工業遠程訪問真得風險巨大令人恐懼嗎？

正常運行時間增加?沒錯。更方便獲得外部專業知識?對的。第一時間修復率提升?正是如此。

說到工業遠程訪問，這些不過是諸多好處當中的幾個例子而已。但仍有許多客戶不愿意采納遠程訪問。不僅如此，近期奧爾茲馬供水設施遭遇網絡攻擊之類的事件，可能也加重了公司企業對遠程訪問的抗拒心理。

? 以奧爾茲馬供水設施遭入侵為例

遠程訪問的好處應該是毫無爭議的。與其讓遠程訪問成為替罪羊，不如簡要分析下奧爾茲馬供水設施事件。

可以確信，黑客能夠通過TeamViewer接入SCADA系統。但黑客通過TeamViewer獲得訪問權的具體實施細節卻還是未知數。

所以，基于以上信息，TeamViewer是罪魁禍首，對嗎?

答案可不是非此即彼的。如果使用得當，TeamViewer完全是合理合法的用途。該事例中，要了解TeamViewer是不是正確的工具，我們不妨進一步考量這個應用。

作為供水機構，奧爾茲馬水廠的主要KPI就是保障水廠不間斷運營，因為我們所有人都希望一擰開水龍頭就能得到安全清潔的飲用水。這意味著要將故障時間控制在最小限度，要能及時收到警報通知，要具備快速診斷故障的能力。遠程訪問是實現這些目標的重要工具。遠程用戶無需設施的IT網絡訪問權就可以保障正常運營。這就是關鍵所在：IT和OT的遠程訪問需求是不一樣的。

? 理解OT遠程訪問需求

OT遠程訪問是很明確的，就是針對特定機器或過程。什么意思呢?以凈水廠(WTP)為例。WTP由一系列復雜過程構成，負責引入未處理的水，再轉化為安全的應用水。氯化和消毒等WTP過程是獨立的控制過程。處理水廠氯化部分的問題時，遠程用戶只需要訪問氯化設備，而不是整個WTP。確保用戶僅具備水廠內所需部分的訪問權，可以降低水廠其他部分遭訪問等非預期動作的風險。遠程訪問解決方案應支持僅訪問特定機器或過程的需求。此外，還應設置能夠檢測網絡異常的工具。這一點我們稍后再討論。

先來看看OT遠程訪問的另一關鍵考慮。遠程訪問解決方案必須直觀易用且非常安全。從奧爾茲馬事件就能看出，安全應該是主要考慮。建議采用多層安全。這樣可以覆蓋設備、連接、數據傳輸、訪問，而且最重要的是，能夠確立策略和保障培訓，確保所有授權使用遠程訪問的人員都充分了解這些策略和規程。還應要求和使用多因子身份驗證(MFA)和單點登錄(SSO)等功能。這里的“使用”一詞尤為重要，因為很多產品和解決方案納入了安全功能。客戶想要知道有哪些設置可用，但很多情況下，由于配置和維護過于復雜，客戶往往棄而不用。

威脅永遠存在，因此，安全也應是持續的。考慮引入的解決方案應在結構層面上納入安全，并允許用戶配置OT人員易于理解的特定安全設置，例如能夠限制哪些人能訪問哪些端點IP地址或基于角色的用戶訪問設置的功能。策略和培訓應詳細闡述這些安全設置。

另一個非常重要的考慮因素，尤其是對OT遠程訪問而言，是對遠程訪問過程實施控制的能力。舉個例子，我們很有必要知道承包商或維護技師什么時候遠程接入了系統。工廠操作人員應該能夠快速方便地阻止和/或禁用該接入，還應該設置審計跟蹤措施記錄下整個過程供未來取證所用。

要確保遠程訪問安全，網絡監控必不可少。IT能利用網絡監控工具監視整個網絡。這些工具可以檢測是否有未授權人員試圖連接網絡，是否有人修改了未經批準的設備設置，比如說試圖下載未經測試的用戶程序固件版本。如果有必要的話，這些工具還包括可供取證分析的全面日志功能。

? 實現OT遠程訪問的好處

公共事業人手不足、資金短缺，難以管理諸多老舊基礎設施。因此，將安全和遠程訪問視為昂貴項目的情況比比皆是。但事實上，將安全和遠程訪問過程歸類為昂貴項目的做法并不科學。有很多解決方案不僅先進、安全，還很經濟實惠。

遠程訪問是必要的，尤其是考慮到當前全球疫情肆虐的情況下。遠程訪問的好處顯而易見，為什么不積極采納呢?你需要做的不過是了解自身需求，分析哪種解決方案最適合自己，然后采購這種解決方案。此外，請確保融入了培訓和最新規范與過程，確保安全使用遠程訪問。做到以上幾點，即可充分實現遠程訪問軟件的種種好處。

原文來源：數世咨詢