雲栖号資訊:【 點選檢視更多行業資訊】
在這裡您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
工業網際網路滿足了工業智能化的發展需求,具有低延遲時間、高可靠、廣覆寫特點的關鍵網絡基礎設施,在推動未來工業經濟發展産生全方位、深層次、革命性的影響的同時,也存在着不可忽視的安全性問題。在未來的發展過程中,傳統的安全防禦已難以有效應對新的安全威脅,需要樹立全新的安全防護理念,建立綜合性的、主動的、協同的工業網際網路安全防護體系,以確定工業智能化應用的安全可靠。
工業網際網路的安全威脅
随着越來越多的生産元件和服務直接或間接的與網際網路連接配接,研發、生産、管理、服務等諸多環節暴露于網際網路中,企業經營生産過程面臨着愈發嚴重的、多途徑的網絡攻擊和病毒侵擾。網絡基礎設施被攻擊後,将造成服務中斷、系統崩潰乃至經營活動停滞,工業網際網路平台被一旦受到木馬病毒感染、拒絕服務攻擊、有組織針對性的網絡攻擊等,将嚴重危害生産穩定運作,甚至導緻企業生産事故及人身安全。
工業網際網路所涵蓋的資料種類和保護需求多種多樣,資料流動方向和路徑較為複雜,産品設計、生産制造、市場客戶、維修給養等各類資料分布在雲平台、用戶端等多種基礎設施上,僅依托單點、離散的安全保護措施已難以有效防護工業資料的安全可靠。重要工業資料,如核心技術、産品參數、客戶資料等一旦被竊取、篡改或流動至境外,将嚴重影響企業的經營生産甚至生産和發展。
工業網際網路安全防護思路
安全保障是工業網際網路三大體系之一,是保證工業網際網路平台體系和網絡體系運作穩定的重要支撐。工業網際網路的安全體系建設應着眼于從綜合安全防護的視角對其進行統籌規劃,從邊緣層、基礎設施層、平台層、應用層等諸多層面進行綜合性的安全防護,并通過入侵檢測、邊界防護、協定分析、行為分析、安全審計、容災備份、态勢感覺等各種安全技術與安全管理相結合的方式實作工業網際網路的安全防護,實作對工業網際網路安全的“監測、報警、處置、溯源、恢複、檢查”閉環管理。
(1)安全監測:基于入侵監測、協定分析、大資料、态勢感覺等相關技術實時感覺和擷取外部網絡攻擊行為,對生産控制區、生産監控區、辦公區等進行入侵監測、操作行為分析、監測審計等操作,記錄攻擊類型、IP位址、路徑等資訊。
(2)通報報警:對于監測的重要攻擊行為,按照攻擊特征,對攻擊行為進行協定分析、工業行為分析、日志分析等,實時做出資訊通報和報警提示,根據危害程度級别,啟動相應級别的應急預案。
(3)應急處置:根據應急預案,采取各種安全防護技術和補救措施進行行為阻斷、漏洞修複、病毒庫更新、病毒清除、安全政策優化等處理,加強邊界防護、資料保護、主機保護、通路控制、雲平台保護等手段,将網絡安全事件的危害降到最低。
(4)追蹤溯源:基于大資料技術對攻擊IP、鍊路方式、攻擊行為、攻擊路徑等進行分析,對攻擊現場進行證據留存,并還原整個攻擊過程,對整個網絡攻擊應急處置過程進行總結分析,完善應對預案,以便後續更有效的防護工業網際網路。
(5)狀态恢複:對受網絡攻擊影響的雲平台基礎設施、虛拟主機、資料庫、工控主機、工控網絡、現場裝置等進行狀态恢複,開展資料備份恢複、服務啟動、軟硬體聯調測試等工作,并在確定安全防護體系正常情況下推進工業網際網路應用。
(6)工作檢查:為確定遭受網絡安全攻擊的工業網際網路運作正常,在狀态恢複完畢後,需要從安全控制區、安全監管區、辦公區、雲平台等諸多方面進行檢查,進一步評估現有防護措施的合理性和有效性。
