作戰(zhàn)技術(OT)網絡安全的一個經常被忽視的方面是由不顯眼的傳感器引起的風險。這些設備在許多制造操作中用于監(jiān)控溫度、濕度、流速和壓力等過程變量。在工業(yè)網絡中加入數百萬個工業(yè)物聯網(IIoT)設備(如傳感器)的時代，必須考慮到這種不斷擴大的數字足跡所帶來的日益增加的網絡安全風險。這篇博文是施耐德電氣博客系列的一部分，解決了內外OT網絡安全相關問題。

　雖然大多數傳統的OT網絡安全工作集中在關鍵的SCADA系統、PLC和其他以太網連接的設備上，但傳感器往往被忽略，即使是那些連接到以太網的設備。然而，傳感器提供的數據是許多基于控制的決策的基礎，因此它們也應該屬于代表過程的關鍵資產類別。如果一批產品被黑客惡意操縱傳感器參數并允許烤箱中的溫度閾值變得過高而污染，則該批產品可能會被銷毀?；蛘撸愀獾氖?，如果沒有檢測到異常，特定批次的產品可能會對消費者造成傷害。對于生命科學行業(yè)的R&D實驗室以及生產藥物的水和廢水處理廠來說，情況尤其如此。

　在與工業(yè)過程控制相關的OT網絡安全中，很少有組件類別應被視為非關鍵。盡管每種情況都不同，工廠管理層必須根據其數據評估其控制系統中每個組件和子組件的關鍵程度，以實現控制功能的關鍵程度。換句話說，決定如何確定網絡安全保護的優(yōu)先級將取決于特定設備(如傳感器)所支持的過程的關鍵程度，以及從該設備收集的數據對該過程的正常運行有多重要。成本低于100美元的傳感器很容易和PLC一樣重要；組件價格不等于臨界水平。如果重要傳感器報告的信息不準確，可能會做出不當的控制決策，從而對操作產生負面影響，可能會導致污染產品的生產、設備損壞、人身傷害甚至死亡。

　當前加強傳感器網絡安全性的方法

　如今，大多數入侵檢測和防御系統都無法監(jiān)控或破譯傳感器組件中的意外變化。由于傳統的監(jiān)控無法解決這個問題，所以重要的是要問:我的SCADA系統或其他過程工具可以做什么來幫助提醒我這些組件的配置中的意外變化？

　每個傳感器都有自己獨特的配置，操作員必須能夠監(jiān)控這些配置的變化?；蛘卟僮鲉T或分析師必須能夠觀察傳感器數據如何與可能發(fā)生在更廣泛系統中的其他入侵數據相關聯。這種更全面的概述使人們對正在分析的整體網絡入侵數據的質量更有信心。

　可以考慮兩種方法來實現這些更精確的網絡安全目標:

　1.安裝冗余傳感器-通過兩個不同的傳感器監(jiān)控相同的參數，操作員可以找出它們之間的差異。如果兩個傳感器的讀數超過正常的預設差值范圍，將會發(fā)出警報。這可以防止不必要的入侵者或未經授權的內部人員在不被注意的情況下更改配置。決定哪些傳感器應該是冗余的取決于它們如何影響被評估的作戰(zhàn)試驗系統的整體風險。這可以與以下方法結合使用，以獲得更好的整體覆蓋。

　2.修改現有的SCADA系統，使其包括傳感器監(jiān)控現有的SCADA系統可以配置為定期監(jiān)控傳感器。例如，通過檢查每個連接的溫度或壓力傳感器的配置參數，系統可以快速分析每個設備，確定當前的配置參數，并在違反現有閾值或檢測到變化時發(fā)出警報。在許多情況下，讓SCADA自動檢查配置更改是一個更強大、更全面的系統級解決方案。

　對監(jiān)控傳感器行為保持警惕，不僅能提高網絡安全的整體水平，還能帶來好處。在配置傳感器參數時，更容易檢測到人為錯誤，并且傳感器監(jiān)控還可以揭示特定傳感器故障的早期跡象。在每種情況下，早期檢測異?？梢怨?jié)省資金，確保過程的一致性，并提高產品質量和安全性。