跨域解決方案可以幫助確保信息技術(shù)（IT）和運營技術(shù)（OT）之間的通信安全。

網(wǎng)絡(luò)攻擊和事件正成為工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施應(yīng)用計劃外停機的主要原因。對商業(yè)網(wǎng)絡(luò)的IT攻擊，可能對運營產(chǎn)生負面影響。正如燃油管道商Colonial Pipeline遭到勒索軟件攻擊事件所導(dǎo)致的那樣，供應(yīng)鏈的可見性喪失會導(dǎo)致公司停止運營，由此造成數(shù)百萬美元的損失。IT和OT領(lǐng)域的適當(dāng)隔離，有助于減少IT層面的攻擊對OT層面的運營產(chǎn)生影響的機會。

通過數(shù)字化和新的工業(yè)物聯(lián)網(wǎng)（IIoT）技術(shù)，例如云和邊緣計算、物聯(lián)網(wǎng)協(xié)議（如消息隊列遙測傳輸）、分析和機器學(xué)習(xí)，OT和工業(yè)控制系統(tǒng)（ICS）正與商業(yè)和企業(yè)級應(yīng)用更緊密地集成。這擴大了OT系統(tǒng)的攻擊面，迫使最終用戶考慮OT領(lǐng)域與IT和企業(yè)網(wǎng)絡(luò)的隔離。

今天所需要的是“保持通信的同時隔離”。OT域必須保持安全，與IT域適當(dāng)隔離，以確保工人的健康和安全，并減少計劃外停機。計劃外停機使工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門每年造成的生產(chǎn)損失超過萬億美元。然而，隔離并不是要消除通信；IT和OT域之間的溝通是實現(xiàn)IIoT收益的必要條件。

跨域解決方案（CDS）是管理IT和OT域之間安全通信的一種絕佳方式。ARC分析師最近與Owl Cyber Defense公司探討了工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的CDS產(chǎn)品。關(guān)鍵要點包括：

■?網(wǎng)絡(luò)攻擊是計劃外停機的一個主要原因。

■?在最近的網(wǎng)絡(luò)攻擊中，大部分OT層面停機都是因為對IT系統(tǒng)的攻擊，連帶影響OT系統(tǒng)而造成的。

■?工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施需要保護OT域，并保護其免受IT攻擊的負面影響。

■?跨域解決方案長期用于政府和國防部門，現(xiàn)在正應(yīng)用到工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，以在IT和OT域之間提供隔離和安全通信，同時保持雙向通信能力。

01

計劃外停機的主要原因

計劃外停機是制造商和關(guān)鍵基礎(chǔ)設(shè)施面臨的一個嚴峻挑戰(zhàn)。ARC預(yù)計全球工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施部門因非計劃停機而導(dǎo)致的損失超過1萬億美元。在煉油廠，計劃外停產(chǎn)可能會抹掉年度利潤。意外停電可能會帶來生命損失和基本服務(wù)中斷等極端風(fēng)險。在過去，大多數(shù)非計劃停機可能歸因于運行人員的錯誤或控制過程中的某些意外或異常工況。

最近的網(wǎng)絡(luò)攻擊對運營的影響表明：現(xiàn)在，網(wǎng)絡(luò)攻擊事件是計劃外停機的一個主要來源，也對人類生命、安全和環(huán)境構(gòu)成威脅。相關(guān)機構(gòu)的數(shù)據(jù)顯示，NotPetya勒索軟件攻擊所造成的損失超過100億美元。

▲圖 1：跨域解決方案（CDS）有三個核心功能域：數(shù)據(jù)流限制、硬件驅(qū)動的分離以及內(nèi)容檢查和過濾。圖片來源：Owl Cyber Defense

02

IT層攻擊會導(dǎo)致OT層問題

NotPetya勒索軟件攻擊造成的損失，很多來自工業(yè)、制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施公司，這些公司因在IT和企業(yè)層面受到攻擊而不得不關(guān)閉運營。本田、馬士基和默克等公司都遭受了與運營相關(guān)的損失和嚴重的計劃外停機。據(jù)報道，馬士基公司因不得不關(guān)閉航運業(yè)務(wù)而蒙受了約3億美元的損失。默克公司損失了1.35億美元的收入，并花費了超過8億美元補救因NotPetya造成的影響和升級了其網(wǎng)絡(luò)安全系統(tǒng)。

過去十年中，OT系統(tǒng)的大部分技術(shù)進步都集中在OT和IT或業(yè)務(wù)/企業(yè)層功能之間的無縫集成上。隨著物聯(lián)網(wǎng)的應(yīng)用，從OT到IT的數(shù)據(jù)流呈指數(shù)級增長。然而，網(wǎng)絡(luò)安全保護并沒有跟上步伐。盡管大規(guī)模部署了大量的網(wǎng)絡(luò)安全產(chǎn)品和解決方案，但IT網(wǎng)絡(luò)攻擊仍會在OT層級產(chǎn)生影響。

