香港 SCHNEIDER TSXMRPF008M 低價席卷,欲購
香港 SCHNEIDER TSXMRPF008M 低價席卷,欲購
香港 SCHNEIDER TSXMRPF008M 低價席卷,欲購
工控安全漸入視野
制造業(yè)細分行業(yè)眾多、企業(yè)數(shù)量龐大,各個公司的管理水平及技術實力差別也大相徑庭,安全防護難點和盲點均位列各個領域前茅。從2012年全球各個行業(yè)成為網(wǎng)絡安全目標的份額來看,制造業(yè)占比為24%,位居各行業(yè)之首,成為安全威脅的“新寵”。
工業(yè)控制系統(tǒng)的使用范圍不僅僅限于制造業(yè),在礦產、公用事業(yè)、航空航天行業(yè)中的使用也相當廣泛。據(jù)不完全統(tǒng)計,超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。
隨著企業(yè)內外網(wǎng)對接、信息系統(tǒng)與客戶及供應商的聯(lián)結、設備自動化的水平上升,企業(yè)的信息網(wǎng)絡變得更加的開放與智能化。以智能精密機床為例,其系統(tǒng)的通訊方面已經(jīng)配備了微機上才具備的USB接口與網(wǎng)線接口,未來的生產指令與調度程序將統(tǒng)一通過中央控制系統(tǒng)的方式加以推送,生產任務的建立、更換、取消也將更加智能。然而開放與智能帶來的副作用就是安全威脅。有別于傳統(tǒng)的安全威脅,如果工業(yè)控制成為了攻擊的目標導致系統(tǒng)無法正常工作或損壞,那么將不僅僅限于虛擬化的信息層面,而直接影響人員的生命安全。事實上,國外此類事件的發(fā)生已經(jīng)造成了嚴重的后果。
工業(yè)控制系統(tǒng)需要進行橫向分層、縱向分域、區(qū)域分等級進行安全防護。橫向分層用來區(qū)分管理信息系統(tǒng),每層系統(tǒng)有不同的信息系統(tǒng)管理需求,縱向分域用來分離各個不同的生產執(zhí)行業(yè)務線,而區(qū)域分等級將根據(jù)資產與生產過程的核心等級逐級建立層層嚴格防護屏障,一旦產生了安全威脅能夠將威脅控制在最小層面,防止其向其它層面擴散,最大程度上保證整體工業(yè)生產系統(tǒng)的安全與穩(wěn)定。
通常橫向分層分為計劃管理層、制造執(zhí)行層、工業(yè)控制層。計劃管理層一般包括了以ERP為核心的管理信息系統(tǒng)。制造執(zhí)行層處于工業(yè)控制層與計劃管理層之間,主要負責生產管理和調度執(zhí)行,通過制造執(zhí)行層管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數(shù)的變化,實現(xiàn)對工藝的過程監(jiān)視與控制。工業(yè)控制層是直接面向生產的終端層,由自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構成,完成具體的加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。
根據(jù)業(yè)界專業(yè)觀點,工控系統(tǒng)的三層橫向分層中需要對層與層之間的數(shù)據(jù)交換和信息處理進行防護,催生了工控系統(tǒng)的兩層防護體系。首先是計劃管理層與制造執(zhí)行層之間進行的防護,避免這兩層系統(tǒng)通訊交換帶來的威脅,具體表現(xiàn)形式為避免非授權訪問和濫用、對操作失誤篡改數(shù)據(jù)及抵賴行為的可控制、可追溯性、避免終端違規(guī)操作、及時發(fā)現(xiàn)非法入侵行為、過濾惡意代碼。其次是制造執(zhí)行層與工業(yè)控制層之間的安全防護,通過部署工業(yè)安全防火墻的方式能夠避免從計劃管理層未經(jīng)授權的指令或者有害代碼,完成區(qū)域隔離、通信管控、實時報警等重要功能。
