工控機與工業大數據管理安全注意事項

2019-08-07

隨著工業各個門類大踏步向工業互聯網邁進，雲計算、大數據、物聯網等新的IT技術和傳統的工業OT技術深度融合，構建了以工業互聯網為重要連接平台，以工業雲平台、工業大數據平台為重要應用承載平台的工業互聯網和工業企業數字化轉型的全新業務架構。IT和OT的深度融合給安全帶來了新的挑戰，不僅擴展了“網絡安全”這四個字的概念外延，也深刻改變了網絡安全的內涵。傳統網絡安全本質上是要解決業務和數據的完整性、機密性和可用性的問題。隨著OT技術的引入，安全的範疇也在發生變化，不僅包含業務和數據的安全，也包含了人與人、環境和個人隱私相關的一些特性和功能安全可靠性等。在這樣紛繁複雜的環境下，如何思考工業互聯網的安全問題？如何用相對較低的成本解決存量工控設備的安全問題？
 
工控機是信息世界通往物理世界的大門。係統軟件易獲取，係統老舊漏洞多，生命周期長，補丁難度大，很容易成為攻擊者的首選目標，如果守護好這個大門自然就能從根本上解決非常多的安全問題。過去一年發生了很多和工業企業相關的安全事件都是如此，因為IT網絡和工業控製網絡連在一起，勒索病毒從傳統網絡空間溜進了工控網絡，一旦控製了，從工控機上對工業控製設備發起攻擊會造成更加嚴重的後果。
 
所以，工業互聯網安全應從工業互聯網防護開始，做好信息世界通往物理世界大門的保護，就能夠以相對較低的代價保護好工業生產的連續性和穩定性。可以針對的具體場景，用入口攔截、運行攔截、擴散攔截、關卡攔截等方式，將白名單技術和惡意代碼對抗技術融合，保護工控機生產環境的安全。
 
另一方麵是工業大數據安全，數據的安全防護是很多企業的另一大痛點，因為數據安全問題在某種程度上阻礙了很多工業企業擁抱工業互聯網的步伐。隨著工業互聯網的發展，很多大型工業企業都在積極擁抱互聯網新技術，建了自己的私有化工業雲平台、工業大數據平台，把很多分散在不同生產工廠車間的應用集中在平台裏。在這種情況下，數據業務在集中，數據的邊界在模糊，數據的範圍在不斷擴大，給數據安全問題造成非常大的挑戰。
 
首先要提供統一靈活的認證、授權、證書、數字簽名、審計、反欺詐、防注入等安全能力，同時可以實現對操作人員執行升級、配置等重要管理行為的動作進行記錄和審計； 應用程序安全管理係統：提供便捷的安全防護和管理工具，實時監控應用係統。
 
其次，為了確保數據傳輸過程中的安全可控，所有設備接入終端設備需證書授權，同時在傳輸鏈路上需通過增強的實時加密協議。身份認證、訪問控製、設備認證、數據安全、隱私保護貫穿平台各模塊及計算環節，為開發者及企業提供全鏈路的數據安全。