工業(yè)安全

系統(tǒng)安全保護(hù)須知

ainet.cn   2014年05月22日

  想一想貴公司的產(chǎn)品是在多個(gè)國(guó)家還是遙遠(yuǎn)的異地制造或加工?不論您的信息、配方和制造技術(shù)存儲(chǔ)在什么位置,都可能沒(méi)有您所想的那么安全。

  據(jù)羅克韋爾自動(dòng)化CISSP兼產(chǎn)品安全風(fēng)險(xiǎn)管理總監(jiān)Doug Wylie稱(chēng),每建立一個(gè)新的網(wǎng)絡(luò)連接,網(wǎng)絡(luò)風(fēng)險(xiǎn)就會(huì)增加,那些不懷好意的人能夠下手損壞、破壞或竊取信息的攻擊面也會(huì)略有擴(kuò)大。

  “我們必須認(rèn)識(shí)到網(wǎng)絡(luò)安全并不是一項(xiàng)一次性投資?!盬ylie指出,“全球各地每天都會(huì)有數(shù)百萬(wàn)臺(tái)新設(shè)備和數(shù)百萬(wàn)名新用戶(hù)建立連接和互連。我們需要時(shí)刻對(duì)人員、過(guò)程、產(chǎn)品和技術(shù)的安全保持警覺(jué)并持續(xù)地進(jìn)行投資。”

  不論連接的是消費(fèi)品還是工業(yè)控制設(shè)備,只要有途徑、動(dòng)機(jī)和機(jī)會(huì),攻擊者就會(huì)攻擊具體設(shè)備;不僅如此,還會(huì)攻擊這些設(shè)備所連接的系統(tǒng)。攻擊過(guò)程有可能影響這些設(shè)備中存儲(chǔ)的信息的可用性、完整性以及保密性,并在這些系統(tǒng)中不斷反復(fù)。

  因此,我們需要更多地關(guān)注信息安全。幸運(yùn)的是,這項(xiàng)工作并不需要花費(fèi)巨大心力,卻能夠帶來(lái)眾多益處。最重要的是,優(yōu)良的安全策略能夠降低薄弱過(guò)程的風(fēng)險(xiǎn),有助于保護(hù)資產(chǎn)和信息。

  此外,安全的基礎(chǔ)架構(gòu)可以支持云技術(shù)、移動(dòng)、可視化和智能設(shè)備等新技術(shù)的應(yīng)用,能夠大幅提高生產(chǎn)效率。

  借助分層防護(hù)和縱深防御措施,工業(yè)企業(yè)的領(lǐng)導(dǎo)者們能夠更加放心地利用那些在構(gòu)建和運(yùn)營(yíng)控制系統(tǒng)時(shí)需要部署的現(xiàn)代技術(shù)和開(kāi)放的平臺(tái),再也無(wú)需心存疑慮。顧名思義,縱深防御策略是指在不同的情況下使用多層(物理、電子和程序)防御措施,應(yīng)用相應(yīng)的控制方法來(lái)應(yīng)對(duì)不同類(lèi)型的風(fēng)險(xiǎn)。

  工業(yè)安全是2013年6月在圣地亞哥舉辦的羅克韋爾自動(dòng)化RSTechEd客戶(hù)培訓(xùn)活動(dòng)的一大主題。在一次會(huì)話(huà)中,羅克韋爾自動(dòng)化控制和可視化業(yè)務(wù)部門(mén)副總裁兼總經(jīng)理Kevin Zaba與思科關(guān)聯(lián)產(chǎn)業(yè)部門(mén)副總裁兼總經(jīng)理Maciej Kranz探討了兩大公司在安全領(lǐng)域的合作共贏。

  Kranz指出,企業(yè)網(wǎng)絡(luò)中正在建立網(wǎng)絡(luò)、設(shè)備和技術(shù)的融合;今后,這種融合理念將深入到包括安全在內(nèi)的各種工廠和企業(yè)應(yīng)用中去。

