工控机与工业大数据管理安全注意事项
2019-08-07
随着工业各个门类大踏步向工业互联网迈进,云计算、大数据、物联网等新的IT技术和传统的工业OT技术深度融合,构建了以工业互联网为重要连接平台,以工业云平台、工业大数据平台为重要应用承载平台的工业互联网和工业企业数字化转型的全新业务架构。IT和OT的深度融合给安全带来了新的挑战,不仅扩展了“网络安全”这四个字的概念外延,也深刻改变了网络安全的内涵。传统网络安全本质上是要解决业务和数据的完整性、机密性和可用性的问题。随着OT技术的引入,安全的范畴也在发生变化,不仅包含业务和数据的安全,也包含了人与人、环境和个人隐私相关的一些特性和功能安全可靠性等。在这样纷繁复杂的环境下,如何思考工业互联网的安全问题?如何用相对较低的成本解决存量工控设备的安全问题?
工控机是信息世界通往物理世界的大门。系统软件易获取,系统老旧漏洞多,生命周期长,补丁难度大,很容易成为攻击者的首选目标,如果守护好这个大门自然就能从根本上解决非常多的安全问题。过去一年发生了很多和工业企业相关的安全事件都是如此,因为IT网络和工业控制网络连在一起,勒索病毒从传统网络空间溜进了工控网络,一旦控制了,从工控机上对工业控制设备发起攻击会造成更加严重的后果。
所以,工业互联网安全应从工业互联网防护开始,做好信息世界通往物理世界大门的保护,就能够以相对较低的代价保护好工业生产的连续性和稳定性。可以针对的具体场景,用入口拦截、运行拦截、扩散拦截、关卡拦截等方式,将白名单技术和恶意代码对抗技术融合,保护工控机生产环境的安全。
另一方面是工业大数据安全,数据的安全防护是很多企业的另一大痛点,因为数据安全问题在某种程度上阻碍了很多工业企业拥抱工业互联网的步伐。随着工业互联网的发展,很多大型工业企业都在积极拥抱互联网新技术,建了自己的私有化工业云平台、工业大数据平台,把很多分散在不同生产工厂车间的应用集中在平台里。在这种情况下,数据业务在集中,数据的边界在模糊,数据的范围在不断扩大,给数据安全问题造成非常大的挑战。
首先要提供统一灵活的认证、授权、证书、数字签名、审计、反欺诈、防注入等安全能力,同时可以实现对操作人员执行升级、配置等重要管理行为的动作进行记录和审计; 应用程序安全管理系统:提供便捷的安全防护和管理工具,实时监控应用系统。
其次,为了确保数据传输过程中的安全可控,所有设备接入终端设备需证书授权,同时在传输链路上需通过增强的实时加密协议。身份认证、访问控制、设备认证、数据安全、隐私保护贯穿平台各模块及计算环节,为开发者及企业提供全链路的数据安全。