【儀表網 儀表科普】隨著工業物聯網(IIoT)得到更多的關注和應用,監控與數據采集(SCAD)系統的傳統角色正在發生改變。SCADA系需要適應這種變化。
監控和數據采集(SCADA)系統以及包括人機界面(HMI)、樓宇管理系統(BMS)、制造執行系統(MES)和計算機維護管理系統(CMMS)等在內的范圍更大的工業控制系統(ICS)都是專有的技術,通常來說都會與企業信息技術(IT)基礎設施隔離開來。這些系統初并不是為網絡安全設計的。
ICS傳統的控制和安全的角色已經擴展到包括為工廠和過程提供信息,或對來自ERP以及其他企業系統的指令做出響應。根據國家基礎設施保護中心的關于“確保安全轉移至基于IP的SCADA/PLC網絡”的規定,這會讓ICS系統面臨潛在的網絡威脅。
時下對于物聯網(IoT)以及與之密切相關的工業物聯網(IIoT)或者工業4.0之間的網絡連接的關注,為數據聚合戰略和態勢感知帶來了巨大的潛在好處。如果IIoT裝置使用互聯網協議(IP),將增加暴露在網絡威脅下的機會。
IIoT的變革打亂了傳統控制室的角色,使其朝用于監視和控制功能的可移動裝置轉化方向變化。例如,正在出現的具有IIoT功能的ICS的情境式HMI組件,為生產和維護單位提供了產能方面的提升,同時擴展了ICS的應用領域。然而,它也擴大了網絡威脅管理的范圍。
NIST的網絡安全支柱有四個元素:識別、保護、檢測和應對。
網絡安全的支柱
現代的ICS平臺供應商將網絡風險和彈性管理納入到ISO9001質量流程中去用于研發和生產。其目的是讓內部和外部上報的漏洞做到透明管理,并快速采取行動,盡可能減少給客戶造成的風險。
美國國家標準技術研究所(NIST)已經提供了一個架構,對于系統地識別一個機構的重要資產、識別威脅以及確保重要資產安全方面具有非常重要的價值。該架構具有四個元素:識別、保護、檢測以及應對。
識別與鑒別
資產和數據流的詳細清單對于ICS建立正常行為的基準很重要。工業網絡可以很大很復雜,而工業協議又有別于企業IT網絡所用的協議。使用簡單網絡管理協議(SNMP)對網絡設備進行尋址和監控的自動化工具提高了詳細清單的效率和性。
控制系統感知的清單和監控工具是建立可靠的ICS基準的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準模板的技術來監控ICS是至關重要的。理想中的這個系統應該可以做到:
•使用無源傳感器從網絡數據流中提取元數據;
•動態地建立組件的視覺清單以及連接圖;
•學習ICS并為正常的運行提供統計學以及行為方面的描述;
•推薦預防性行為;
•根據需要啟動應急響應。
IIoT裝置通常使用無線技術進行通訊。通用IT網絡與ICS網絡之間的區別是使用靜態IP。隨著工業網絡變化得與更廣泛的互聯網連在一起,健康監控系統會尋找變化的或者重復的IP和MAC地址、設備或電纜移動以及未經授權的連接。增加了通過具有動態IP連接的無線接入點所連接的移動式傳感器,整個環境會變得更加復雜。
保護正在消融的邊界
在近舉行的一次技術峰會上,Centrify公司區域經理Mike Ratte討論了當今的網絡安全境況。“我們需要識別是新的邊界”,他指出,幾乎一半的被攻擊的情況是因為認證不嚴格;黑客將所有級別的用戶都設定為目標,包括享有特權的用戶;基于邊界的傳統的安全措施已經不夠了;應當將安全的基礎建立在基于情境的政策上。這個戰略很適合正在消融的ICS邊界,其已經享受了開放連接帶來的好處,因此也將會受益于企業安全專業人士。
據統計,63%的數據外泄涉及安全性弱的、默認的或被盜的密碼,在ICS網絡威脅的排名中認證管理排名靠前。通過被盜的或丟失的移動裝置物理訪問的可能性增加了對強有力的認證管理的需求。工業網絡通過防火墻、虛擬私人網絡(VPN)以及交換機實現了層防護。
ICS供應商必須對配置文件加密、對于異常連接嘗試提供監控、使用例如HTTPS的安全協議、并且提供與微軟動態目錄整合在一起的用戶權限。ICS可以采用強大的識別管理系統。使用動態目錄作為核心的識別管理資源庫,一個ICS用戶可以通過一個登陸賬號使用所有的應用。
(原文標題:物聯網時代的SCADA網絡安全)
所有評論僅代表網友意見,與本站立場無關。