工控機(jī)與工業(yè)大數(shù)據(jù)管理安全注意事項(xiàng)
2019-08-07
隨著工業(yè)各個(gè)門類大踏步向工業(yè)互聯(lián)網(wǎng)邁進(jìn),云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新的IT技術(shù)和傳統(tǒng)的工業(yè)OT技術(shù)深度融合,構(gòu)建了以工業(yè)互聯(lián)網(wǎng)為重要連接平臺(tái),以工業(yè)云平臺(tái)、工業(yè)大數(shù)據(jù)平臺(tái)為重要應(yīng)用承載平臺(tái)的工業(yè)互聯(lián)網(wǎng)和工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的全新業(yè)務(wù)架構(gòu)。IT和OT的深度融合給安全帶來(lái)了新的挑戰(zhàn),不僅擴(kuò)展了“網(wǎng)絡(luò)安全”這四個(gè)字的概念外延,也深刻改變了網(wǎng)絡(luò)安全的內(nèi)涵。傳統(tǒng)網(wǎng)絡(luò)安全本質(zhì)上是要解決業(yè)務(wù)和數(shù)據(jù)的完整性、機(jī)密性和可用性的問(wèn)題。隨著OT技術(shù)的引入,安全的范疇也在發(fā)生變化,不僅包含業(yè)務(wù)和數(shù)據(jù)的安全,也包含了人與人、環(huán)境和個(gè)人隱私相關(guān)的一些特性和功能安全可靠性等。在這樣紛繁復(fù)雜的環(huán)境下,如何思考工業(yè)互聯(lián)網(wǎng)的安全問(wèn)題?如何用相對(duì)較低的成本解決存量工控設(shè)備的安全問(wèn)題?
工控機(jī)是信息世界通往物理世界的大門。系統(tǒng)軟件易獲取,系統(tǒng)老舊漏洞多,生命周期長(zhǎng),補(bǔ)丁難度大,很容易成為攻擊者的首選目標(biāo),如果守護(hù)好這個(gè)大門自然就能從根本上解決非常多的安全問(wèn)題。過(guò)去一年發(fā)生了很多和工業(yè)企業(yè)相關(guān)的安全事件都是如此,因?yàn)镮T網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)連在一起,勒索病毒從傳統(tǒng)網(wǎng)絡(luò)空間溜進(jìn)了工控網(wǎng)絡(luò),一旦控制了,從工控機(jī)上對(duì)工業(yè)控制設(shè)備發(fā)起攻擊會(huì)造成更加嚴(yán)重的后果。
所以,工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)互聯(lián)網(wǎng)防護(hù)開(kāi)始,做好信息世界通往物理世界大門的保護(hù),就能夠以相對(duì)較低的代價(jià)保護(hù)好工業(yè)生產(chǎn)的連續(xù)性和穩(wěn)定性。可以針對(duì)的具體場(chǎng)景,用入口攔截、運(yùn)行攔截、擴(kuò)散攔截、關(guān)卡攔截等方式,將白名單技術(shù)和惡意代碼對(duì)抗技術(shù)融合,保護(hù)工控機(jī)生產(chǎn)環(huán)境的安全。
另一方面是工業(yè)大數(shù)據(jù)安全,數(shù)據(jù)的安全防護(hù)是很多企業(yè)的另一大痛點(diǎn),因?yàn)閿?shù)據(jù)安全問(wèn)題在某種程度上阻礙了很多工業(yè)企業(yè)擁抱工業(yè)互聯(lián)網(wǎng)的步伐。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)新技術(shù),建了自己的私有化工業(yè)云平臺(tái)、工業(yè)大數(shù)據(jù)平臺(tái),把很多分散在不同生產(chǎn)工廠車間的應(yīng)用集中在平臺(tái)里。在這種情況下,數(shù)據(jù)業(yè)務(wù)在集中,數(shù)據(jù)的邊界在模糊,數(shù)據(jù)的范圍在不斷擴(kuò)大,給數(shù)據(jù)安全問(wèn)題造成非常大的挑戰(zhàn)。
首先要提供統(tǒng)一靈活的認(rèn)證、授權(quán)、證書、數(shù)字簽名、審計(jì)、反欺詐、防注入等安全能力,同時(shí)可以實(shí)現(xiàn)對(duì)操作人員執(zhí)行升級(jí)、配置等重要管理行為的動(dòng)作進(jìn)行記錄和審計(jì); 應(yīng)用程序安全管理系統(tǒng):提供便捷的安全防護(hù)和管理工具,實(shí)時(shí)監(jiān)控應(yīng)用系統(tǒng)。
其次,為了確保數(shù)據(jù)傳輸過(guò)程中的安全可控,所有設(shè)備接入終端設(shè)備需證書授權(quán),同時(shí)在傳輸鏈路上需通過(guò)增強(qiáng)的實(shí)時(shí)加密協(xié)議。身份認(rèn)證、訪問(wèn)控制、設(shè)備認(rèn)證、數(shù)據(jù)安全、隱私保護(hù)貫穿平臺(tái)各模塊及計(jì)算環(huán)節(jié),為開(kāi)發(fā)者及企業(yè)提供全鏈路的數(shù)據(jù)安全。