作戰(zhàn)技術(OT)網(wǎng)絡安全的一個經(jīng)常被忽視的方面是由不顯眼的傳感器引起的風險。這些設備在許多制造操作中用于監(jiān)控溫度、濕度、流速和壓力等過程變量。在工業(yè)網(wǎng)絡中加入數(shù)百萬個工業(yè)物聯(lián)網(wǎng)(IIoT)設備(如傳感器)的時代，必須考慮到這種不斷擴大的數(shù)字足跡所帶來的日益增加的網(wǎng)絡安全風險。這篇博文是施耐德電氣博客系列的一部分，解決了內(nèi)外OT網(wǎng)絡安全相關問題。

　雖然大多數(shù)傳統(tǒng)的OT網(wǎng)絡安全工作集中在關鍵的SCADA系統(tǒng)、PLC和其他以太網(wǎng)連接的設備上，但傳感器往往被忽略，即使是那些連接到以太網(wǎng)的設備。然而，傳感器提供的數(shù)據(jù)是許多基于控制的決策的基礎，因此它們也應該屬于代表過程的關鍵資產(chǎn)類別。如果一批產(chǎn)品被黑客惡意操縱傳感器參數(shù)并允許烤箱中的溫度閾值變得過高而污染，則該批產(chǎn)品可能會被銷毀。或者，更糟糕的是，如果沒有檢測到異常，特定批次的產(chǎn)品可能會對消費者造成傷害。對于生命科學行業(yè)的R&D實驗室以及生產(chǎn)藥物的水和廢水處理廠來說，情況尤其如此。

　在與工業(yè)過程控制相關的OT網(wǎng)絡安全中，很少有組件類別應被視為非關鍵。盡管每種情況都不同，工廠管理層必須根據(jù)其數(shù)據(jù)評估其控制系統(tǒng)中每個組件和子組件的關鍵程度，以實現(xiàn)控制功能的關鍵程度。換句話說，決定如何確定網(wǎng)絡安全保護的優(yōu)先級將取決于特定設備(如傳感器)所支持的過程的關鍵程度，以及從該設備收集的數(shù)據(jù)對該過程的正常運行有多重要。成本低于100美元的傳感器很容易和PLC一樣重要；組件價格不等于臨界水平。如果重要傳感器報告的信息不準確，可能會做出不當?shù)目刂茮Q策，從而對操作產(chǎn)生負面影響，可能會導致污染產(chǎn)品的生產(chǎn)、設備損壞、人身傷害甚至死亡。

　當前加強傳感器網(wǎng)絡安全性的方法

　如今，大多數(shù)入侵檢測和防御系統(tǒng)都無法監(jiān)控或破譯傳感器組件中的意外變化。由于傳統(tǒng)的監(jiān)控無法解決這個問題，所以重要的是要問:我的SCADA系統(tǒng)或其他過程工具可以做什么來幫助提醒我這些組件的配置中的意外變化？

　每個傳感器都有自己獨特的配置，操作員必須能夠監(jiān)控這些配置的變化。或者操作員或分析師必須能夠觀察傳感器數(shù)據(jù)如何與可能發(fā)生在更廣泛系統(tǒng)中的其他入侵數(shù)據(jù)相關聯(lián)。這種更全面的概述使人們對正在分析的整體網(wǎng)絡入侵數(shù)據(jù)的質(zhì)量更有信心。

　可以考慮兩種方法來實現(xiàn)這些更精確的網(wǎng)絡安全目標:

　1.安裝冗余傳感器-通過兩個不同的傳感器監(jiān)控相同的參數(shù)，操作員可以找出它們之間的差異。如果兩個傳感器的讀數(shù)超過正常的預設差值范圍，將會發(fā)出警報。這可以防止不必要的入侵者或未經(jīng)授權的內(nèi)部人員在不被注意的情況下更改配置。決定哪些傳感器應該是冗余的取決于它們?nèi)绾斡绊懕辉u估的作戰(zhàn)試驗系統(tǒng)的整體風險。這可以與以下方法結(jié)合使用，以獲得更好的整體覆蓋。

　2.修改現(xiàn)有的SCADA系統(tǒng)，使其包括傳感器監(jiān)控現(xiàn)有的SCADA系統(tǒng)可以配置為定期監(jiān)控傳感器。例如，通過檢查每個連接的溫度或壓力傳感器的配置參數(shù)，系統(tǒng)可以快速分析每個設備，確定當前的配置參數(shù)，并在違反現(xiàn)有閾值或檢測到變化時發(fā)出警報。在許多情況下，讓SCADA自動檢查配置更改是一個更強大、更全面的系統(tǒng)級解決方案。

　對監(jiān)控傳感器行為保持警惕，不僅能提高網(wǎng)絡安全的整體水平，還能帶來好處。在配置傳感器參數(shù)時，更容易檢測到人為錯誤，并且傳感器監(jiān)控還可以揭示特定傳感器故障的早期跡象。在每種情況下，早期檢測異?？梢怨?jié)省資金，確保過程的一致性，并提高產(chǎn)品質(zhì)量和安全性。