基于云的監控和數據采集（SCADA）系統，具有更大的靈活性、可擴展性和確定性。它還能夠大幅減少資本支出，提供可預測的成本，加快實(shí)施，并在增加或更改資產(chǎn)時(shí)快速適應變化。作為一種更高效的部署模型，基于云的SCADA系統可以降低很多行業(yè)的進(jìn)入壁壘。

使用基于云的SCADA系統，無(wú)需控制或備份中心。用戶(hù)可以利用其首選服務(wù)提供商的云基礎架構，從資本支出模式轉變?yōu)檫\營(yíng)支出模式。

以往周期為8 至10 個(gè)月的SCADA 系統項目，現在可以縮短到幾周。用戶(hù)可以從較少的資產(chǎn)開(kāi)始，并按需增加或移除。此外，軟件版本可以始終保持最新?tīng)顟B(tài)。在行業(yè)中，收益不斷得到驗證。例如，加拿大一家原油和天然氣勘探和生產(chǎn)公司的項目，利用基于云的SCADA 系統，在訂單簽署后一個(gè)月成功將300 多口油井運營(yíng)上線(xiàn)。

基于云的SCADA 系統提供了一種可靠、安全的方法?，F場(chǎng)資源和專(zhuān)業(yè)知識，可以通過(guò)遠程支持、持續監控和服務(wù)提供商提供的自動(dòng)更新來(lái)補充。在許多方面，通訊的設計與早期SCADA 系統中考慮的內容類(lèi)似，但現在，更重要的是需要一個(gè)強大的網(wǎng)絡(luò )安全設計。

隨著(zhù)工業(yè)控制系統（ICS）面臨的威脅越來(lái)越多，網(wǎng)絡(luò )安全問(wèn)題變得至關(guān)重要。工業(yè)控制系統向數字化的轉變，也間接增加了網(wǎng)絡(luò )風(fēng)險。手動(dòng)操作的設備有一個(gè)好處：它不能被黑客攻擊。由于控制功能自動(dòng)化水平的提升，潛在攻擊目標范圍也在增加。隨著(zhù)更多的設備和系統連到工業(yè)物聯(lián)網(wǎng)（IIoT）網(wǎng)絡(luò )上，連接性的增加在帶來(lái)諸多好處的同時(shí)，但也帶來(lái)了網(wǎng)絡(luò )安全方面的擔憂(yōu)。

不僅僅是 “攻擊面”或漏洞數量的增加，網(wǎng)絡(luò )泄露的潛在后果也在增加。監管預期的提高，意味著(zhù)企業(yè)即使沒(méi)有發(fā)生泄露，也有可能造成嚴重的聲譽(yù)損害和成本（有些來(lái)自于監管處罰）。與此同時(shí)，過(guò)往經(jīng)驗表明，風(fēng)險與理論相去甚遠：

據卡巴斯基實(shí)驗室，超過(guò)半數的工業(yè)設施經(jīng)歷了某種形式的網(wǎng)絡(luò )安全事件，四分之三的工廠(chǎng)預計其工業(yè)控制系統或將會(huì )受到攻擊。

隨著(zhù)攻擊類(lèi)型的演變，網(wǎng)絡(luò )攻擊的數量和范圍也在增加。其中最令人擔憂(yōu)的事態(tài)發(fā)展是，工業(yè)系統正成為黑客的攻擊目標。2017 年12月，黑客入侵了一個(gè)關(guān)鍵基礎設施的安全系統，這被稱(chēng)為工業(yè)網(wǎng)絡(luò )安全的“分水嶺”。但它實(shí)際上發(fā)生在中東一家石油公司的安全系統遭到襲擊之后。

在應對這些風(fēng)險時(shí)，企業(yè)受到許多因素的阻礙。首先是由于勞動(dòng)力迅速退休而造成的通用技能的短缺，特別是技術(shù)技能的缺乏。Petroplan 公司發(fā)布的《2017 年人才觀(guān)察指數》指出，超過(guò)五分之一的石油、天然氣和能源部門(mén)表示，他們缺乏合適的人才來(lái)應對發(fā)展，超過(guò)三分之一的人表示，由于需要信息技術(shù)來(lái)實(shí)現數字化和大數據增長(cháng)，因此他們需要更多的信息技術(shù)技能。

