工控機與工業(yè)大數(shù)據(jù)管理安全注意事項

2019-08-07

隨著工業(yè)各個門類大踏步向工業(yè)互聯(lián)網(wǎng)邁進，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新的IT技術(shù)和傳統(tǒng)的工業(yè)OT技術(shù)深度融合，構(gòu)建了以工業(yè)互聯(lián)網(wǎng)為重要連接平臺，以工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺為重要應(yīng)用承載平臺的工業(yè)互聯(lián)網(wǎng)和工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的全新業(yè)務(wù)架構(gòu)。IT和OT的深度融合給安全帶來了新的挑戰(zhàn)，不僅擴展了“網(wǎng)絡(luò)安全”這四個字的概念外延，也深刻改變了網(wǎng)絡(luò)安全的內(nèi)涵。傳統(tǒng)網(wǎng)絡(luò)安全本質(zhì)上是要解決業(yè)務(wù)和數(shù)據(jù)的完整性、機密性和可用性的問題。隨著OT技術(shù)的引入，安全的范疇也在發(fā)生變化，不僅包含業(yè)務(wù)和數(shù)據(jù)的安全，也包含了人與人、環(huán)境和個人隱私相關(guān)的一些特性和功能安全可靠性等。在這樣紛繁復(fù)雜的環(huán)境下，如何思考工業(yè)互聯(lián)網(wǎng)的安全問題？如何用相對較低的成本解決存量工控設(shè)備的安全問題？
 
工控機是信息世界通往物理世界的大門。系統(tǒng)軟件易獲取，系統(tǒng)老舊漏洞多，生命周期長，補丁難度大，很容易成為攻擊者的首選目標(biāo)，如果守護好這個大門自然就能從根本上解決非常多的安全問題。過去一年發(fā)生了很多和工業(yè)企業(yè)相關(guān)的安全事件都是如此，因為IT網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)連在一起，勒索病毒從傳統(tǒng)網(wǎng)絡(luò)空間溜進了工控網(wǎng)絡(luò)，一旦控制了，從工控機上對工業(yè)控制設(shè)備發(fā)起攻擊會造成更加嚴(yán)重的后果。
 
所以，工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)互聯(lián)網(wǎng)防護開始，做好信息世界通往物理世界大門的保護，就能夠以相對較低的代價保護好工業(yè)生產(chǎn)的連續(xù)性和穩(wěn)定性。可以針對的具體場景，用入口攔截、運行攔截、擴散攔截、關(guān)卡攔截等方式，將白名單技術(shù)和惡意代碼對抗技術(shù)融合，保護工控機生產(chǎn)環(huán)境的安全。
 
另一方面是工業(yè)大數(shù)據(jù)安全，數(shù)據(jù)的安全防護是很多企業(yè)的另一大痛點，因為數(shù)據(jù)安全問題在某種程度上阻礙了很多工業(yè)企業(yè)擁抱工業(yè)互聯(lián)網(wǎng)的步伐。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)新技術(shù)，建了自己的私有化工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺，把很多分散在不同生產(chǎn)工廠車間的應(yīng)用集中在平臺里。在這種情況下，數(shù)據(jù)業(yè)務(wù)在集中，數(shù)據(jù)的邊界在模糊，數(shù)據(jù)的范圍在不斷擴大，給數(shù)據(jù)安全問題造成非常大的挑戰(zhàn)。
 
首先要提供統(tǒng)一靈活的認證、授權(quán)、證書、數(shù)字簽名、審計、反欺詐、防注入等安全能力，同時可以實現(xiàn)對操作人員執(zhí)行升級、配置等重要管理行為的動作進行記錄和審計； 應(yīng)用程序安全管理系統(tǒng)：提供便捷的安全防護和管理工具，實時監(jiān)控應(yīng)用系統(tǒng)。
 
其次，為了確保數(shù)據(jù)傳輸過程中的安全可控，所有設(shè)備接入終端設(shè)備需證書授權(quán)，同時在傳輸鏈路上需通過增強的實時加密協(xié)議。身份認證、訪問控制、設(shè)備認證、數(shù)據(jù)安全、隱私保護貫穿平臺各模塊及計算環(huán)節(jié)，為開發(fā)者及企業(yè)提供全鏈路的數(shù)據(jù)安全。