安全为先、长远发展：应对不断升级的网络安全威胁

制造企业、公用事业单位以及关键基础设施运营方，正面临数量不断增加、形势日益复杂的网络安全威胁。 随着商品化恶意软件和先进技术为威胁实施者提供新攻击能力，攻击不断发展变化。

经济利益仍是大多数网络攻击的主要驱动力，不过国家级行为体的参与也在不断增多，越来越多的威胁行为者将攻击目标转向工业控制系统领域。

要建立有效的网络安全防护，需要持续了解新威胁、实时盘点资产、提升威胁检测能力、更新设备防护措施、及时打补丁和升级系统、强化事件响应能力等措施并行。 同时，我们还必须通过合理的政策与流程、员工技能提升和定期培训，基于风险导向策略，保护关键系统。

对于希望释放工业物联网（IIoT）潜力的制造企业而言，网络安全是必须优先考虑的问题。 人们都了解对有效网络安全的需求，但是业内对该主题的了解并不多。 设计和实施 IIoT 技术需要新技能和网络安全专业知识。 如果无法有保障地实施与维护，新方案本身也可能成为新的攻击向量。

识别漏洞

在制造业中，具有更高资本支出成本的工程解决方案导致公司不愿意更新系统且变更速度缓慢。 没有通过深度防御方法打补丁或进行良好防护的过时系统极容易受到攻击。

对于希望释放工业物联网（IIoT）潜力的制造企业而言，网络安全是必须优先考虑的问题

用户为了应对已识别的威胁和攻击而采取行动。用户必须对这些行动设定优先级并制定路线图。 这包括在生命周期内为其组织中的所有人员、流程和技术实施和定期测试事件响应、备份/恢复计划。 即便是看似简单的账户管理，也需要从用户获得授权那一刻起，一直到其离开组织为止全程保持。

企业在不断推进数字化转型的过程中，需要 IT 与 OT 利益相关方之间强化协作，才能有效落地新的系统与服务。 在制定网络安全策略时，IT 和 OT 需要了解彼此的能力和目标，在保证高安全水平的前提下支持业务发展。

两方各有所长，IT 更偏向高度标准化流程，OT 更侧重工程设计方案。 需要审查两个利益相关者的目标并确定要求以避免缺漏和运营风险。 自动化供应商可以通过提供分层的安全控制、流程规范和服务，帮助用户更安全地部署系统，并协助其确定网络安全评估的优先级。

企业在控制系统项目的前端工程设计阶段，就应考虑融入网络安全部分。 网络安全防御通常是在以后添加的，这样做的成本更高，而且很少像在项目中构建网络安全那样有效。 前置安全防护的方法，我们称之为“左移”。 “安全即设计”的理念应结合恰当的网络风险分析，对各项安全功能和控制措施进行审查，确保它们在不断演变的网络威胁环境下仍然有效。

在为网络安全项目争取业务支持时，评估结果可以作为风险降低的量化指标，展示既有措施的成效，以及新增安全防护措施的潜在保护收益。 “左移”理念也为安全投资提供了有力论据，每一分前瞻性投入，可避免未来六十倍的应对性安全处置成本。

如果确实遭遇攻击，只有预先建立、记录完整并经过演练的事件响应方案能够应对。 简而言之，如果没有网络安全功能、控制和深思熟虑的计划，就无法顺利应对攻击。

文化问题

网络安全未成为公司文化的一部分时，公司员工会通过导致漏洞的无意行为造成重大的网络风险。 无处不在的网络安全文化可降低来自外部和内部威胁的风险。 提升员工有关新技术和相关网络安全的技能有助于营造网络安全文化。

简而言之，如果没有网络安全功能、控制和深思熟虑的计划，就无法顺利应对攻击。

为员工创造培训机会以提高其技术和网络安全能力是至关重要的举措。 技能的提升需要时间，但是让员工清楚认识到自身在网络安全中的责任，是一个良好的开端。 当网络安全关乎自身了，员工自然就会主动了解，并向专家讨教，减少无意间带来的风险。

网络安全不仅需要技术， 也需要行为和文化的改变。 整个公司对网络安全的“原因”和“方法”牢记于心，这对于推动有意义的行为改变至关重要。 因此，构建覆盖人员、流程与技术的网络安全文化，是实现有效防护的重要基础。