相對于其他行業(yè)信息安全防護,工控安全防護在實時性、可靠性及安全性方面的需求等級更高,要求也更加嚴格。一旦發(fā)生了安全威脅,需要在最短的時間內進行發(fā)現(xiàn)、矯正或者停止作業(yè),防止危害進一步向其他系統(tǒng)或者層級滲透,同時能夠第一時間發(fā)出警報供安全管理人員和生產執(zhí)行人員知曉,及時采取行動應對特殊事件?;诠た匕踩奶攸c,需要通過四類產品對此領域安全進行全面防護:網(wǎng)關類安全產品、異常檢測類產品、安全管理類產品、日志審批類產,而這四類產品均需對于工業(yè)安全進行針對性的調整和優(yōu)化才能保證整體的安全。
工控安全在設計及應用方面具有其特殊性,例如工業(yè)管理系統(tǒng)中通常不會采用TCP/IP或者IPX這樣的常用協(xié)議,而采用系統(tǒng)間或者生產廠商自建的專門協(xié)議,這類協(xié)議的建立一方面是生產廠商對于自身商業(yè)利益產品閉環(huán)的考慮,另一方面是出于對安全的考慮。在傳統(tǒng)協(xié)議上傳播的安全威脅難以對專用協(xié)議產生影響,但隨著威脅程度不斷加劇,攻擊水平不斷提高,而專用協(xié)議由于沒有被公開環(huán)境所熟識并加以監(jiān)督完善而存在更多安全隱患,對于安全廠商的發(fā)現(xiàn)和控制難度進一步加劇。因此,網(wǎng)絡監(jiān)控除了在傳統(tǒng)協(xié)議層面上推行,各種各樣的專用協(xié)議也需要納入分析管控的范圍,并對其中的數(shù)據(jù)進行深入精確的判別。
同時由于工業(yè)控制將極有可能出現(xiàn)在極端情況下,溫度、濕度的適應能力、電磁防護能力等在普通環(huán)境下極少檢測的指標,在這一領域卻會顯得異常重要。這些要求對廠商的技術實力提出了新的挑戰(zhàn),也成為未來產品發(fā)展的方向所在。
此外,隨著創(chuàng)意型企業(yè)和科技類的公司逐漸增多,BYOD概念未來幾年或在國內生根發(fā)芽。
BYOD(Bring Your Own Device)即允許員工攜帶自己的設備進行辦公,這些設備包括個人電腦、手機、平板等。在國外的商業(yè)環(huán)境中,許多高科技公司通常允許員工以這樣的方式辦公,企業(yè)在滿足員工自身對于新科技和個性化追求的同時能夠提高員工的工作效率,降低企業(yè)在移動終端上的成本和投入。
由于員工使用自帶設備,設備與設備之間的差異度非常明顯,設備本身硬件設計與操作系統(tǒng)的安全等級不盡相同,攻擊方只需要從安全防護最弱的系統(tǒng)或者硬件中入手就可以掌握設備的信息從而達到入侵公司系統(tǒng)的初步條件。同時由于員工在自身的設備中會安裝應用程序,其中含有惡意代碼、病毒信息或獲取不正當權限的情況就更有可能發(fā)生。相對于在公司內網(wǎng)中有防火墻的保護,設備在外部網(wǎng)絡環(huán)境中遭受的侵襲概率明顯增大。鏈路通訊方面的情況也會由于BYOD的實施變得更加復雜多樣化,由于自帶設備在公開網(wǎng)絡中使用的情形會遠多于固定場所中,那么網(wǎng)絡狀態(tài)也會呈現(xiàn)五花八門的狀態(tài),在對信息安全防護不夠到位的場所和地區(qū),Wi-Fi沒有加密的保護,或者無線信號發(fā)射源本身含有惡意的代碼或被偵聽,這些情況都會對自有設備與公司的通訊安全造成威脅。
移動終端安全管理領域,國內廠商雖然起步較晚,但是市場需求和自身的努力下發(fā)展迅速,華為公司、東軟集團、國信靈通、天暢信息等廠商均在此領域中謀得一席之地。隨著未來BYOD概念在國內的不斷壯大,國內企業(yè)對于終端安全防護國產化自主可控的訴求也將與日俱增,具備本土優(yōu)勢和技術實力的國內安全廠商將充分受益。