通过基于风险的方法破解网络安全宝典：艾默生电力和水供应商的最佳实践

对于电力和水/废水处理行业而言，数字化转型在很多方面都是一把双刃剑。

一方面，信息技术 (IT) 和运营技术 (OT) 的融合、连接性的提升、大型数据集的简化访问等惊人的技术进步，带来了翻天覆地的变化，使公用事业和市政当局能够优化运营，安全管理分布式能源，继续供应可靠、廉价的电力以及生产清洁水。

另一方面，为利用上述优势，电力和水/废水处理供应商转变运营方式的行为，使他们越发容易受到网络安全攻击和威胁，尤其是在没有采取适当的对策或通过合作伙伴来提供保护的情况下。

如今，针对关键基础设施的网络安全攻击愈演愈烈。美国国家环境保护局发布备忘录，要求各地审计供水系统的网络安全实践；工业网络安全领域的佼佼者 Dragos 最近也有整个能源行业的网络攻击事件持续攀升的报道。

攻击数量增加，造成的损失也随之增加。事实上，2023 年全球网络安全攻击和威胁预计给全世界造成 8 万亿美元的损失，而到 2025 年，这一数字预计达到 10.5 万亿美元，远远高于 2015 年的 3 万亿美元。

随着风电场、太阳能设施和微电网等越来越多的分布式能源 (DER) 向电网供应可再生能源，然后为关键基础设施供电，因此黑客远程破坏电力输送的可能性更大。美国能源部 10 月发布报告称，DER“对电网造成网络安全挑战正在凸显”，并且应在设计时将安全作为“核心组件”。

如今，黑客变得越来越狡猾，使用的技术也愈发先进，并且黑客的发展与创新速度很多时候甚至超过他们瞄准的目标公司，因此问题就变成：公司该怎么做才能抵御黑客的攻击？

基于风险的网络安全方法

无论何种行业，采用基于风险的方法都可以帮助您识别潜在漏洞，并保护贵公司防范当前和未来各种可能的攻击。基于风险的方法并非抵御所有威胁，而是识别潜在漏洞，并根据每个漏洞的可能性和影响制定战略性决策。

如需加强网络安全工作，请考虑以下最佳实践，以确保采取面面俱到且持续完善的方法：

评估风险。

风险评估为贵公司提供关键见解，有助于预先缓解风险。通过评估，您可以掌握网络安全的关键要素（包括网络安全、数据管理、外围保护等）的准备情况，并且更充分地了解系统的整体安全状况。

严把系统访问关。

安全措施可能带来麻烦或不便，因此不由得减少安全措施，而这正是攻击者梦寐以求的。确保员工不折不扣地落实安全政策、不断评估风险并帮助在内部建立恰当的安全文化，确保系统访问受到严密保护。

制定强有力的政策。

即使是最缜密的安全措施，也会因人为错误而变得毫无用处。因此，务必培训并授权员工实施强有力的管理政策，以降低社交工程、网络钓鱼和相关攻击的风险。

升级您的控制系统。

停机成本很高，因此能免则免。务必及时应用修补程序和系统升级，更大限度减少停机时间，同时消除服务器和工作站未受到保护的风险。

超越外围保护。

攻击者通常认定外围保护已部署到位，因此会使用通用协议和已知服务端口来破坏控制系统组件。为了应对有针对性的攻击，部署可自定义的、适应性强的防火墙并持续扫描是否存在安全缺口，从而控制系统外围并保护潜在的入口点。

让远程访问掌握在合适的人手中。

几乎所有控制系统都部署了某种类型的远程连接，但这仅仅是因为远程访问是一种常态化的做法，并不是因为它安全。在必须进行远程访问的系统上，请确保远程访问得以安全监控和实施。您甚至应考虑通过多层身份验证来增强安全性。

了解您的控制系统。

在制定并部署基于风险的网络安全方法之后，请确保全程持续监控风险，并尽快识别潜在的攻击和威胁。确保网络安全的最佳方法是能够不断改进和适应的方法。

对于希望开拓创新并与竞争对手一较高下的电力公司或市政公用事业而言，数字化转型不再是“锦上添花”，而是雪中送炭。数字化转型虽有风险，但也不乏回报，例如加强员工之间的协作与创新、取得突破性运营改进等。

此外，在不断演变的网络安全格局中，上述最佳实践仅仅只是一个起点。为真正实现运营优化并采取基于风险的保护方法，电力和水/废水处理力公司目前正在其业务中自动执行并无缝集成行业领先的网络安全解决方案，例如艾默生的 Ovation™ 控制系统，该控制系统经美国国土安全局认证，被指定为合格的反恐技术。

无论公司处于网络安全之旅的哪个阶段，都不要忘记进步和发展永无止境，只有做好充分准备，才能应对潜伏在角落里蠢蠢欲动的下一次潜在攻击或威胁。

眼下没有受到攻击，并不代表以后也不会。因此，请立即抽出时间制定恰当的对策，并与合适的合作伙伴携手同行。未来的您会感谢此刻的自己。