運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)用于許多行業(yè)，如制造、能源、運(yùn)輸和醫(yī)療運(yùn)營(yíng)。與傳統(tǒng)IT網(wǎng)絡(luò)不同，OT網(wǎng)絡(luò)的中斷或故障會(huì)直接影響物理資產(chǎn)、導(dǎo)致停機(jī)并危及安全。

由于其關(guān)鍵性，OT系統(tǒng)需要特殊的監(jiān)控方法。用于監(jiān)控的設(shè)備必須能夠處理實(shí)時(shí)數(shù)據(jù)，并且在任何情況下都不能影響所部署網(wǎng)絡(luò)的安全性和性能。

另一方面，OT網(wǎng)絡(luò)通常由具有專有工業(yè)網(wǎng)絡(luò)協(xié)議的傳統(tǒng)系統(tǒng)組成，使用傳統(tǒng)IT網(wǎng)絡(luò)監(jiān)控工具無(wú)法輕松監(jiān)控。要獲得這些數(shù)據(jù)的可見性，需要能夠捕捉和解釋這些獨(dú)特協(xié)議的專用設(shè)備。

普渡模型

普渡工業(yè)控制系統(tǒng)（ICS）安全模型是一個(gè)框架，概述了保護(hù)敏感工業(yè)環(huán)境的多層次方法。該模型最初由普渡大學(xué)開發(fā)，并作為ISA-99標(biāo)準(zhǔn)的一部分由國(guó)際自動(dòng)化學(xué)會(huì)(ISA)進(jìn)一步完善，它定義了六個(gè)不同的網(wǎng)絡(luò)分段層，每個(gè)層都旨在發(fā)揮保護(hù)和管理工業(yè)運(yùn)行的特定功能。這些層級(jí)的范圍從企業(yè)級(jí)一直到實(shí)際物理流程。

普渡模型的主要目標(biāo)是在企業(yè)各級(jí)網(wǎng)絡(luò)之間建立清晰、安全的界限，特別是將企業(yè)和生產(chǎn)運(yùn)營(yíng)分開。這種分隔有助于防止網(wǎng)絡(luò)威脅在不同業(yè)務(wù)領(lǐng)域傳播，從而增強(qiáng)整體安全態(tài)勢(shì)。通過(guò)實(shí)施這種結(jié)構(gòu)化方法，企業(yè)可以更好地管理和降低與網(wǎng)絡(luò)安全威脅、未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)，確保工業(yè)控制系統(tǒng)持續(xù)可靠地運(yùn)行。

按照這一模式，以下是使用TAP和NPB監(jiān)控工業(yè)網(wǎng)絡(luò)的步驟：

步驟1：識(shí)別關(guān)鍵資產(chǎn)

監(jiān)控工業(yè)網(wǎng)絡(luò)的第一步是確定需要保護(hù)的關(guān)鍵資產(chǎn)。這包括對(duì)工業(yè)流程運(yùn)行至關(guān)重要的所有設(shè)備和系統(tǒng)。

步驟2：劃分網(wǎng)絡(luò)

下一步，應(yīng)根據(jù)普渡模型的分層級(jí)別對(duì)網(wǎng)絡(luò)進(jìn)行分段。這樣可以更好地進(jìn)行監(jiān)控和分析，從而在需要調(diào)查時(shí)減少停機(jī)時(shí)間。

步驟3：部署TAP

網(wǎng)絡(luò)TAP是一種硬件設(shè)備，用于被動(dòng)監(jiān)控網(wǎng)絡(luò)流量，而不會(huì)中斷流量。將其部署在網(wǎng)絡(luò)中的戰(zhàn)略點(diǎn)，如不同層級(jí)或區(qū)域之間，以捕獲通過(guò)的所有數(shù)據(jù)。可為OT環(huán)境提供特殊的低延遲和24v型號(hào)。

我們?cè)慕榻B如何使用銅纜TAP和IOTA加強(qiáng)OT網(wǎng)絡(luò)監(jiān)控。銅纜TAP（如艾體寶提供的產(chǎn)品）是一種非侵入式設(shè)備，可捕獲單根電纜中的所有網(wǎng)絡(luò)流量，提供獨(dú)立的TX/RX流，不會(huì)引入延遲或干擾現(xiàn)有流量。這樣就可以無(wú)縫、無(wú)交互地集成到現(xiàn)有網(wǎng)絡(luò)中，這對(duì)于時(shí)間要求嚴(yán)格、中斷可能會(huì)妨礙運(yùn)營(yíng)的工業(yè)環(huán)境來(lái)說(shuō)至關(guān)重要。

步驟4：建立聚合層

網(wǎng)絡(luò)數(shù)據(jù)包代理（NPB）是一種智能設(shè)備，可接收來(lái)自多個(gè)TAP的流量，并將其匯聚成單一信息流進(jìn)行分析。它們還提供高級(jí)過(guò)濾功能，以減少不重要的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包代理還可以接收來(lái)自SPAN連接等其他來(lái)源的流量，從而為不同的部署方案提供靈活性。網(wǎng)絡(luò)數(shù)據(jù)包代理可在向監(jiān)控工具發(fā)送監(jiān)控?cái)?shù)據(jù)之前幫助優(yōu)化數(shù)據(jù)，例如通過(guò)重復(fù)數(shù)據(jù)流。

步驟5：監(jiān)控流量

收集到的流量可由IOTA通過(guò)多個(gè)儀表板進(jìn)行分析，并轉(zhuǎn)發(fā)給入侵檢測(cè)系統(tǒng)(IDS)或網(wǎng)絡(luò)檢測(cè)與響應(yīng)(NDR)等監(jiān)控系統(tǒng)。

步驟6：識(shí)別異常

使用分析工具可以輕松檢測(cè)到硬件性能下降、網(wǎng)絡(luò)擁塞或組件故障等問(wèn)題。然后，應(yīng)用人員可以直接調(diào)查問(wèn)題，并確定最佳行動(dòng)方案。

第7步：優(yōu)化和實(shí)施

根據(jù)從流量監(jiān)控中獲得的洞察力，可以做出改變，使網(wǎng)絡(luò)和應(yīng)用程序更具彈性。此外，在網(wǎng)絡(luò)TAP和網(wǎng)絡(luò)包代理層面，添加不同的捕獲位置和創(chuàng)建新的過(guò)濾規(guī)則，也有助于更好地了解網(wǎng)絡(luò)概況。

步驟8：定期更新

定期更新用于監(jiān)控工業(yè)網(wǎng)絡(luò)的安全工具至關(guān)重要。這將確保它們擁有最新的威脅情報(bào)和軟件功能，并能檢測(cè)和緩解新的攻擊或問(wèn)題。

通過(guò)遵循這些步驟，企業(yè)可以使用TAP和NPB有效監(jiān)控其工業(yè)網(wǎng)絡(luò)，同時(shí)遵守普渡模型的分層安全方法。這有助于保護(hù)關(guān)鍵資產(chǎn)免受網(wǎng)絡(luò)威脅，確保平穩(wěn)運(yùn)行，并保持合規(guī)性。

審核編輯 黃宇