本文轉(zhuǎn)載自微信公眾號(hào)“數(shù)世咨詢”（dwconcn）。

正常運(yùn)行時(shí)間增加?沒(méi)錯(cuò)。更方便獲得外部專業(yè)知識(shí)?對(duì)的。第一時(shí)間修復(fù)率提升?正是如此。

說(shuō)到工業(yè)遠(yuǎn)程訪問(wèn)，這些不過(guò)是諸多好處當(dāng)中的幾個(gè)例子而已。但仍有許多客戶不愿意采納遠(yuǎn)程訪問(wèn)。不僅如此，近期奧爾茲馬供水設(shè)施遭遇網(wǎng)絡(luò)攻擊之類的事件，可能也加重了公司企業(yè)對(duì)遠(yuǎn)程訪問(wèn)的抗拒心理。

[[383785]]

以?shī)W爾茲馬供水設(shè)施遭入侵為例

遠(yuǎn)程訪問(wèn)的好處應(yīng)該是毫無(wú)爭(zhēng)議的。與其讓遠(yuǎn)程訪問(wèn)成為替罪羊，不如簡(jiǎn)要分析下奧爾茲馬供水設(shè)施事件。

可以確信，黑客能夠通過(guò)TeamViewer接入SCADA系統(tǒng)。但黑客通過(guò)TeamViewer獲得訪問(wèn)權(quán)的具體實(shí)施細(xì)節(jié)卻還是未知數(shù)。

所以，基于以上信息，TeamViewer是罪魁禍?zhǔn)?，?duì)嗎?

答案可不是非此即彼的。如果使用得當(dāng)，TeamViewer完全是合理合法的用途。該事例中，要了解TeamViewer是不是正確的工具，我們不妨進(jìn)一步考量這個(gè)應(yīng)用。

作為供水機(jī)構(gòu)，奧爾茲馬水廠的主要KPI就是保障水廠不間斷運(yùn)營(yíng)，因?yàn)槲覀兯腥硕枷Ｍ粩Q開(kāi)水龍頭就能得到安全清潔的飲用水。這意味著要將故障時(shí)間控制在最小限度，要能及時(shí)收到警報(bào)通知，要具備快速診斷故障的能力。遠(yuǎn)程訪問(wèn)是實(shí)現(xiàn)這些目標(biāo)的重要工具。遠(yuǎn)程用戶無(wú)需設(shè)施的IT網(wǎng)絡(luò)訪問(wèn)權(quán)就可以保障正常運(yùn)營(yíng)。這就是關(guān)鍵所在：IT和OT的遠(yuǎn)程訪問(wèn)需求是不一樣的。

理解OT遠(yuǎn)程訪問(wèn)需求

OT遠(yuǎn)程訪問(wèn)是很明確的，就是針對(duì)特定機(jī)器或過(guò)程。什么意思呢?以凈水廠(WTP)為例。WTP由一系列復(fù)雜過(guò)程構(gòu)成，負(fù)責(zé)引入未處理的水，再轉(zhuǎn)化為安全的應(yīng)用水。氯化和消毒等WTP過(guò)程是獨(dú)立的控制過(guò)程。處理水廠氯化部分的問(wèn)題時(shí)，遠(yuǎn)程用戶只需要訪問(wèn)氯化設(shè)備，而不是整個(gè)WTP。確保用戶僅具備水廠內(nèi)所需部分的訪問(wèn)權(quán)，可以降低水廠其他部分遭訪問(wèn)等非預(yù)期動(dòng)作的風(fēng)險(xiǎn)。遠(yuǎn)程訪問(wèn)解決方案應(yīng)支持僅訪問(wèn)特定機(jī)器或過(guò)程的需求。此外，還應(yīng)設(shè)置能夠檢測(cè)網(wǎng)絡(luò)異常的工具。這一點(diǎn)我們稍后再討論。

