IT與OT加速融合,工控安全風(fēng)險如何把控?
近幾年,隨著全球范圍內(nèi)工業(yè)化轉(zhuǎn)型趨勢的風(fēng)云驟起,中國制造企業(yè)在智能制造戰(zhàn)略的牽引下也開啟了工業(yè)智能化的轉(zhuǎn)型,利用物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等先進(jìn)的IT技術(shù)改造傳統(tǒng)的生產(chǎn)關(guān)系與業(yè)務(wù)流程,從產(chǎn)品研發(fā)、業(yè)務(wù)管理到生產(chǎn)車間全方位推動智能工廠的規(guī)劃與實施,加速了IT與 OT的融合。
然而,隨著智能工廠的實踐以及IT與OT融合逐步走向深入,一直以來將企業(yè)辦公網(wǎng)絡(luò)與工業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行物理隔離或間接隔離的安全體系正在被打破,更為高效的IT技術(shù)開始融入到工業(yè)現(xiàn)場用以替代專用的工業(yè)技術(shù)和標(biāo)準(zhǔn)。比如,基于TCP/IP協(xié)議的工業(yè)以太網(wǎng)替代紛繁雜亂的專用工業(yè)現(xiàn)場總線協(xié)議,移動平板系統(tǒng)替代HMI人機(jī)界面系統(tǒng),以及Windows系統(tǒng)替代專用的工業(yè)操作系統(tǒng)等。IT與OT融合正在導(dǎo)致專用、隔離的工業(yè)控制體系走向通用化和標(biāo)準(zhǔn)化,由此導(dǎo)致了近年來工業(yè)控制安全事件的持續(xù)上升。如何有效的降低工業(yè)控制系統(tǒng)的安全風(fēng)險已經(jīng)成為當(dāng)前制造企業(yè)推進(jìn)智能工廠改造以及IT與OT融合的必須解決的問題。
2017年,卡巴斯基針對制造企業(yè)的調(diào)查數(shù)據(jù)顯示,在過去12個月,有54%的企業(yè)至少遭遇一起網(wǎng)絡(luò)攻擊事件、74%的認(rèn)為所在的工業(yè)控制系統(tǒng)極可能遭遇網(wǎng)絡(luò)攻擊、55%的企業(yè)承認(rèn),合作伙伴或服務(wù)提供商擁有訪問企業(yè)工業(yè)控制網(wǎng)絡(luò)的權(quán)限。調(diào)查還顯示,制造企業(yè)平均每年花費的無效網(wǎng)絡(luò)安全費用高達(dá)約338萬元。針對當(dāng)前制造企業(yè)面臨的安全現(xiàn)狀,卡巴實驗室關(guān)鍵基礎(chǔ)設(shè)施保護(hù)負(fù)責(zé)人安德烈蘇沃洛夫表示,IT和OT系統(tǒng)日益互連增加了新的安全挑戰(zhàn),企業(yè)需要充分了解威脅格局、考慮周全的保護(hù)措施以及提高員工的意識,做足準(zhǔn)備應(yīng)對ICS環(huán)境中的網(wǎng)絡(luò)威脅,善于利用滿足ICS需求的定制安全解決方案,緩解安全事件才會更加容易。
e-works認(rèn)為,針對當(dāng)前制造企業(yè)工業(yè)控制系統(tǒng)面臨的安全挑戰(zhàn),企業(yè)首先需要走出技術(shù)誤區(qū),然后針對性的選擇安全解決方案,從不同的層面杜絕可能存在的安全隱患,為工業(yè)控制系統(tǒng)的安全構(gòu)建堅實的防護(hù)體系。
第一,構(gòu)建網(wǎng)絡(luò)邊界防護(hù),實現(xiàn)邏輯隔離。當(dāng)前,很多人認(rèn)為只要實現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)絡(luò)的物理隔離就可以杜絕工控控制系統(tǒng)安全風(fēng)險。但是隨著智能工廠的推進(jìn),實現(xiàn)辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)的物理隔離已經(jīng)變得不太可能。一方面,智能工廠的基礎(chǔ)設(shè)施不僅包括生產(chǎn)控制系統(tǒng),還必須包括上層的管理系統(tǒng),這是工業(yè)控制系統(tǒng)的基本架構(gòu)。其次,隨著無線技術(shù)和移動終端融入到工業(yè)生產(chǎn),傳統(tǒng)的物理隔離也不可避免的被打破。
面對這種情況,企業(yè)需要做的是構(gòu)建網(wǎng)絡(luò)邊界防護(hù),實現(xiàn)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的邏輯隔離。主要采取的方式是在企業(yè)辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間的關(guān)鍵節(jié)點構(gòu)建工業(yè)防火墻,通過工業(yè)防火墻內(nèi)置的工業(yè)通訊協(xié)議白名單技術(shù)進(jìn)行有選擇的協(xié)議隔離,然后配合數(shù)據(jù)包深度檢查技術(shù),為網(wǎng)絡(luò)數(shù)據(jù)交換進(jìn)行深層次的檢測。
