隨著OT環(huán)境互聯(lián)程度的日益增加,，企業(yè)可遠(yuǎn)程管理各項(xiàng)操作，在提高效率的同時(shí)加強(qiáng)遠(yuǎn)距離監(jiān)控,。但這些技術(shù)進(jìn)步也帶來(lái)了更高的安全風(fēng)險(xiǎn)。在派拓網(wǎng)絡(luò)和ABI Research近期的一份報(bào)告中,，有74%的受訪者發(fā)現(xiàn)遠(yuǎn)程訪問(wèn)變多,，這為攻擊者創(chuàng)造了更多的切入點(diǎn),。這一攻擊面的擴(kuò)大使OT系統(tǒng)成為網(wǎng)絡(luò)威脅的主要目標(biāo)，因此有必要為遠(yuǎn)程O(píng)T環(huán)境量身定制一個(gè)強(qiáng)大的安全框架,。

為了構(gòu)建彈性O(shè)T安全框架,，企業(yè)需要保護(hù)的遠(yuǎn)不止連接。通過(guò)保障所有云端,、本地和混合接入點(diǎn)的安全，就能在任何環(huán)境中確保操作的安全性與可靠性,。由于在最近的一份報(bào)告中,，80%的受訪者認(rèn)為云技術(shù)等數(shù)字工具將在未來(lái)三到五年成為OT的關(guān)鍵，因此這種全面的方法至關(guān)重要,。如果沒(méi)有覆蓋這些接入點(diǎn)的強(qiáng)大安全基礎(chǔ),，企業(yè)將面臨更大的運(yùn)營(yíng)中斷、安全事故和經(jīng)濟(jì)損失風(fēng)險(xiǎn),。四分之三的受訪企業(yè)已經(jīng)遇到了此類(lèi)由針對(duì)OT的網(wǎng)絡(luò)攻擊引起的問(wèn)題,。

彈性O(shè)T安全框架的核心組成部分

為了保障遠(yuǎn)程O(píng)T操作安全，首先要建立一個(gè)能夠保證OT和IT活動(dòng)清晰可見(jiàn)的基礎(chǔ),，以便有效監(jiān)控和了解關(guān)鍵流量,。有了這一可見(jiàn)性，企業(yè)就能做出明智的安全決策,、發(fā)現(xiàn)異常情況,，并迅速應(yīng)對(duì)潛在威脅。但僅憑可見(jiàn)性還不夠,，要想針對(duì)不斷變化的威脅建立彈性分層防御體系,，就需要不斷地將安全功能整合到整個(gè)網(wǎng)絡(luò)中。

企業(yè)可以通過(guò)實(shí)施最小權(quán)限原則,，將遠(yuǎn)程訪問(wèn)限制在每項(xiàng)任務(wù)所需的最低限度,，從而降低潛在的安全風(fēng)險(xiǎn)。該方法可以更大程度地降低暴露風(fēng)險(xiǎn),，使每個(gè)用戶(hù)只能訪問(wèn)必要的系統(tǒng),。此外，通過(guò)定義和傳達(dá)明確的遠(yuǎn)程訪問(wèn)程序,，可保證企業(yè)內(nèi)部所有人員都了解并遵循同一套安全協(xié)議,。流程的透明對(duì)于保持一致性至關(guān)重要，尤其是在操作安全和連續(xù)正常運(yùn)行時(shí)間更為重要的復(fù)雜OT環(huán)境中,。確保這些協(xié)議支持安全,、不間斷的訪問(wèn)對(duì)保持關(guān)鍵系統(tǒng)順利運(yùn)行非常重要。

在OT環(huán)境中,，建立安全的臨時(shí)訪問(wèn)權(quán)限同樣關(guān)鍵,，每次會(huì)話都應(yīng)使用唯一的證書(shū)，任務(wù)完成后需及時(shí)刪除訪問(wèn)權(quán)限。無(wú)論是通過(guò)VPN,、SSH還是其他安全渠道（例如特權(quán)遠(yuǎn)程訪問(wèn)）建立的臨時(shí)連接都要加以嚴(yán)格控制,，防止未經(jīng)授權(quán)的訪問(wèn)。使用多重身份驗(yàn)證（MFA）對(duì)遠(yuǎn)程訪問(wèn)進(jìn)行分層能夠加強(qiáng)保護(hù),，通過(guò)在授予訪問(wèn)權(quán)限前進(jìn)行多重身份驗(yàn)證提高安全性,。

