摘要：IIoT的變革打亂了傳統控制室的角色，使其朝用于監視和控制功能的可移動(dòng)裝置轉化方向變化。例如，正在出現的具有IIoT功能的ICS的情境式HMI組件，為生產(chǎn)和維護單位提供了產(chǎn)能方面的提升，同時(shí)擴展了ICS的應用領(lǐng)域。

關(guān)鍵詞：物聯(lián)網(wǎng)[17009篇]  SCADA[0篇]

隨著(zhù)工業(yè)物聯(lián)網(wǎng)(IIoT)得到更多的關(guān)注和應用，監控與數據采集(SCAD)系統的傳統角色正在發(fā)生改變。SCADA系需要適應這種變化。

監控和數據采集(SCADA)系統以及包括人機界面(HMI)、樓宇管理系統(BMS)、制造執行系統(MES)和計算機維護管理系統(CMMS)等在內的范圍更大的工業(yè)控制系統(ICS)都是專(zhuān)有的技術(shù)，通常來(lái)說(shuō)都會(huì )與企業(yè)信息技術(shù)(IT)基礎設施隔離開(kāi)來(lái)。這些系統最初并不是為網(wǎng)絡(luò )安全設計的。

ICS傳統的控制和安全的角色已經(jīng)擴展到包括為工廠(chǎng)和過(guò)程提供信息，或對來(lái)自ERP以及其他企業(yè)系統的指令做出響應。根據國家基礎設施保護中心的關(guān)于“確保安全轉移至基于IP的SCADA/PLC網(wǎng)絡(luò )”的規定，這會(huì )讓ICS系統面臨潛在的網(wǎng)絡(luò )威脅。

時(shí)下對于物聯(lián)網(wǎng)(IoT)以及與之密切相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)或者工業(yè)4.0之間的網(wǎng)絡(luò )連接的關(guān)注，為數據聚合戰略和態(tài)勢感知帶來(lái)了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網(wǎng)協(xié)議(IP)，將增加暴露在網(wǎng)絡(luò )威脅下的機會(huì )。

IIoT的變革打亂了傳統控制室的角色，使其朝用于監視和控制功能的可移動(dòng)裝置轉化方向變化。例如，正在出現的具有IIoT功能的ICS的情境式HMI組件，為生產(chǎn)和維護單位提供了產(chǎn)能方面的提升，同時(shí)擴展了ICS的應用領(lǐng)域。然而，它也擴大了網(wǎng)絡(luò )威脅管理的范圍。

NIST的網(wǎng)絡(luò )安全支柱有四個(gè)元素：識別、保護、檢測和應對。

網(wǎng)絡(luò )安全的支柱

現代的ICS平臺供應商將網(wǎng)絡(luò )風(fēng)險和彈性管理納入到ISO9001質(zhì)量流程中去用于研發(fā)和生產(chǎn)。其目的是讓內部和外部上報的漏洞做到透明管理，并快速采取行動(dòng)，盡可能減少給客戶(hù)造成的風(fēng)險。

美國國家標準技術(shù)研究所(NIST)已經(jīng)提供了一個(gè)架構，對于系統地識別一個(gè)機構的重要資產(chǎn)、識別威脅以及確保重要資產(chǎn)安全方面具有非常重要的價(jià)值。該架構具有四個(gè)元素：識別、保護、檢測以及應對。

識別與鑒別

資產(chǎn)和數據流的詳細清單對于ICS建立正常行為的基準很重要。工業(yè)網(wǎng)絡(luò )可以很大很復雜，而工業(yè)協(xié)議又有別于企業(yè)IT網(wǎng)絡(luò )所用的協(xié)議。使用簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)對網(wǎng)絡(luò )設備進(jìn)行尋址和監控的自動(dòng)化工具提高了詳細清單的效率和精確性。

控制系統感知的清單和監控工具是建立可靠的ICS基準的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準模板的技術(shù)來(lái)監控ICS是至關(guān)重要的。理想中的這個(gè)系統應該可以做到：

·使用無(wú)源傳感器從網(wǎng)絡(luò )數據流中提取元數據;

·動(dòng)態(tài)地建立組件的視覺(jué)清單以及連接圖;

·學(xué)習ICS并為正常的運行提供統計學(xué)以及行為方面的描述;

·推薦預防性行為;

·根據需要啟動(dòng)應急響應。

IIoT裝置通常使用無(wú)線(xiàn)技術(shù)進(jìn)行通訊。通用IT網(wǎng)絡(luò )與ICS網(wǎng)絡(luò )之間的區別是使用靜態(tài)IP。隨著(zhù)工業(yè)網(wǎng)絡(luò )變化得與更廣泛的互聯(lián)網(wǎng)連在一起，健康監控系統會(huì )尋找變化的或者重復的IP和MAC地址、設備或電纜移動(dòng)以及未經(jīng)授權的連接。增加了通過(guò)具有動(dòng)態(tài)IP連接的無(wú)線(xiàn)接入點(diǎn)所連接的移動(dòng)式傳感器，整個(gè)環(huán)境會(huì )變得更加復雜。

保護正在消融的邊界

在最近舉行的一次技術(shù)峰會(huì )上，Centrify公司區域經(jīng)理Mike Ratte討論了當今的網(wǎng)絡(luò )安全境況?！拔覀冃枰R別是新的邊界”，他指出，幾乎一半的被攻擊的情況是因為認證不嚴格;黑客將所有級別的用戶(hù)都設定為目標，包括享有特權的用戶(hù);基于邊界的傳統的安全措施已經(jīng)不夠了;應當將安全的基礎建立在基于情境的政策上。這個(gè)戰略很適合正在消融的ICS邊界，其已經(jīng)享受了開(kāi)放連接帶來(lái)的好處，因此也將會(huì )受益于企業(yè)安全專(zhuān)業(yè)人士。

據統計，63%的數據外泄涉及安全性弱的、默認的或被盜的密碼，在ICS網(wǎng)絡(luò )威脅的排名中認證管理排名靠前。通過(guò)被盜的或丟失的移動(dòng)裝置物理訪(fǎng)問(wèn)的可能性增加了對強有力的認證管理的需求。工業(yè)網(wǎng)絡(luò )通過(guò)防火墻、虛擬私人網(wǎng)絡(luò )(VPN)以及交換機實(shí)現了第一層防護。

ICS供應商必須對配置文件加密、對于異常連接嘗試提供監控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動(dòng)態(tài)目錄整合在一起的高級用戶(hù)權限。ICS可以采用強大的識別管理系統。使用動(dòng)態(tài)目錄作為核心的識別管理資源庫，一個(gè)ICS用戶(hù)可以通過(guò)一個(gè)登陸賬號使用所有的應用。

來(lái)源：網(wǎng)絡(luò )整理