第二,構(gòu)建工業(yè)級和通用級結(jié)合的綜合安全防護(hù)體系。隨著IT與OT的融合,工業(yè)控制系統(tǒng)中開始廣泛的使用商用標(biāo)準(zhǔn)件和通用IT技術(shù),通信網(wǎng)絡(luò)開始采用以太網(wǎng)和TCP/IP協(xié)議。監(jiān)控站和嵌入式設(shè)備、HMI人機(jī)交互系統(tǒng)也開始以Windows和Linux為主。這使得黑客只需利用傳統(tǒng)的攻擊手段就可以對企業(yè)的工業(yè)控制系統(tǒng)進(jìn)行攻擊。
針對核心的工業(yè)控制系統(tǒng)仍然是采用工業(yè)級的安全防護(hù)體系,構(gòu)建工業(yè)防火墻和工業(yè)級協(xié)議的數(shù)據(jù)審計和異常監(jiān)測,及時檢測工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設(shè)備異常等情況,并對危及系統(tǒng)網(wǎng)絡(luò)安全的因素做出智能預(yù)警分析,為工業(yè)網(wǎng)絡(luò)信息安全故障的及時排查、分析提供可靠地依據(jù)。針對通用型系統(tǒng)逐步采用以密碼硬件為核心的可信計算技術(shù),用于實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信,免疫未知惡意代碼破壞,應(yīng)對高級別的惡意攻擊。
第三,基于可信計算構(gòu)建移動存儲介質(zhì)的管控體系。移動存儲介質(zhì)是工業(yè)控制系統(tǒng)安全的重要防護(hù)部分。由“震網(wǎng)”病毒引發(fā)的伊朗核設(shè)施離心停機(jī)事件就是通過移動介質(zhì)做擺渡而實現(xiàn)對系統(tǒng)的攻擊。利用可信計算機(jī)技術(shù)構(gòu)建移動存儲介質(zhì)管控系統(tǒng),其主要功能包括:主機(jī)對移動存儲機(jī)制的身份認(rèn)證、準(zhǔn)入控制、下載更新等。首先,由可信服務(wù)器為主機(jī)及移動存儲設(shè)備頒發(fā)準(zhǔn)入證書,然后可信服務(wù)器將統(tǒng)一產(chǎn)生并發(fā)布主機(jī)對移動存儲介質(zhì)的準(zhǔn)入策略,形成主機(jī)能插入的介質(zhì)列表,最后主機(jī)準(zhǔn)入控制將基于兩個方面的策略實施,一方面移動存儲介質(zhì)的身份位于主機(jī)準(zhǔn)入策略列表中,另一方面,主機(jī)身份必須位于移動存儲介質(zhì)準(zhǔn)入策略列表中。此外,移動設(shè)備接入和使用行為也將被嚴(yán)格審計和記錄。
總結(jié)
近年來,隨著工廠自動化和智能化的轉(zhuǎn)型,工業(yè)控制系統(tǒng)被攻擊事件層出不窮,而且對企業(yè)的正常經(jīng)營和生產(chǎn)造成難以挽回的經(jīng)濟(jì)損失。從2010年導(dǎo)致伊朗核設(shè)施離心機(jī)停止運轉(zhuǎn)的“震網(wǎng)”病毒,到從工業(yè)控制系統(tǒng)制造商收集情報數(shù)據(jù)的“Duqu”病毒,再到攻擊多個中東國家工業(yè)系統(tǒng)的惡意程序“FLame”病毒。工業(yè)控制系統(tǒng)因起具備的重要經(jīng)濟(jì)價值正在成為黑客甚至國家之間的攻擊手段。隨著中國智能化工業(yè)轉(zhuǎn)型的推進(jìn),中國制造企業(yè)必須重視由工業(yè)控制系統(tǒng)安全防護(hù)不足帶來的風(fēng)險,在規(guī)劃階段就做好工控系統(tǒng)的安全防護(hù)工作。
責(zé)任編輯:任我行
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè)
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
深度報告 | 基于分類監(jiān)管與當(dāng)量協(xié)同的碳市場框架設(shè)計方案
2020-07-21碳市場,碳排放,碳交易 -
碳市場讓重慶能源轉(zhuǎn)型與經(jīng)濟(jì)發(fā)展并進(jìn)
2020-07-21碳市場,碳排放,重慶
-
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
2020年二季度福建省統(tǒng)調(diào)燃煤電廠節(jié)能減排信息披露
2020-07-21火電環(huán)保,燃煤電廠,超低排放
-
四川“專線供電”身陷違法困境
2019-12-16專線供電 -
我國能源替代規(guī)范法律問題研究(上)
2019-10-31能源替代規(guī)范法律 -
區(qū)域鏈結(jié)構(gòu)對于數(shù)據(jù)中心有什么影響?這個影響是好是壞呢!