本文转载自微信公众号“数世咨询”(dwconcn)。
正常运行时间增加?没错。更方便获得外部专业知识?对的。第一时间修复率提升?正是如此。
说到工业远程访问,这些不过是诸多好处当中的几个例子而已。但仍有许多客户不愿意采纳远程访问。不仅如此,近期奥尔兹马供水设施遭遇网络攻击之类的事件,可能也加重了公司企业对远程访问的抗拒心理。
以奥尔兹马供水设施遭入侵为例
远程访问的好处应该是毫无争议的。与其让远程访问成为替罪羊,不如简要分析下奥尔兹马供水设施事件。
可以确信,黑客能够通过TeamViewer接入SCADA系统。但黑客通过TeamViewer获得访问权的具体实施细节却还是未知数。
所以,基于以上信息,TeamViewer是罪魁祸首,对吗?
答案可不是非此即彼的。如果使用得当,TeamViewer完全是合理合法的用途。该事例中,要了解TeamViewer是不是正确的工具,我们不妨进一步考量这个应用。
作为供水机构,奥尔兹马水厂的主要KPI就是保障水厂不间断运营,因为我们所有人都希望一拧开水龙头就能得到安全清洁的饮用水。这意味着要将故障时间控制在最小限度,要能及时收到警报通知,要具备快速诊断故障的能力。远程访问是实现这些目标的重要工具。远程用户无需设施的IT网络访问权就可以保障正常运营。这就是关键所在:IT和OT的远程访问需求是不一样的。
理解OT远程访问需求
OT远程访问是很明确的,就是针对特定机器或过程。什么意思呢?以净水厂(WTP)为例。WTP由一系列复杂过程构成,负责引入未处理的水,再转化为安全的应用水。氯化和消毒等WTP过程是独立的控制过程。处理水厂氯化部分的问题时,远程用户只需要访问氯化设备,而不是整个WTP。确保用户仅具备水厂内所需部分的访问权,可以降低水厂其他部分遭访问等非预期动作的风险。远程访问解决方案应支持仅访问特定机器或过程的需求。此外,还应设置能够检测网络异常的工具。这一点我们稍后再讨论。
先来看看OT远程访问的另一关键考虑。远程访问解决方案必须直观易用且非常安全。从奥尔兹马事件就能看出,安全应该是主要考虑。建议采用多层安全。这样可以覆盖设备、连接、数据传输、访问,而且最重要的是,能够确立策略和保障培训,确保所有授权使用远程访问的人员都充分了解这些策略和规程。还应要求和使用多因子身份验证(MFA)和单点登录(SSO)等功能。这里的“使用”一词尤为重要,因为很多产品和解决方案纳入了安全功能。客户想要知道有哪些设置可用,但很多情况下,由于配置和维护过于复杂,客户往往弃而不用。
威胁永远存在,因此,安全也应是持续的。考虑引入的解决方案应在结构层面上纳入安全,并允许用户配置OT人员易于理解的特定安全设置,例如能够限制哪些人能访问哪些端点IP地址或基于角色的用户访问设置的功能。策略和培训应详细阐述这些安全设置。
另一个非常重要的考虑因素,尤其是对OT远程访问而言,是对远程访问过程实施控制的能力。举个例子,我们很有必要知道承包商或维护技师什么时候远程接入了系统。工厂操作人员应该能够快速方便地阻止和/或禁用该接入,还应该设置审计跟踪措施记录下整个过程供未来取证所用。
要确保远程访问安全,网络监控必不可少。IT能利用网络监控工具监视整个网络。这些工具可以检测是否有未授权人员试图连接网络,是否有人修改了未经批准的设备设置,比如说试图下载未经测试的用户程序固件版本。如果有必要的话,这些工具还包括可供取证分析的全面日志功能。
实现OT远程访问的好处
公共事业人手不足、资金短缺,难以管理诸多老旧基础设施。因此,将安全和远程访问视为昂贵项目的情况比比皆是。但事实上,将安全和远程访问过程归类为昂贵项目的做法并不科学。有很多解决方案不仅先进、安全,还很经济实惠。
远程访问是必要的,尤其是考虑到当前全球疫情肆虐的情况下。远程访问的好处显而易见,为什么不积极采纳呢?你需要做的不过是了解自身需求,分析哪种解决方案最适合自己,然后采购这种解决方案。此外,请确保融入了培训和最新规范与过程,确保安全使用远程访问。做到以上几点,即可充分实现远程访问软件的种种好处。