  “我們看到制造、企業(yè)和云存儲(chǔ)之間存在一條數(shù)據(jù)流。而在今后的十年里,所有連接Internet的設(shè)備中,預(yù)計(jì)將有27%為制造設(shè)備。設(shè)備的安全性對(duì)于保障安全和操作完整性非常關(guān)鍵。通過(guò)將工業(yè)網(wǎng)絡(luò)與Internet分離來(lái)確保安全的做法已經(jīng)無(wú)法滿(mǎn)足需求?!盞ranz解釋稱(chēng)。

  Kranz和Zaba一致認(rèn)為,企業(yè)采用安全控制方法和方案有助于控制對(duì)企業(yè)和工業(yè)控制系統(tǒng)、機(jī)器和工業(yè)設(shè)備、特定工業(yè)控制裝置以及這些系統(tǒng)中的重要公司信息的訪問(wèn)。此外,最佳安全實(shí)踐和整體良好的安全實(shí)踐有助于保護(hù)依靠數(shù)字信息的特定操作,這些信息用于控制、組態(tài)、監(jiān)視企業(yè)和其它制造與加工系統(tǒng)。

  羅克韋爾自動(dòng)化和思科已在三大交叉領(lǐng)域達(dá)成共識(shí)并計(jì)劃制定相應(yīng)的解決方案:用戶(hù)身份管理、知識(shí)產(chǎn)權(quán)和信任設(shè)備。這些解決方案包括產(chǎn)品和策略?xún)煞矫鎯?nèi)容。

  身份管理

  身份管理要求了解用戶(hù)身份及其所在位置,并管理獲得網(wǎng)絡(luò)系統(tǒng)訪問(wèn)權(quán)限的用戶(hù)角色和職責(zé)。Kranz解釋稱(chēng),“網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中組態(tài)的身份管理訪問(wèn)策略對(duì)于保護(hù)信息和資產(chǎn)至關(guān)重要。例如,這項(xiàng)策略可確保僅授權(quán)承包商在上午8點(diǎn)到下午5點(diǎn)期間能夠進(jìn)入特定辦公樓的指定樓層,或者僅授權(quán)普通員工能夠從辦公室或家庭接入網(wǎng)絡(luò),而不允許從某個(gè)咖啡廳的Wi-Fi網(wǎng)絡(luò)接入?!?/FONT>

  Zaba強(qiáng)調(diào)了這類(lèi)策略的重要作用。他指出,“自動(dòng)化系統(tǒng)的使用壽命很長(zhǎng),它們可以在安裝后運(yùn)行數(shù)十年。而且這些系統(tǒng)存在多種物理交互關(guān)系:操作員、維護(hù)工程師、勞務(wù)工人——其中某些人員需要進(jìn)行遠(yuǎn)程工作。必須謹(jǐn)慎控制這些人員的訪問(wèn)權(quán)限。此外,還需要具備實(shí)時(shí)動(dòng)態(tài)更改訪問(wèn)權(quán)限的功能?!?/FONT>

  羅克韋爾自動(dòng)化和思科基于思科的身份服務(wù)引擎(ISE)制定了一套解決方案,能夠在有線(xiàn)和無(wú)線(xiàn)網(wǎng)絡(luò)之間強(qiáng)制執(zhí)行相同的策略,增強(qiáng)了安全防護(hù)性能。Kranz稱(chēng),這項(xiàng)技術(shù)能夠動(dòng)態(tài)鏈接用戶(hù)資料,確定用戶(hù)身份、職業(yè)、所在位置和時(shí)間,然后對(duì)其授予或保留訪問(wèn)權(quán)限?!叭绻麊T工離職,可以立即刪除其資料。同樣,也可以快速添加新員工或承包商的資料?!?/FONT>