03

跨域網(wǎng)絡(luò)安全解決方案對OT的好處

長期以來，一些國防和高度敏感的政府部門的應(yīng)用一直使用跨域解決方案，對這些部門來講必須確保絕對安全。跨域解決方案確保可信域和不可信域之間的安全通信。

跨域解決方案是一個集成的信息保證系統(tǒng)，由硬件和軟件組成。CDS提供受控接口，基于預(yù)定安全策略，手動或自動啟用或限制兩個或多個安全域之間的信息訪問或傳輸。它可以強制實施域分離，通常包括某種形式的內(nèi)容過濾，用于指定未經(jīng)授權(quán)的信息，以便在安全域之間或不同分類級別之間傳輸。

▲圖 2: 跨域解決方案（CDS）為信息技術(shù)（IT）和運營技術(shù)（OT）安全域之間的通信提供了更高級別的安全保障。圖片來源 ：ARC Advisory Group

跨域網(wǎng)絡(luò)安全解決方案由硬件和軟件組合而成，使用強化的操作系統(tǒng)和專用工具，如安全增強型Linux。它提供多層過濾和內(nèi)容檢查，并提供“協(xié)議中斷”（以數(shù)據(jù)二極管的形式），以實現(xiàn)可信和不可信網(wǎng)絡(luò)域之間的安全連接。

04

跨域解決方案 vs.防火墻

在工業(yè)控制系統(tǒng)領(lǐng)域，工業(yè)防火墻中無處不在。大多數(shù)工業(yè)設(shè)施使用防火墻來保護邊界并提供區(qū)域隔離。然而，防火墻有許多漏洞，需要持續(xù)的配置和維護工作。防火墻是提供網(wǎng)絡(luò)安全的一種好方法，但不應(yīng)與跨域解決方案混淆。正是由于防火墻和其它安全產(chǎn)品中固有的漏洞，才開發(fā)了跨域解決方案。

跨域解決方案和防火墻之間的另一個關(guān)鍵區(qū)別是長期運營和維護成本。防火墻需要持續(xù)維護，必須定期審查防火墻規(guī)則集，定期進行防火墻安全審計，備份防火墻規(guī)則集，并定期審查防火墻日志。

跨域解決方案需要配置的規(guī)則較少，日常維護的需求也更少。防火墻更類似于拒絕列表策略，其中某些協(xié)議、端口和服務(wù)被禁止。CDS更像是一個允許列表，其中只允許某些類型的通信和服務(wù)。這就是CDS在支持強制訪問控制（MAC）方案和基于角色的訪問控制（RBAC）方面如此有用的原因。

▲圖 3: Owl Cyber Defense 公司的 IXD 跨域解決方案，具有 XML 過濾和 XML 線性保證管道的功能。

05

CDS的網(wǎng)絡(luò)安全優(yōu)勢

跨域解決方案正在超越傳統(tǒng)的國防和政府應(yīng)用領(lǐng)域，開始在更多行業(yè)中應(yīng)用。從石油和天然氣勘探和生產(chǎn)，到管道和液化天然氣（LNG）應(yīng)用，碳氫化合物行業(yè)是當(dāng)今最大的用戶。包括煉油和石化在內(nèi)的下游行業(yè)，也在采用這項技術(shù)。CDS也被用于化學(xué)、汽車和發(fā)電行業(yè)。

最終用戶希望通過部署CDS以實現(xiàn)OT和IT域之間更高安全級別的通信。IT和企業(yè)網(wǎng)絡(luò)消耗的OT數(shù)據(jù)量繼續(xù)呈指數(shù)級增長。有時，防火墻本身不足以在OT和IT域之間提供適當(dāng)?shù)母綦x級別。

在工業(yè)和基礎(chǔ)設(shè)施應(yīng)用中，跨域解決方案的另一個常見用例是將過程歷史數(shù)據(jù)復(fù)制到企業(yè)，不管是在業(yè)務(wù)網(wǎng)絡(luò)上還是在云端。

隨著OT和IT領(lǐng)域?qū)Ω踩ㄐ诺男枨笕找嬖鲩L，最終用戶可以考慮跨域網(wǎng)絡(luò)安全解決方案，以更好地隔離并實現(xiàn)兩個域之間的安全通信。CDS的運營和維護成本及要求較低，再加上所提供的安全水平，可以成為一種具有成本效益的策略，以避免在IT層級發(fā)生攻擊時在OT層級出現(xiàn)意外停機。此外，跨域解決方案還可以預(yù)防在OT層級發(fā)起的攻擊轉(zhuǎn)向IT網(wǎng)絡(luò)或云。

關(guān)鍵概念：?

■ 計劃外停機是制造商和關(guān)鍵基礎(chǔ)設(shè)施面臨的一個主要問題，網(wǎng)絡(luò)安全漏洞是一個日益嚴重的原因。

■?跨域解決方案（CDS）可以幫助管理IT和OT域之間的安全通信，并確保雙方免受網(wǎng)絡(luò)安全攻擊。

■?CDS的一個常見用例是將過程歷史數(shù)據(jù)復(fù)制到企業(yè)，不管其是在業(yè)務(wù)網(wǎng)絡(luò)上還是在云端。

編輯：黃飛

?