系統(tǒng)安全保護須知

2025China.cn 2014年05月22日

　　想一想貴公司的產(chǎn)品是在多個國家還是遙遠的異地制造或加工?不論您的信息、配方和制造技術(shù)存儲在什么位置，都可能沒有您所想的那么安全。

　　據(jù)羅克韋爾自動化CISSP兼產(chǎn)品安全風(fēng)險管理總監(jiān)Doug Wylie稱，每建立一個新的網(wǎng)絡(luò)連接，網(wǎng)絡(luò)風(fēng)險就會增加，那些不懷好意的人能夠下手損壞、破壞或竊取信息的攻擊面也會略有擴大。

　　“我們必須認識到網(wǎng)絡(luò)安全并不是一項一次性投資?！盬ylie指出，“全球各地每天都會有數(shù)百萬臺新設(shè)備和數(shù)百萬名新用戶建立連接和互連。我們需要時刻對人員、過程、產(chǎn)品和技術(shù)的安全保持警覺并持續(xù)地進行投資?！?/FONT>

　　不論連接的是消費品還是工業(yè)控制設(shè)備，只要有途徑、動機和機會，攻擊者就會攻擊具體設(shè)備;不僅如此，還會攻擊這些設(shè)備所連接的系統(tǒng)。攻擊過程有可能影響這些設(shè)備中存儲的信息的可用性、完整性以及保密性，并在這些系統(tǒng)中不斷反復(fù)。

　　因此，我們需要更多地關(guān)注信息安全。幸運的是，這項工作并不需要花費巨大心力，卻能夠帶來眾多益處。最重要的是，優(yōu)良的安全策略能夠降低薄弱過程的風(fēng)險，有助于保護資產(chǎn)和信息。

　　此外，安全的基礎(chǔ)架構(gòu)可以支持云技術(shù)、移動、可視化和智能設(shè)備等新技術(shù)的應(yīng)用，能夠大幅提高生產(chǎn)效率。

　　借助分層防護和縱深防御措施，工業(yè)企業(yè)的領(lǐng)導(dǎo)者們能夠更加放心地利用那些在構(gòu)建和運營控制系統(tǒng)時需要部署的現(xiàn)代技術(shù)和開放的平臺，再也無需心存疑慮。顧名思義，縱深防御策略是指在不同的情況下使用多層(物理、電子和程序)防御措施，應(yīng)用相應(yīng)的控制方法來應(yīng)對不同類型的風(fēng)險。

　　工業(yè)安全是2013年6月在圣地亞哥舉辦的羅克韋爾自動化RSTechEd客戶培訓(xùn)活動的一大主題。在一次會話中，羅克韋爾自動化控制和可視化業(yè)務(wù)部門副總裁兼總經(jīng)理Kevin Zaba與思科關(guān)聯(lián)產(chǎn)業(yè)部門副總裁兼總經(jīng)理Maciej Kranz探討了兩大公司在安全領(lǐng)域的合作共贏。

　　Kranz指出，企業(yè)網(wǎng)絡(luò)中正在建立網(wǎng)絡(luò)、設(shè)備和技術(shù)的融合;今后，這種融合理念將深入到包括安全在內(nèi)的各種工廠和企業(yè)應(yīng)用中去。

　　“我們看到制造、企業(yè)和云存儲之間存在一條數(shù)據(jù)流。而在今后的十年里，所有連接Internet的設(shè)備中，預(yù)計將有27%為制造設(shè)備。設(shè)備的安全性對于保障安全和操作完整性非常關(guān)鍵。通過將工業(yè)網(wǎng)絡(luò)與Internet分離來確保安全的做法已經(jīng)無法滿足需求。”Kranz解釋稱。

　　Kranz和Zaba一致認為，企業(yè)采用安全控制方法和方案有助于控制對企業(yè)和工業(yè)控制系統(tǒng)、機器和工業(yè)設(shè)備、特定工業(yè)控制裝置以及這些系統(tǒng)中的重要公司信息的訪問。此外，最佳安全實踐和整體良好的安全實踐有助于保護依靠數(shù)字信息的特定操作，這些信息用于控制、組態(tài)、監(jiān)視企業(yè)和其它制造與加工系統(tǒng)。

　　羅克韋爾自動化和思科已在三大交叉領(lǐng)域達成共識并計劃制定相應(yīng)的解決方案：用戶身份管理、知識產(chǎn)權(quán)和信任設(shè)備。這些解決方案包括產(chǎn)品和策略兩方面內(nèi)容。