構(gòu)建具有彈性的訪問(wèn)基礎(chǔ)設(shè)施

遠(yuǎn)程O(píng)T環(huán)境的彈性安全框架需要能夠應(yīng)對(duì)OT網(wǎng)絡(luò)的獨(dú)特條件和限制，特別是在傳統(tǒng)設(shè)備和舊操作系統(tǒng)普遍存在的情況下,。比如加密遠(yuǎn)程會(huì)話對(duì)保護(hù)數(shù)據(jù)的機(jī)密性和完整性至關(guān)重要,，尤其是對(duì)可能缺乏內(nèi)置加密功能的老式OT設(shè)備。但專(zhuān)為保障連續(xù)正常運(yùn)行時(shí)間,、安全性和可用性而設(shè)計(jì)的系統(tǒng)可能無(wú)法定期更新軟件和固件,。

在這種情況下，雖然無(wú)法采用標(biāo)準(zhǔn)措施,，但可以采取限時(shí)訪問(wèn),、手動(dòng)驗(yàn)證流程或特定驗(yàn)證步驟等補(bǔ)償控制措施提高安全性。這些控制措施可在不影響操作連續(xù)性的情況下保證訪問(wèn)的安全,。避免使用默認(rèn)配置以及定期檢查系統(tǒng)設(shè)置同樣重要,。自定義配置不僅能應(yīng)對(duì)特定漏洞，還可通過(guò)調(diào)整安全框架滿足OT環(huán)境的特殊需求,。

整合IT和OT安全策略

為了構(gòu)建強(qiáng)大的遠(yuǎn)程O(píng)T操作安全框架,，需要對(duì)IT和OT實(shí)踐進(jìn)行周到的整合。與其針對(duì)OT調(diào)整IT解決方案,，不如采用能夠滿足OT環(huán)境特殊需求的綜合方案,。如果能設(shè)計(jì)出優(yōu)先考慮適時(shí)訪問(wèn)等OT要求的專(zhuān)用工作流程，則有助于在不妨礙運(yùn)營(yíng)效率的情況下保證安全性,。

在仔細(xì)對(duì)齊IT和OT策略后,，就能形成更加強(qiáng)大的安全態(tài)勢(shì)。但要整合IT最佳實(shí)踐與OT網(wǎng)絡(luò),，就需要對(duì)差異保持敏感,，因?yàn)镮T的快速更新周期和安全協(xié)議可能會(huì)與OT對(duì)連續(xù)正常運(yùn)行時(shí)間和舊系統(tǒng)穩(wěn)定性的需求相沖突。

讓OT人員直接參與遠(yuǎn)程訪問(wèn)規(guī)劃也很重要,。有了對(duì)未來(lái)活動(dòng)的了解,，OT 團(tuán)隊(duì)就能有效應(yīng)對(duì)各種事件，保證操作的安全性與可靠性,。遠(yuǎn)程技術(shù)團(tuán)隊(duì)可通過(guò)教育掌握實(shí)現(xiàn)安全目標(biāo)所需的知識(shí),，并避免采取可能增加風(fēng)險(xiǎn)的行動(dòng)，因此教育能夠進(jìn)一步加強(qiáng)這一框架,。

建立與時(shí)俱進(jìn)的彈性框架

保障遠(yuǎn)程O(píng)T環(huán)境安全是一個(gè)持續(xù)的過(guò)程,，并且應(yīng)與技術(shù)和新興威脅同步發(fā)展,。統(tǒng)一安全平臺(tái)能提供滿足不斷變化的安全需求所需的適應(yīng)能力。這種平臺(tái)可將資產(chǎn)發(fā)現(xiàn),、網(wǎng)絡(luò)分段和高級(jí)威脅檢測(cè)等功能整合到一個(gè)系統(tǒng)中,，從而降低復(fù)雜性并精簡(jiǎn)整個(gè)IT和OT環(huán)境的保護(hù)。

自動(dòng)化實(shí)現(xiàn)了可根據(jù)流量模式進(jìn)行調(diào)整的自適應(yīng)安全策略,，成為建立彈性的另一個(gè)關(guān)鍵,。自動(dòng)化策略建議能降低人為錯(cuò)誤幾率，使整個(gè)OT資產(chǎn)的保護(hù)保持一致,。憑借這個(gè)框架,，企業(yè)可以專(zhuān)注于創(chuàng)建一個(gè)安全、高效的環(huán)境,，在當(dāng)今互聯(lián)世界實(shí)現(xiàn)連續(xù)運(yùn)營(yíng)和風(fēng)險(xiǎn)管控。

如果優(yōu)先考慮可見(jiàn)性,、主動(dòng)威脅預(yù)防,，以及IT和OT策略的周到整合，企業(yè)就能建立一個(gè)具有彈性的遠(yuǎn)程O(píng)T安全框架,。該方法不僅可保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全,，還會(huì)幫助企業(yè)應(yīng)對(duì)未來(lái)互聯(lián)環(huán)境中的網(wǎng)絡(luò)安全挑戰(zhàn)。