運營技術(shù)(OT)網(wǎng)絡(luò)用于許多行業(yè)，如制造、能源、運輸和醫(yī)療運營。與傳統(tǒng)IT網(wǎng)絡(luò)不同，OT網(wǎng)絡(luò)的中斷或故障會直接影響物理資產(chǎn)、導(dǎo)致停機并危及安全。

由于其關(guān)鍵性，OT系統(tǒng)需要特殊的監(jiān)控方法。用于監(jiān)控的設(shè)備必須能夠處理實時數(shù)據(jù)，并且在任何情況下都不能影響所部署網(wǎng)絡(luò)的安全性和性能。

另一方面，OT網(wǎng)絡(luò)通常由具有專有工業(yè)網(wǎng)絡(luò)協(xié)議的傳統(tǒng)系統(tǒng)組成，使用傳統(tǒng)IT網(wǎng)絡(luò)監(jiān)控工具無法輕松監(jiān)控。要獲得這些數(shù)據(jù)的可見性，需要能夠捕捉和解釋這些獨特協(xié)議的專用設(shè)備。

普渡模型

普渡工業(yè)控制系統(tǒng)（ICS）安全模型是一個框架，概述了保護敏感工業(yè)環(huán)境的多層次方法。該模型最初由普渡大學(xué)開發(fā)，并作為ISA-99標準的一部分由國際自動化學(xué)會(ISA)進一步完善，它定義了六個不同的網(wǎng)絡(luò)分段層，每個層都旨在發(fā)揮保護和管理工業(yè)運行的特定功能。這些層級的范圍從企業(yè)級一直到實際物理流程。

普渡模型的主要目標是在企業(yè)各級網(wǎng)絡(luò)之間建立清晰、安全的界限，特別是將企業(yè)和生產(chǎn)運營分開。這種分隔有助于防止網(wǎng)絡(luò)威脅在不同業(yè)務(wù)領(lǐng)域傳播，從而增強整體安全態(tài)勢。通過實施這種結(jié)構(gòu)化方法，企業(yè)可以更好地管理和降低與網(wǎng)絡(luò)安全威脅、未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露相關(guān)的風(fēng)險，確保工業(yè)控制系統(tǒng)持續(xù)可靠地運行。

按照這一模式，以下是使用TAP和NPB監(jiān)控工業(yè)網(wǎng)絡(luò)的步驟：

步驟1：識別關(guān)鍵資產(chǎn)

監(jiān)控工業(yè)網(wǎng)絡(luò)的第一步是確定需要保護的關(guān)鍵資產(chǎn)。這包括對工業(yè)流程運行至關(guān)重要的所有設(shè)備和系統(tǒng)。

步驟2：劃分網(wǎng)絡(luò)

下一步，應(yīng)根據(jù)普渡模型的分層級別對網(wǎng)絡(luò)進行分段。這樣可以更好地進行監(jiān)控和分析，從而在需要調(diào)查時減少停機時間。

步驟3：部署TAP

網(wǎng)絡(luò)TAP是一種硬件設(shè)備，用于被動監(jiān)控網(wǎng)絡(luò)流量，而不會中斷流量。將其部署在網(wǎng)絡(luò)中的戰(zhàn)略點，如不同層級或區(qū)域之間，以捕獲通過的所有數(shù)據(jù)。可為OT環(huán)境提供特殊的低延遲和24v型號。

我們曾撰文介紹如何使用銅纜TAP和IOTA加強OT網(wǎng)絡(luò)監(jiān)控。銅纜TAP（如艾體寶提供的產(chǎn)品）是一種非侵入式設(shè)備，可捕獲單根電纜中的所有網(wǎng)絡(luò)流量，提供獨立的TX/RX流，不會引入延遲或干擾現(xiàn)有流量。這樣就可以無縫、無交互地集成到現(xiàn)有網(wǎng)絡(luò)中，這對于時間要求嚴格、中斷可能會妨礙運營的工業(yè)環(huán)境來說至關(guān)重要。

步驟4：建立聚合層

網(wǎng)絡(luò)數(shù)據(jù)包代理（NPB）是一種智能設(shè)備，可接收來自多個TAP的流量，并將其匯聚成單一信息流進行分析。它們還提供高級過濾功能，以減少不重要的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)包代理還可以接收來自SPAN連接等其他來源的流量，從而為不同的部署方案提供靈活性。網(wǎng)絡(luò)數(shù)據(jù)包代理可在向監(jiān)控工具發(fā)送監(jiān)控數(shù)據(jù)之前幫助優(yōu)化數(shù)據(jù)，例如通過重復(fù)數(shù)據(jù)流。

步驟5：監(jiān)控流量

收集到的流量可由IOTA通過多個儀表板進行分析，并轉(zhuǎn)發(fā)給入侵檢測系統(tǒng)(IDS)或網(wǎng)絡(luò)檢測與響應(yīng)(NDR)等監(jiān)控系統(tǒng)。

步驟6：識別異常

使用分析工具可以輕松檢測到硬件性能下降、網(wǎng)絡(luò)擁塞或組件故障等問題。然后，應(yīng)用人員可以直接調(diào)查問題，并確定最佳行動方案。

第7步：優(yōu)化和實施

根據(jù)從流量監(jiān)控中獲得的洞察力，可以做出改變，使網(wǎng)絡(luò)和應(yīng)用程序更具彈性。此外，在網(wǎng)絡(luò)TAP和網(wǎng)絡(luò)包代理層面，添加不同的捕獲位置和創(chuàng)建新的過濾規(guī)則，也有助于更好地了解網(wǎng)絡(luò)概況。

步驟8：定期更新

定期更新用于監(jiān)控工業(yè)網(wǎng)絡(luò)的安全工具至關(guān)重要。這將確保它們擁有最新的威脅情報和軟件功能，并能檢測和緩解新的攻擊或問題。

通過遵循這些步驟，企業(yè)可以使用TAP和NPB有效監(jiān)控其工業(yè)網(wǎng)絡(luò)，同時遵守普渡模型的分層安全方法。這有助于保護關(guān)鍵資產(chǎn)免受網(wǎng)絡(luò)威脅，確保平穩(wěn)運行，并保持合規(guī)性。

審核編輯 黃宇