　　身份管理

　　身份管理要求了解用戶身份及其所在位置，并管理獲得網(wǎng)絡(luò)系統(tǒng)訪問權(quán)限的用戶角色和職責(zé)。Kranz解釋稱，“網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中組態(tài)的身份管理訪問策略對于保護信息和資產(chǎn)至關(guān)重要。例如，這項策略可確保僅授權(quán)承包商在上午8點到下午5點期間能夠進入特定辦公樓的指定樓層，或者僅授權(quán)普通員工能夠從辦公室或家庭接入網(wǎng)絡(luò)，而不允許從某個咖啡廳的Wi-Fi網(wǎng)絡(luò)接入?！?/FONT>

　　Zaba強調(diào)了這類策略的重要作用。他指出，“自動化系統(tǒng)的使用壽命很長，它們可以在安裝后運行數(shù)十年。而且這些系統(tǒng)存在多種物理交互關(guān)系：操作員、維護工程師、勞務(wù)工人——其中某些人員需要進行遠程工作。必須謹慎控制這些人員的訪問權(quán)限。此外，還需要具備實時動態(tài)更改訪問權(quán)限的功能?！?/FONT>

　　羅克韋爾自動化和思科基于思科的身份服務(wù)引擎(ISE)制定了一套解決方案，能夠在有線和無線網(wǎng)絡(luò)之間強制執(zhí)行相同的策略，增強了安全防護性能。Kranz稱，這項技術(shù)能夠動態(tài)鏈接用戶資料，確定用戶身份、職業(yè)、所在位置和時間，然后對其授予或保留訪問權(quán)限?！叭绻麊T工離職，可以立即刪除其資料。同樣，也可以快速添加新員工或承包商的資料。”

　　Zaba稱，羅克韋爾自動化正在Stratix 5900安全設(shè)備中籌備ISE功能?！霸撛O(shè)備是我們推出的首款兼具VPN和防火墻功能的安全設(shè)備，非常適用于保護單元/區(qū)域和連接遠程操作。”

　　知識產(chǎn)權(quán)

　　“據(jù)估計，有60%的數(shù)字犯罪都與某些形式的有組織犯罪相關(guān)。”Kranz披露?？蛻舻钠髽I(yè)可能運營在任何一個國家/地區(qū)，并在一定程度上從當?shù)孬@得支持。他補充道：“保護產(chǎn)品配方和制造技術(shù)等知識產(chǎn)權(quán)至關(guān)重要?！?/FONT>

　　同時，Zaba還說道：“我們必須注意權(quán)衡安全管理和可用性之間的關(guān)系。”靈活性有助于確保為適當?shù)娜藛T授予適當?shù)墓I(yè)控制系統(tǒng)訪問權(quán)限，并確保對這些系統(tǒng)的訪問權(quán)限進行相應(yīng)規(guī)劃。

　　思科提供了一款名為Cisco Prime的網(wǎng)絡(luò)管理套件，允許用戶“管理網(wǎng)絡(luò)和其它基礎(chǔ)設(shè)施設(shè)備(包括移動設(shè)備)資產(chǎn)、進行故障處理、處理安全應(yīng)用和數(shù)據(jù)保護”。Kranz說：“目前，我們正在努力將Cisco Prime功能集成到羅克韋爾自動化的Studio 5000軟件環(huán)境中。這是一個發(fā)展方向?！?/FONT>

　　信任設(shè)備

　　“工業(yè)控制設(shè)備的外形越來越精巧。”Zaba補充道，“我們不希望以任何方式限制這些設(shè)備的功能，而是希望能夠利用這些功能?！?/FONT>

　　自動化系統(tǒng)的安全性和完整性對于適當?shù)乩眠@些系統(tǒng)中的智能設(shè)備至關(guān)重要。通過緊密結(jié)合關(guān)鍵的控制產(chǎn)品(如可編程自動化控制器)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件(如管理型交換機)以及安全設(shè)備，能夠有效地增強整個控制系統(tǒng)的安全性。

　　Kranz表示，憑借Cisco ISE和Cisco Prime、Stratix 5900安全設(shè)備、Studio 5000自動化工程和設(shè)計環(huán)境的強大功能，這種安全的環(huán)境可授權(quán)新設(shè)備使用公司網(wǎng)絡(luò)并將應(yīng)用程序加載到設(shè)備中。

　　盡管所有加入連接的工業(yè)控制系統(tǒng)都面臨著安全風(fēng)險，但使用現(xiàn)代技術(shù)和具有安全防護功能的工業(yè)控制產(chǎn)品就能夠大幅減少影響這些系統(tǒng)的威脅。而且，系統(tǒng)正常運行時間越長公司收益越多，因此控制系統(tǒng)安全防護方面投入的成本越多，企業(yè)生產(chǎn)就會越可靠，公司資產(chǎn)和信息也會得到更強的保護。

（轉(zhuǎn)載）

標簽：羅克韋爾　工業(yè)安全

我要反饋