先來(lái)看看OT遠(yuǎn)程訪問(wèn)的另一關(guān)鍵考慮。遠(yuǎn)程訪問(wèn)解決方案必須直觀易用且非常安全。從奧爾茲馬事件就能看出，安全應(yīng)該是主要考慮。建議采用多層安全。這樣可以覆蓋設(shè)備、連接、數(shù)據(jù)傳輸、訪問(wèn)，而且最重要的是，能夠確立策略和保障培訓(xùn)，確保所有授權(quán)使用遠(yuǎn)程訪問(wèn)的人員都充分了解這些策略和規(guī)程。還應(yīng)要求和使用多因子身份驗(yàn)證(MFA)和單點(diǎn)登錄(SSO)等功能。這里的“使用”一詞尤為重要，因?yàn)楹芏喈a(chǎn)品和解決方案納入了安全功能?？蛻粝胍烙心男┰O(shè)置可用，但很多情況下，由于配置和維護(hù)過(guò)于復(fù)雜，客戶往往棄而不用。

威脅永遠(yuǎn)存在，因此，安全也應(yīng)是持續(xù)的?？紤]引入的解決方案應(yīng)在結(jié)構(gòu)層面上納入安全，并允許用戶配置OT人員易于理解的特定安全設(shè)置，例如能夠限制哪些人能訪問(wèn)哪些端點(diǎn)IP地址或基于角色的用戶訪問(wèn)設(shè)置的功能。策略和培訓(xùn)應(yīng)詳細(xì)闡述這些安全設(shè)置。

另一個(gè)非常重要的考慮因素，尤其是對(duì)OT遠(yuǎn)程訪問(wèn)而言，是對(duì)遠(yuǎn)程訪問(wèn)過(guò)程實(shí)施控制的能力。舉個(gè)例子，我們很有必要知道承包商或維護(hù)技師什么時(shí)候遠(yuǎn)程接入了系統(tǒng)。工廠操作人員應(yīng)該能夠快速方便地阻止和/或禁用該接入，還應(yīng)該設(shè)置審計(jì)跟蹤措施記錄下整個(gè)過(guò)程供未來(lái)取證所用。

要確保遠(yuǎn)程訪問(wèn)安全，網(wǎng)絡(luò)監(jiān)控必不可少。IT能利用網(wǎng)絡(luò)監(jiān)控工具監(jiān)視整個(gè)網(wǎng)絡(luò)。這些工具可以檢測(cè)是否有未授權(quán)人員試圖連接網(wǎng)絡(luò)，是否有人修改了未經(jīng)批準(zhǔn)的設(shè)備設(shè)置，比如說(shuō)試圖下載未經(jīng)測(cè)試的用戶程序固件版本。如果有必要的話，這些工具還包括可供取證分析的全面日志功能。

實(shí)現(xiàn)OT遠(yuǎn)程訪問(wèn)的好處

公共事業(yè)人手不足、資金短缺，難以管理諸多老舊基礎(chǔ)設(shè)施。因此，將安全和遠(yuǎn)程訪問(wèn)視為昂貴項(xiàng)目的情況比比皆是。但事實(shí)上，將安全和遠(yuǎn)程訪問(wèn)過(guò)程歸類為昂貴項(xiàng)目的做法并不科學(xué)。有很多解決方案不僅先進(jìn)、安全，還很經(jīng)濟(jì)實(shí)惠。

遠(yuǎn)程訪問(wèn)是必要的，尤其是考慮到當(dāng)前全球疫情肆虐的情況下。遠(yuǎn)程訪問(wèn)的好處顯而易見(jiàn)，為什么不積極采納呢?你需要做的不過(guò)是了解自身需求，分析哪種解決方案最適合自己，然后采購(gòu)這種解決方案。此外，請(qǐng)確保融入了培訓(xùn)和最新規(guī)范與過(guò)程，確保安全使用遠(yuǎn)程訪問(wèn)。做到以上幾點(diǎn)，即可充分實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)軟件的種種好處。