)絡(luò)而言，韌性防御和持久運(yùn)行至關(guān)重要。這正是保障正常運(yùn)行與韌性防御 (GUARD) 策略的核心要義。

重新定義 OT 安全：從邊界防御到內(nèi)生韌性

傳統(tǒng)網(wǎng)絡(luò)安全側(cè)重邊界防御，常見防御手段包括防火墻、入侵檢測系統(tǒng) (IDS)、異常監(jiān)測工具等。雖然這些防御機(jī)制對邊界保護(hù)十分關(guān)鍵，但僅靠它們往往難以全面應(yīng)對內(nèi)部威脅或設(shè)備層面的安全漏洞。

以某家為城市供水的中小型凈水處理廠為例：由于故障停機(jī)會影響公共衛(wèi)生，因此必須不惜一切代價避免這種情況發(fā)生。在法規(guī)的強(qiáng)制要求下，該凈水處理廠必須采取強(qiáng)有力的網(wǎng)絡(luò)安全措施，因而需要一套可保障持久運(yùn)行且嚴(yán)格符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案。但該廠可用于事件響應(yīng)與恢復(fù)的資源有限，運(yùn)營重心在于確保凈水作業(yè)能夠持久運(yùn)行。

在此情況下，GUARD 策略完美符合該廠的需求。GUARD 的創(chuàng)新性在于突破網(wǎng)絡(luò)邊界保護(hù)模式：可在每個網(wǎng)絡(luò)節(jié)點(diǎn)嵌入安全功能，同時確保與現(xiàn)有 OT 設(shè)備無縫集成。這種在設(shè)計時就嵌入的韌性機(jī)制使得凈水廠等應(yīng)用在遭遇網(wǎng)絡(luò)攻擊時能自主恢復(fù)并將運(yùn)行中斷控制在最小范圍。

三大核心策略

保障正常運(yùn)行——對于工業(yè)網(wǎng)絡(luò)而言，正常運(yùn)行就等于生產(chǎn)率和收益，任何網(wǎng)絡(luò)故障都將導(dǎo)致重大損失。因此，在關(guān)鍵網(wǎng)絡(luò)設(shè)備遭受攻擊或出現(xiàn)故障后，迅速恢復(fù)網(wǎng)絡(luò)至關(guān)重要。通過電源冗余、網(wǎng)絡(luò)冗余協(xié)議 (STP/RSTP/MRP/Turbo Ring/Turbo Chain) 以及快速配置恢復(fù)等技術(shù)手段，可最大限度降低生產(chǎn)中斷風(fēng)險。

內(nèi)生韌性——區(qū)別于傳統(tǒng)的附加安全架構(gòu)，內(nèi)置防御體系將安全功能直接嵌入設(shè)備，因此網(wǎng)絡(luò)基礎(chǔ)設(shè)施可實(shí)現(xiàn)“安全始于設(shè)計”。具體包括：

通過 IEC 62443-4-1 認(rèn)證的安全開發(fā)生命周期 (SDL) 體系，確保產(chǎn)品從設(shè)計到運(yùn)行全程符合最高安全標(biāo)準(zhǔn)

符合 IEC 62443-4-2 安全等級 2 的強(qiáng)固型設(shè)備（涵蓋從路由器到以太網(wǎng)交換機(jī)的所有設(shè)備），內(nèi)置多層網(wǎng)絡(luò)分區(qū)（二層、三層、VLAN），可阻斷內(nèi)部威脅的橫向移動

緊密協(xié)作和面向未來——GUARD 策略著力保護(hù)現(xiàn)有網(wǎng)絡(luò)，同時可整合新的設(shè)備和技術(shù)。

每一項(xiàng)專有網(wǎng)絡(luò)冗余技術(shù)（例如 Turbo Ring 或 Turbo Chain）都與標(biāo)準(zhǔn)協(xié)議 (MRP、STP/RSTP) 兼容

支持第三方設(shè)備監(jiān)控管理的網(wǎng)絡(luò)管理系統(tǒng) (NMS)，可提升整體網(wǎng)絡(luò)可視性與運(yùn)行效率

