工控機與工業(yè)大數(shù)據(jù)管理安全注意事項
2019-08-07
隨著工業(yè)各個門類大踏步向工業(yè)互聯(lián)網(wǎng)邁進,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新的IT技術(shù)和傳統(tǒng)的工業(yè)OT技術(shù)深度融合,構(gòu)建了以工業(yè)互聯(lián)網(wǎng)為重要連接平臺,以工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺為重要應(yīng)用承載平臺的工業(yè)互聯(lián)網(wǎng)和工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的全新業(yè)務(wù)架構(gòu)。IT和OT的深度融合給安全帶來了新的挑戰(zhàn),不僅擴展了“網(wǎng)絡(luò)安全”這四個字的概念外延,也深刻改變了網(wǎng)絡(luò)安全的內(nèi)涵。傳統(tǒng)網(wǎng)絡(luò)安全本質(zhì)上是要解決業(yè)務(wù)和數(shù)據(jù)的完整性、機密性和可用性的問題。隨著OT技術(shù)的引入,安全的范疇也在發(fā)生變化,不僅包含業(yè)務(wù)和數(shù)據(jù)的安全,也包含了人與人、環(huán)境和個人隱私相關(guān)的一些特性和功能安全可靠性等。在這樣紛繁復(fù)雜的環(huán)境下,如何思考工業(yè)互聯(lián)網(wǎng)的安全問題?如何用相對較低的成本解決存量工控設(shè)備的安全問題?
工控機是信息世界通往物理世界的大門。系統(tǒng)軟件易獲取,系統(tǒng)老舊漏洞多,生命周期長,補丁難度大,很容易成為攻擊者的首選目標(biāo),如果守護好這個大門自然就能從根本上解決非常多的安全問題。過去一年發(fā)生了很多和工業(yè)企業(yè)相關(guān)的安全事件都是如此,因為IT網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)連在一起,勒索病毒從傳統(tǒng)網(wǎng)絡(luò)空間溜進了工控網(wǎng)絡(luò),一旦控制了,從工控機上對工業(yè)控制設(shè)備發(fā)起攻擊會造成更加嚴(yán)重的后果。
所以,工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)互聯(lián)網(wǎng)防護開始,做好信息世界通往物理世界大門的保護,就能夠以相對較低的代價保護好工業(yè)生產(chǎn)的連續(xù)性和穩(wěn)定性。可以針對的具體場景,用入口攔截、運行攔截、擴散攔截、關(guān)卡攔截等方式,將白名單技術(shù)和惡意代碼對抗技術(shù)融合,保護工控機生產(chǎn)環(huán)境的安全。
另一方面是工業(yè)大數(shù)據(jù)安全,數(shù)據(jù)的安全防護是很多企業(yè)的另一大痛點,因為數(shù)據(jù)安全問題在某種程度上阻礙了很多工業(yè)企業(yè)擁抱工業(yè)互聯(lián)網(wǎng)的步伐。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)新技術(shù),建了自己的私有化工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺,把很多分散在不同生產(chǎn)工廠車間的應(yīng)用集中在平臺里。在這種情況下,數(shù)據(jù)業(yè)務(wù)在集中,數(shù)據(jù)的邊界在模糊,數(shù)據(jù)的范圍在不斷擴大,給數(shù)據(jù)安全問題造成非常大的挑戰(zhàn)。
首先要提供統(tǒng)一靈活的認證、授權(quán)、證書、數(shù)字簽名、審計、反欺詐、防注入等安全能力,同時可以實現(xiàn)對操作人員執(zhí)行升級、配置等重要管理行為的動作進行記錄和審計; 應(yīng)用程序安全管理系統(tǒng):提供便捷的安全防護和管理工具,實時監(jiān)控應(yīng)用系統(tǒng)。
其次,為了確保數(shù)據(jù)傳輸過程中的安全可控,所有設(shè)備接入終端設(shè)備需證書授權(quán),同時在傳輸鏈路上需通過增強的實時加密協(xié)議。身份認證、訪問控制、設(shè)備認證、數(shù)據(jù)安全、隱私保護貫穿平臺各模塊及計算環(huán)節(jié),為開發(fā)者及企業(yè)提供全鏈路的數(shù)據(jù)安全。