不管怎樣,由于“新冠”疫情的影響爆發(fā)而起遠程模式,可能并未因企業(yè)的復工復產(chǎn)而煙消云散,有人預測,遠程辦公模式會因這次疫情得到進一步發(fā)展,并逐步改變?nèi)藗兊娜粘^k公習慣。
而本文所討論的不止是遠程辦公,而是OT(運營技術)環(huán)境下的遠程訪問,同樣是遠程作業(yè),但二者可謂有著“天壤之別”。
隨著遠程模式規(guī)模的激增,對OT網(wǎng)絡的管理也成為“顛覆”模式發(fā)展的另一前沿領域。對OT網(wǎng)絡的管理通常需要為物理訪問工業(yè)控制系統(tǒng)的用戶提供在線連接,同時還要確保其安全性不會受到損害。這項任務意義重大,因為可以說每家企業(yè)都在依賴這些網(wǎng)絡,例如,在電力、石油和天然氣、能源、公用事業(yè)、制造業(yè)、制藥、食品和飲料等行業(yè)中,OT網(wǎng)絡都是其業(yè)務的關鍵組成部分。還有其它企業(yè)依賴于OT網(wǎng)絡來運行其辦公基礎架構——照明、電梯和數(shù)據(jù)中心基礎架構。
需要遠程訪問OT環(huán)境的用戶都包括誰呢?它們通常分為以下幾類:
設備制造商。在大多數(shù)情況下,在采購時,組成這些網(wǎng)絡的工業(yè)控制系統(tǒng)包括了制造商自己進行遠程維護的協(xié)議。網(wǎng)絡管理員習慣于支持這些用戶為現(xiàn)有機器提供服務,包括提供更新、錯誤修復和性能讀數(shù),因此對它們來說這不是新的需求。
遠程工作者。當談論到遠程工作者用戶時,挑戰(zhàn)就將升級了。因為在當今的商業(yè)環(huán)境中,這可能意味著,以前在現(xiàn)場工作的人員,如今需要在工廠之外的場所進行遠程工作,這就需要為這些人提供OT網(wǎng)絡的在線訪問權限,以便他們可以進行遠程工作。例如,更改生產(chǎn)線和制造流程。
第三方承包商。許多企業(yè)會將某些服務外包給專門從事該特定運營領域的第三方承包商,例如生產(chǎn)優(yōu)化。而以前以物理方式提供這些服務的承包商,現(xiàn)在就需要遠程訪問相關設備以保持生產(chǎn)線的平穩(wěn)運行。在企業(yè)業(yè)務發(fā)生中斷時,這些服務可能變得更加關鍵,這取決于行業(yè)以及所提供的產(chǎn)品和服務。評估各種類型的用戶、系統(tǒng)、訪問級別和功能是一項復雜的連接挑戰(zhàn)。但是,IT部門提供的標準訪問路徑通常與OT環(huán)境中的特定用例并不匹配。
在信息化時代迅速發(fā)展的當下,每個企業(yè)組織都在減少現(xiàn)場人員,因此對安全遠程訪問的需求在持續(xù)增加。無論您的企業(yè)是在評估現(xiàn)有與OT環(huán)境安全連接的能力,還是在考慮新的解決方案,以下3點都可以幫助幫助到您:
1.是否具備精細的特權訪問控制?
例如,基于最小權限原則,控制系統(tǒng)制造商的維護人員需要在有限的時間內(nèi)訪問特定任務的特定控制器即可。為了降低風險,需要在設置的時間范圍內(nèi)僅將特定用戶的訪問權限擴展到必要的資產(chǎn)。
2.是否具備主動監(jiān)視、阻止和審核訪問的能力?
在進行遠程會話之前、期間和之后,需要具備對系統(tǒng)的可見性并控制對第三方和員工的訪問。這包括具備以下能力:實時觀察活動,并在必要時終止會話,以及查看日志記錄以便審核和取證。
3.工作流和進程是否安全?
其實不必依賴第三方來保證密碼安全,因為許多第三方可以在多個人之間共享密碼,以致存在第三方泄露的風險。您需要具備的能力是:使用密碼庫集中管理用戶憑據(jù),并通過多因素身份驗證來驗證每個用戶。此外,許多工作涉及安裝新文件。為了確保文件完整性,您還需要確保安全的文件傳輸。
毫無疑問,對OT網(wǎng)絡的遠程訪問會增加安全威脅的可能性,影響業(yè)務的平穩(wěn)運行,甚至危及生產(chǎn)安全。但值得慶幸的是,通過確保對OT網(wǎng)絡遠程訪問控制的細粒度,審核訪問的能力以及更高級別的安全性(例如密碼庫和安全文件傳輸),可以減輕這種風險。并且,提高一線員工(OT網(wǎng)絡的網(wǎng)絡管理人員)在關鍵環(huán)境下保持OT網(wǎng)絡更高安全連接的能力也是至關重要的。