廣大的全球化合作伙伴生態(tài)體系，提供全球與本地支持，以滿足不同市場與行業(yè)的需求

評估需求時的關(guān)鍵問題

內(nèi)生安全 vs.附加安全

您是否想保護(hù)整個網(wǎng)絡(luò)，而不僅僅是網(wǎng)絡(luò)邊界？

您是否希望在不外加復(fù)雜的外部安全防護(hù)層的情況下，有效增強(qiáng)網(wǎng)絡(luò)安全？

如果這兩個問題的回答均為“是”，那么您需要采用內(nèi)生安全解決方案。顧名思義，內(nèi)生安全是指將安全功能直接內(nèi)置于網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)和串口設(shè)備聯(lián)網(wǎng)服務(wù)器）中。這種通過 IEC 62443-4-1 認(rèn)證的“安全始于設(shè)計”方案能夠從內(nèi)到外強(qiáng)化網(wǎng)絡(luò)，從而提升網(wǎng)絡(luò)抵御攻擊的能力。這就像建造了一座固若金湯的城堡，而非僅僅雇傭了外圍守衛(wèi)。

正常運(yùn)行與韌性： 

在維護(hù)工業(yè)網(wǎng)絡(luò)的可靠性和安全性時，您面臨的最大挑戰(zhàn)是什么？

您當(dāng)前采用何種網(wǎng)絡(luò)冗余策略？

雖然威脅檢測非常重要，但保障系統(tǒng)正常運(yùn)行和快速恢復(fù)才是關(guān)鍵。網(wǎng)絡(luò)冗余協(xié)議、快速配置復(fù)原以及設(shè)備的安全設(shè)計相互配合，能夠有效降低任何安全事件對運(yùn)營造成的影響。為避免因故障導(dǎo)致經(jīng)濟(jì)損失，應(yīng)著力維護(hù)系統(tǒng)的順暢運(yùn)行，依托網(wǎng)絡(luò)拓?fù)鋪斫鉀Q可能出現(xiàn)的網(wǎng)絡(luò)問題。

無縫集成與運(yùn)營效率：

您的網(wǎng)絡(luò)中是否混用了傳統(tǒng)與現(xiàn)代設(shè)備？

您如何管理工業(yè)設(shè)備的補(bǔ)丁更新和漏洞修復(fù)？

將網(wǎng)絡(luò)安全功能與現(xiàn)有基礎(chǔ)設(shè)施及未來技術(shù)無縫融合至關(guān)重要。與現(xiàn)有網(wǎng)絡(luò)冗余協(xié)議更順暢的兼容性，加上支持第三方設(shè)備監(jiān)控的網(wǎng)絡(luò)管理方案，可全面提升對整個工業(yè)網(wǎng)絡(luò)狀態(tài)的了解與控制。為此，應(yīng)找到既能優(yōu)化運(yùn)營效率，又可保護(hù)現(xiàn)有投資的解決方案。

創(chuàng)新賦能新價值：韌性與穩(wěn)定性的完美結(jié)合

GUARD 不僅只是一套安全解決方案，更代表著“內(nèi)生韌性”的全新理念。它打破了傳統(tǒng)上僅為邊界提供保護(hù)的模式，將安全功能植入每個網(wǎng)絡(luò)節(jié)點(diǎn)，并深度平衡正常運(yùn)行與韌性防御，以實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。為應(yīng)對工業(yè)互聯(lián)網(wǎng)和 OT 網(wǎng)絡(luò)日益增長的復(fù)雜性與重要性，Moxa 致力于強(qiáng)化工業(yè)網(wǎng)絡(luò)安全性和運(yùn)行穩(wěn)定性，力爭成為網(wǎng)絡(luò)架構(gòu)領(lǐng)域的行業(yè)標(biāo)桿。訪問 Moxa 微網(wǎng)站，了解如何通過提升工業(yè)網(wǎng)絡(luò)安全增強(qiáng)企業(yè)韌性。