今日頭條
官方微信
官方抖音
資訊頻道摘要:IIoT的變革打亂了傳統(tǒng)控制室的角色,使其朝用于監(jiān)視和控制功能的可移動裝置轉(zhuǎn)化方向變化。例如,正在出現(xiàn)的具有IIoT功能的ICS的情境式HMI組件,為生產(chǎn)和維護(hù)單位提供了產(chǎn)能方面的提升,同時擴(kuò)展了ICS的應(yīng)用領(lǐng)域。
關(guān)鍵詞:物聯(lián)網(wǎng)[17009篇] SCADA[0篇]
隨著工業(yè)物聯(lián)網(wǎng)(IIoT)得到更多的關(guān)注和應(yīng)用,監(jiān)控與數(shù)據(jù)采集(SCAD)系統(tǒng)的傳統(tǒng)角色正在發(fā)生改變。SCADA系需要適應(yīng)這種變化。
監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)以及包括人機(jī)界面(HMI)、樓宇管理系統(tǒng)(BMS)、制造執(zhí)行系統(tǒng)(MES)和計算機(jī)維護(hù)管理系統(tǒng)(CMMS)等在內(nèi)的范圍更大的工業(yè)控制系統(tǒng)(ICS)都是專有的技術(shù),通常來說都會與企業(yè)信息技術(shù)(IT)基礎(chǔ)設(shè)施隔離開來。這些系統(tǒng)最初并不是為網(wǎng)絡(luò)安全設(shè)計的。
ICS傳統(tǒng)的控制和安全的角色已經(jīng)擴(kuò)展到包括為工廠和過程提供信息,或?qū)碜訣RP以及其他企業(yè)系統(tǒng)的指令做出響應(yīng)。根據(jù)國家基礎(chǔ)設(shè)施保護(hù)中心的關(guān)于“確保安全轉(zhuǎn)移至基于IP的SCADA/PLC網(wǎng)絡(luò)”的規(guī)定,這會讓ICS系統(tǒng)面臨潛在的網(wǎng)絡(luò)威脅。
時下對于物聯(lián)網(wǎng)(IoT)以及與之密切相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)或者工業(yè)4.0之間的網(wǎng)絡(luò)連接的關(guān)注,為數(shù)據(jù)聚合戰(zhàn)略和態(tài)勢感知帶來了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網(wǎng)協(xié)議(IP),將增加暴露在網(wǎng)絡(luò)威脅下的機(jī)會。
IIoT的變革打亂了傳統(tǒng)控制室的角色,使其朝用于監(jiān)視和控制功能的可移動裝置轉(zhuǎn)化方向變化。例如,正在出現(xiàn)的具有IIoT功能的ICS的情境式HMI組件,為生產(chǎn)和維護(hù)單位提供了產(chǎn)能方面的提升,同時擴(kuò)展了ICS的應(yīng)用領(lǐng)域。然而,它也擴(kuò)大了網(wǎng)絡(luò)威脅管理的范圍。
NIST的網(wǎng)絡(luò)安全支柱有四個元素:識別、保護(hù)、檢測和應(yīng)對。
網(wǎng)絡(luò)安全的支柱
現(xiàn)代的ICS平臺供應(yīng)商將網(wǎng)絡(luò)風(fēng)險和彈性管理納入到ISO9001質(zhì)量流程中去用于研發(fā)和生產(chǎn)。其目的是讓內(nèi)部和外部上報的漏洞做到透明管理,并快速采取行動,盡可能減少給客戶造成的風(fēng)險。
美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)已經(jīng)提供了一個架構(gòu),對于系統(tǒng)地識別一個機(jī)構(gòu)的重要資產(chǎn)、識別威脅以及確保重要資產(chǎn)安全方面具有非常重要的價值。該架構(gòu)具有四個元素:識別、保護(hù)、檢測以及應(yīng)對。
識別與鑒別
資產(chǎn)和數(shù)據(jù)流的詳細(xì)清單對于ICS建立正常行為的基準(zhǔn)很重要。工業(yè)網(wǎng)絡(luò)可以很大很復(fù)雜,而工業(yè)協(xié)議又有別于企業(yè)IT網(wǎng)絡(luò)所用的協(xié)議。使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)對網(wǎng)絡(luò)設(shè)備進(jìn)行尋址和監(jiān)控的自動化工具提高了詳細(xì)清單的效率和精確性。
控制系統(tǒng)感知的清單和監(jiān)控工具是建立可靠的ICS基準(zhǔn)的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準(zhǔn)模板的技術(shù)來監(jiān)控ICS是至關(guān)重要的。理想中的這個系統(tǒng)應(yīng)該可以做到:
·使用無源傳感器從網(wǎng)絡(luò)數(shù)據(jù)流中提取元數(shù)據(jù);
·動態(tài)地建立組件的視覺清單以及連接圖;
·學(xué)習(xí)ICS并為正常的運(yùn)行提供統(tǒng)計學(xué)以及行為方面的描述;
·推薦預(yù)防性行為;
·根據(jù)需要啟動應(yīng)急響應(yīng)。
IIoT裝置通常使用無線技術(shù)進(jìn)行通訊。通用IT網(wǎng)絡(luò)與ICS網(wǎng)絡(luò)之間的區(qū)別是使用靜態(tài)IP。隨著工業(yè)網(wǎng)絡(luò)變化得與更廣泛的互聯(lián)網(wǎng)連在一起,健康監(jiān)控系統(tǒng)會尋找變化的或者重復(fù)的IP和MAC地址、設(shè)備或電纜移動以及未經(jīng)授權(quán)的連接。增加了通過具有動態(tài)IP連接的無線接入點(diǎn)所連接的移動式傳感器,整個環(huán)境會變得更加復(fù)雜。
保護(hù)正在消融的邊界
在最近舉行的一次技術(shù)峰會上,Centrify公司區(qū)域經(jīng)理Mike Ratte討論了當(dāng)今的網(wǎng)絡(luò)安全境況。“我們需要識別是新的邊界”,他指出,幾乎一半的被攻擊的情況是因為認(rèn)證不嚴(yán)格;黑客將所有級別的用戶都設(shè)定為目標(biāo),包括享有特權(quán)的用戶;基于邊界的傳統(tǒng)的安全措施已經(jīng)不夠了;應(yīng)當(dāng)將安全的基礎(chǔ)建立在基于情境的政策上。這個戰(zhàn)略很適合正在消融的ICS邊界,其已經(jīng)享受了開放連接帶來的好處,因此也將會受益于企業(yè)安全專業(yè)人士。
據(jù)統(tǒng)計,63%的數(shù)據(jù)外泄涉及安全性弱的、默認(rèn)的或被盜的密碼,在ICS網(wǎng)絡(luò)威脅的排名中認(rèn)證管理排名靠前。通過被盜的或丟失的移動裝置物理訪問的可能性增加了對強(qiáng)有力的認(rèn)證管理的需求。工業(yè)網(wǎng)絡(luò)通過防火墻、虛擬私人網(wǎng)絡(luò)(VPN)以及交換機(jī)實現(xiàn)了第一層防護(hù)。
ICS供應(yīng)商必須對配置文件加密、對于異常連接嘗試提供監(jiān)控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動態(tài)目錄整合在一起的高級用戶權(quán)限。ICS可以采用強(qiáng)大的識別管理系統(tǒng)。使用動態(tài)目錄作為核心的識別管理資源庫,一個ICS用戶可以通過一個登陸賬號使用所有的應(yīng)用。
來源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號:11010802023656號