专家视点 | 系统安全保护须知
2015-07-01 罗克韦尔自动化
与我们联系,请点击这里
如何更好地保护工业网络、物理资产和知识产权免受网络攻击?融合工业控制和企业通信,应用分层安全措施和技术。
想一想贵公司的产品是在多个国家还是遥远的异地制造或加工?不论您的信息、配方和制造技术存储在什么位置,都可能没有您所想的那么安全。
据罗克韦尔自动化CISSP兼产品安全风险管理总监Doug Wylie称,每建立一个新的网络连接,网络风险就会增加,那些不怀好意的人能够下手损坏、破坏或窃取信息的攻击面也会略有扩大。
“我们必须认识到网络安全并不是一项一次性投资。”Wylie指出,“全球各地每天都会有数百万台新设备和数百万名新用户建立连接和互连。我们需要时刻对人员、过程、产品和技术的安全保持警觉并持续地进行投资。”
不论连接的是消费品还是工业控制设备,只要有途径、动机和机会,攻击者就会攻击具体设备;不仅如此,还会攻击这些设备所连接的系统。攻击过程有可能影响这些设备中存储的信息的可用性、完整性以及保密性,并在这些系统中不断反复。
因此,我们需要更多地关注信息安全。幸运的是,这项工作并不需要花费巨大心力,却能够带来众多益处。最重要的是,优良的安全策略能够降低薄弱过程的风险,有助于保护资产和信息。
此外,安全的基础架构可以支持云技术、移动、可视化和智能设备等新技术的应用,能够大幅提高生产效率。
借助分层防护和纵深防御措施,工业企业的领导者们能够更加放心地利用那些在构建和运营控制系统时需要部署的现代技术和开放的平台,再也无需心存疑虑。顾名思义,纵深防御策略是指在不同的情况下使用多层(物理、电子和程序)防御措施,应用相应的控制方法来应对不同类型的风险。
工业安全是2013年6月在圣地亚哥举办的罗克韦尔自动化RSTechEd客户培训活动的一大主题。在一次会话中,罗克韦尔自动化控制和可视化业务部门副总裁兼总经理Kevin Zaba与思科关联产业部门副总裁兼总经理Maciej Kranz探讨了两大公司在安全领域的合作共赢。
Kranz指出,企业网络中正在建立网络、设备和技术的融合;今后,这种融合理念将深入到包括安全在内的各种工厂和企业应用中去。
“我们看到制造、企业和云存储之间存在一条数据流。而在今后的十年里,所有连接Internet的设备中,预计将有27%为制造设备。设备的安全性对于保障安全和操作完整性非常关键。通过将工业网络与Internet分离来确保安全的做法已经无法满足需求。”Kranz解释称。
Kranz和Zaba一致认为,企业采用安全控制方法和方案有助于控制对企业和工业控制系统、机器和工业设备、特定工业控制装置以及这些系统中的重要公司信息的访问。此外,最佳安全实践和整体良好的安全实践有助于保护依靠数字信息的特定操作,这些信息用于控制、组态、监视企业和其它制造与加工系统。
罗克韦尔自动化和思科已在三大交叉领域达成共识并计划制定相应的解决方案:用户身份管理、知识产权和信任设备。这些解决方案包括产品和策略两方面内容。
身份管理
身份管理要求了解用户身份及其所在位置,并管理获得网络系统访问权限的用户角色和职责。Kranz解释称,“网络基础架构中组态的身份管理访问策略对于保护信息和资产至关重要。例如,这项策略可确保仅授权承包商在上午8点到下午5点期间能够进入特定办公楼的指定楼层,或者仅授权普通员工能够从办公室或家庭接入网络,而不允许从某个咖啡厅的Wi-Fi网络接入。”
Zaba强调了这类策略的重要作用。他指出,“自动化系统的使用寿命很长,它们可以在安装后运行数十年。而且这些系统存在多种物理交互关系:操作员、维护工程师、劳务工人——其中某些人员需要进行远程工作。必须谨慎控制这些人员的访问权限。此外,还需要具备实时动态更改访问权限的功能。”
罗克韦尔自动化和思科基于思科的身份服务引擎(ISE)制定了一套解决方案,能够在有线和无线网络之间强制执行相同的策略,增强了安全防护性能。Kranz称,这项技术能够动态链接用户资料,确定用户身份、职业、所在位置和时间,然后对其授予或保留访问权限。“如果员工离职,可以立即删除其资料。同样,也可以快速添加新员工或承包商的资料。”
Zaba称,罗克韦尔自动化正在Stratix 5900安全设备中筹备ISE功能。“该设备是我们推出的首款兼具VPN和防火墙功能的安全设备,非常适用于保护单元/区域和连接远程操作。”
知识产权
“据估计,有60%的数字犯罪都与某些形式的有组织犯罪相关。”Kranz披露。客户的企业可能运营在任何一个国家/地区,并在一定程度上从当地获得支持。他补充道:“保护产品配方和制造技术等知识产权至关重要。”
同时,Zaba还说道:“我们必须注意权衡安全管理和可用性之间的关系。”灵活性有助于确保为适当的人员授予适当的工业控制系统访问权限,并确保对这些系统的访问权限进行相应规划。
思科提供了一款名为Cisco Prime的网络管理套件,允许用户“管理网络和其它基础设施设备(包括移动设备)资产、进行故障处理、处理安全应用和数据保护”。Kranz说:“目前,我们正在努力将Cisco Prime功能集成到罗克韦尔自动化的Studio 5000软件环境中。这是一个发展方向。”
信任设备
“工业控制设备的外形越来越精巧。”Zaba补充道,“我们不希望以任何方式限制这些设备的功能,而是希望能够利用这些功能。”
自动化系统的安全性和完整性对于适当地利用这些系统中的智能设备至关重要。通过紧密结合关键的控制产品(如可编程自动化控制器)、网络基础设施组件(如管理型交换机)以及安全设备,能够有效地增强整个控制系统的安全性。
Kranz表示,凭借Cisco ISE和Cisco Prime、Stratix 5900安全设备、Studio 5000自动化工程和设计环境的强大功能,这种安全的环境可授权新设备使用公司网络并将应用程序加载到设备中。
尽管所有加入连接的工业控制系统都面临着安全风险,但使用现代技术和具有安全防护功能的工业控制产品就能够大幅减少影响这些系统的威胁。而且,系统正常运行时间越长公司收益越多,因此控制系统安全防护方面投入的成本越多,企业生产就会越可靠,公司资产和信息也会得到更强的保护。
罗克韦尔自动化安全解决方案
www.rockwellautomation.com/go/tjsecurity
思科
www.rockwellautomation.com/go/cisco