工業網際網路的的安全防護内容
工業網際網路應本着“協同、綜合、主動、動态”的原則建構安全體系,建設滿足工業需求的安全技術體系和安全管理體系,增強裝置、網絡、控制、應用和資料的安全保障能力,有效識别、抵禦和化解安全風險,為工業網際網路發展建構安全可信環境,提供從邊緣到雲端的端到端安全保障機制,包括加強端點裝置、保護通信、管控政策與裝置更新,以及利用分析工具和遠端通路實時管理與監測整個安全保障流程。
- 端口防護:涵蓋端點實體保護、可信端點基礎、端點身份、端點完整性保護、端點通路控制、端點安全配置與管理、端點監測與分析、端點資料保護、端點安全模型與政策等内容。
- 通信和連通性保護:包括連通性的實體安全、通信端點保護、加密保護、資訊流保護、網絡配置與管理、網絡監測與分析、動态資料保護、通信與連通性保護政策等内容。
- 安全監測分析:從端點和連通流量中抓取系統整體狀态的資料,加以分析,以探測可能的安全違章或潛在的系統威脅。
- 安全配置與管理:包括安全運作管理、安全管理、端點身份管理、端點配置與管理、通信配置與管理、安保模型變更控制、配置與管理資料保護、變更管理的安保模型與政策等。
- 資料保護:對端點資料、通信資料、配置資料和監測資料等進行安全技術防護。
- 安全模型及政策:包括系統威脅分析、系統安全目标、安全政策、安全模型、資料保護安全政策、端點安全政策、通信與連通性安全政策、監測與分析安全政策、配置與管理安全政策等内容。
工業網際網路的安全防護建議
- 做好工業網際網路安全體系規劃
企業應根據目前網絡安全現狀,結合工業網際網路綜合的、協同的、主動的、動态的安全防護體系要求,從雲平台、邊緣層、工控裝置等諸多層面去進行防護,加強技術防護和管理防護相結合的原則,在雲基礎設施、平台基礎能力、基礎應用能力的安全可信方面制定識别、防護、檢測、響應、恢複等計劃。
- 深入推進工業網際網路安全管理
企業應加強工業網際網路安全防護相關管理及标準建設,明确各主體安全要求和崗位責任。做好安全監督檢查,針對發現的問題應及時整改處理。結合實際購置專門的工具和平台,開展工業網際網路應用情況的風險評估、預警通報和應急演練,并做好日常工業資料的備份、加密保護、通路控制、身份鑒别等工作。
- 加強網絡安全技術防護工作
企業應結合實際建設安全監測與風險預警平台、攻防技術演練平台、安全标準與技術試驗驗證平台等系統,對潛在安全風險進行及時預警與提前防控,提升工業網際網路安全防禦能力、威懾力及應急處置能力。加大對技術人才的培養和鍛煉,通過聯合培養等方式引進人才,并建構人才成長的氛圍和機制。
結語
安全防護是工業智能化發展的重要支撐,是工業網際網路的重要組成部分。安全防護能力的好壞将直接影響到工業網際網路絡的穩定、資料的可靠及平台的使用。企業一定要重視網絡安全,結合實際采取各種技術和管理措施,建構立體的、綜合的、縱深的、主動的、動态的工業網際網路安全防護體系,為工業智能化的發展提供重要的前提和保障。
【雲栖号線上課堂】每天都有産品技術專家分享!
課程位址:
https://yqh.aliyun.com/zhibo立即加入社群,與專家面對面,及時了解課程最新動态!
【雲栖号線上課堂 社群】
https://c.tb.cn/F3.Z8gvnK
原文釋出時間:2020-03-24
本文作者:IT常青樹主編
本文來自:“
51CTO”,了解相關資訊可以關注“
”