思享家 | 工業網際網路安全難題怎麼破？Cyber Vision有經驗

思科架構師

張學毅

思享家

是一個介紹如何利用思科先進技術解決客戶難題的欄目。每期聚焦一個技術熱點或應用場景，邀請資深思科技術專家深入淺出地介紹，為讀者提供實用性強的建議。

製造企業一直是網路攻擊犯罪分子的首選目標。據統計在2020年第一季度，針對製造業的勒索軟體攻擊增加了156％，而同期各行業平均僅增長了25％。造成這一局面的原因有很多，其中關鍵的一條是負責生產技術（OT）和負責資訊科技（IT）的兩個團隊沒能很好地協作。IT團隊有豐富的網路安全實戰經驗，但因為很多生產裝置難於接入企業網路，所以一旦遇到產線遭攻擊的事故往往束手無策。而網路安全又不是OT團隊的業務重點，據IBM針對370家工業企業的調研，74%的受訪者沒有進行OT風險評估，78%的受訪者沒有OT特定的安全策略，還有81%的受訪者沒有OT特定的安全事件響應計劃。所以為企業提供能融合IT和OT團隊的工具，搭建覆蓋產線、辦公等的企業全方位網路安全保護傘既是關係企業當下運營的關鍵，也是未來推進智慧製造轉型的基礎。

恰好筆者最近幫助國內某大型家電製造企業實施了網路安全建設專案，並得到了企業IT和OT團隊的一致好評，今天就拿出來與大家分享，希望能對讀者有所啟發。

該企業作為業務遍及全球的家電製造領頭羊企業，為響應國家工業網際網路號召，進一步落實《關於深化“網際網路+ 先進製造業”發展工業網際網路的指導意見》及《工業網際網路發展行動計劃（2018-2020年）》等政策，啟動了裝置全生命週期管理專案。計劃搭建物聯網平臺，實現人機互聯、機機互聯、機料互聯，以集團三大公司視像科技、冰箱、空調為試點，部署工業乙太網防控體系，打造集團一站式裝置全生命週期管理系統，助力企業生產實現智慧化、數字化轉型。

專案初期，企業OT與IT人員面臨的首要難題是實現OT裝置接入網路。因為產線老舊，大部分PLC控制器並不具備網路通訊能力，且來自多個品牌，難於梳理，所以IT部門在網路接入時十分頭疼。更麻煩的還在後面，工控裝置一旦接入網路，網路安全防護也將面臨很多問題，特別是產線的全自動化環節，一旦PLC和上位機被攻擊或感染病毒，會導致產線停產。解決這些難題需要企業OT與IT部門相互輔助，通力配合。

思科Cyber Vision平臺是促進IT和OT人員在技術方面相互瞭解的橋樑。隨著IT、雲和工業網路之間的深入整合，安全問題成為數字化轉型的障礙。Cyber Vision為工業控制系統提供全面的可視性，構建安全的基礎設施並實施安全策略——實現工業運營的連續性、彈性和安全性。Cyber Vision幫助客戶深入瞭解 OT 資產、工業操作流程（能夠密切跟蹤工藝資料、資產修改和變數更改）、工業裝置的安全威脅檢測。幫助企業IT人員快速瞭解OT網路，讓IT部門更合理地設計OT網路架構。

思科Cyber Vision整合ISE（身份服務引擎），配合IE/Catalyst系列交換機對工業網路的接入實行控制，同時提供接入的時間、裝置、地點的記錄與審計能力。避免工業網路私接亂串，降低生產網路中斷髮生的機率。同時三者結合幫助客戶實現基於產線的安全微分段，OT部門登陸Cyber Vision圖形化介面以OT業務的角度來配置和調整安全策略。OT部門是最瞭解產線業務的，透過簡單的思科Cyber Vision圖形化介面來進行OT裝置的安全區域分組，分組資訊會自動同步到ISE平臺，並最終在交換機上進行執行，實現產線安全策略智慧化、自動化部署，更好地保證產線全自動化區域的安全防護。

思科IE/Catalyst交換機透過流量採集功能將工廠的網路流量採集至思科安全網路分析 （原Stealthwatch），Stealthwatch與Cyber Vision結合提供工控流量異常分析、審計能力。

企業辦公和工廠的邊界透過Firepower下一代防火牆進行隔離，有效地規避了辦公網到生產網的未知攻擊，同時Firepower與Cyber Vision結合，監視是否有辦公網路到生產線裝置未授權的非法網路訪問。

思科IoT網路安全解決方案為該企業的裝置全生命週期管理系統、裝置資料實時分析系統與PLC、上位機的互聯互通提供了IT/OT網路安全視覺化、智慧化，保障企業物聯網平臺的穩定執行。

一旦發現產線生產裝置故障，系統會自動上報相應的OT維修人員，快速恢復生產，減少停產損失；各類裝置點巡檢作業也告別紙質化；保養維護計劃可便捷靈活地在後臺設定，員工透過移動端第一時間接收工單，多種提醒方式避免員工遺漏工單；移動化裝置掃碼方式執行工單，既準確又方便。電子化、精益化管理在節約成本的同時，使用拍照水印等技術保證裝置維護人員現場作業的準確性。可積累大量資料並從資料中挖掘改善點，進而指導裝置管理作業，不斷提升裝置綜合執行效率。

整個專案涉及兩個工業園13條產線，僅用2個月就實施完畢。企業將參照該專案的網路安全基礎架構設計，對全國8個工業園老舊產線進行升級改造，實現企業數字化轉型。希望今天的分享能給廣大製造企業和服務於製造業的合作伙伴帶來啟發。