  Zaba稱(chēng),羅克韋爾自動(dòng)化正在Stratix 5900安全設(shè)備中籌備ISE功能。“該設(shè)備是我們推出的首款兼具VPN和防火墻功能的安全設(shè)備,非常適用于保護(hù)單元/區(qū)域和連接遠(yuǎn)程操作。”

  知識(shí)產(chǎn)權(quán)

  “據(jù)估計(jì),有60%的數(shù)字犯罪都與某些形式的有組織犯罪相關(guān)。”Kranz披露。客戶(hù)的企業(yè)可能運(yùn)營(yíng)在任何一個(gè)國(guó)家/地區(qū),并在一定程度上從當(dāng)?shù)孬@得支持。他補(bǔ)充道:“保護(hù)產(chǎn)品配方和制造技術(shù)等知識(shí)產(chǎn)權(quán)至關(guān)重要?!?/FONT>

  同時(shí),Zaba還說(shuō)道:“我們必須注意權(quán)衡安全管理和可用性之間的關(guān)系?!膘`活性有助于確保為適當(dāng)?shù)娜藛T授予適當(dāng)?shù)墓I(yè)控制系統(tǒng)訪問(wèn)權(quán)限,并確保對(duì)這些系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行相應(yīng)規(guī)劃。

  思科提供了一款名為Cisco Prime的網(wǎng)絡(luò)管理套件,允許用戶(hù)“管理網(wǎng)絡(luò)和其它基礎(chǔ)設(shè)施設(shè)備(包括移動(dòng)設(shè)備)資產(chǎn)、進(jìn)行故障處理、處理安全應(yīng)用和數(shù)據(jù)保護(hù)”。Kranz說(shuō):“目前,我們正在努力將Cisco Prime功能集成到羅克韋爾自動(dòng)化的Studio 5000軟件環(huán)境中。這是一個(gè)發(fā)展方向?!?/FONT>

  信任設(shè)備

  “工業(yè)控制設(shè)備的外形越來(lái)越精巧?!盳aba補(bǔ)充道,“我們不希望以任何方式限制這些設(shè)備的功能,而是希望能夠利用這些功能?!?/FONT>

  自動(dòng)化系統(tǒng)的安全性和完整性對(duì)于適當(dāng)?shù)乩眠@些系統(tǒng)中的智能設(shè)備至關(guān)重要。通過(guò)緊密結(jié)合關(guān)鍵的控制產(chǎn)品(如可編程自動(dòng)化控制器)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件(如管理型交換機(jī))以及安全設(shè)備,能夠有效地增強(qiáng)整個(gè)控制系統(tǒng)的安全性。

  Kranz表示,憑借Cisco ISE和Cisco Prime、Stratix 5900安全設(shè)備、Studio 5000自動(dòng)化工程和設(shè)計(jì)環(huán)境的強(qiáng)大功能,這種安全的環(huán)境可授權(quán)新設(shè)備使用公司網(wǎng)絡(luò)并將應(yīng)用程序加載到設(shè)備中。

  盡管所有加入連接的工業(yè)控制系統(tǒng)都面臨著安全風(fēng)險(xiǎn),但使用現(xiàn)代技術(shù)和具有安全防護(hù)功能的工業(yè)控制產(chǎn)品就能夠大幅減少影響這些系統(tǒng)的威脅。而且,系統(tǒng)正常運(yùn)行時(shí)間越長(zhǎng)公司收益越多,因此控制系統(tǒng)安全防護(hù)方面投入的成本越多,企業(yè)生產(chǎn)就會(huì)越可靠,公司資產(chǎn)和信息也會(huì)得到更強(qiáng)的保護(hù)。

(轉(zhuǎn)載)

標(biāo)簽:羅克韋爾 工業(yè)安全 我要反饋 
泰科電子ECK、ECP系列高壓直流接觸器白皮書(shū)下載
世強(qiáng)
優(yōu)傲機(jī)器人下載中心
億萬(wàn)克
專(zhuān)題報(bào)道