與此同時(shí)，在企業(yè)內部，孤立運營(yíng)依然存在——站點(diǎn)之間、集團內部的企業(yè)之間，尤其是信息技術(shù)（IT）員工和運營(yíng)技術(shù)（OT）員工之間的信息隔離依然存在——盡管在技術(shù)上已經(jīng)融合。

信息孤島會(huì )造成很多混亂，比如誰(shuí)應對風(fēng)險負責。由于傳統IT 和OT 方法的不同，了解這一點(diǎn)很重要。具體而言，在運行方面可用性具有更高的優(yōu)先級，但是很多情況下安全至關(guān)重要。因此，對IT 和 OT 適用的安全解決方案，彼此之間有很大差異。

由于在網(wǎng)絡(luò )安全方面還沒(méi)有形成統一的標準，因此在實(shí)施網(wǎng)絡(luò )安全戰略方面也就沒(méi)有“一刀切”" 的方法。

對于基于云的SCADA 系統來(lái)說(shuō)，網(wǎng)絡(luò )安全存在兩個(gè)關(guān)鍵的危險因素。

首先，網(wǎng)絡(luò )安全措施被忽視或沒(méi)有得到充分解決。通過(guò)衛星或無(wú)線(xiàn)通信進(jìn)行的不安全連接，為黑客提供了侵入遠程站點(diǎn)、云和SCADA 系統的機會(huì )。例如，每個(gè)沒(méi)有配置安全設施的閥門(mén)站，都可能是重要的漏洞源。

其次，有些風(fēng)險被過(guò)度夸大了，以至于企業(yè)推遲了云的部署。這不僅意味著(zhù)他們會(huì )錯失基于云的SCADA 系統所帶來(lái)的效率提升，還將對行業(yè)產(chǎn)生潛在的影響。從長(cháng)遠來(lái)看，這比已經(jīng)發(fā)生的任何網(wǎng)絡(luò )攻擊的危害都要大。由于缺乏應對網(wǎng)絡(luò )風(fēng)險的技能和內部資源，改善企業(yè)安全的可能性也不大。

當已經(jīng)考慮攻擊媒介時(shí)，如何發(fā)生泄露，以及惡意軟件或黑客是如何進(jìn)入的就顯而易見(jiàn)。容易被黑客利用的常見(jiàn)漏洞包括:

SCADA 系統的數據，本質(zhì)上是良性信息。該系統從可編程邏輯控制器（PLC）或遠程終端單元（RTU）收集和顯示數據。它本質(zhì)上是單向通訊，提供了設施內的狀態(tài)信息。它不是控制功能。在查看基于云的SCADA 系統時(shí)，安全性非常重要，但這并不是一個(gè)無(wú)法克服的挑戰。

保護異地SCADA 系統解決方案需要克服的核心問(wèn)題是缺乏集中化。企業(yè)不得不嘗試保護遠程員工、承包商、客戶(hù)以及控制系統和第三方設備和軟件供應商使用的多個(gè)接入點(diǎn)（圖 1）（為了進(jìn)行升級、修補、監視或支持而獲得遠程連接權限）。

這些接入點(diǎn)的數量以及缺乏有效的中央監督和控制容易導致各種問(wèn)題，包括:

企業(yè)可以相信通過(guò)這些接入點(diǎn)建立和管理連接的人員是以安全的方式這樣做的，但這是一種不應該做出的假設。

隨著(zhù)連接工業(yè)物聯(lián)網(wǎng)設備數量的增加，此問(wèn)題只會(huì )變得更突出。此外，越來(lái)越需要先進(jìn)的大數據分析，以便從生成的海量數據中獲得價(jià)值，并將其轉化為可操作的信息。這些分析功能可布置在設施內或基于云的設備上，需要安全的數據傳輸通道（圖 2）。

基于云的SCADA 系統的關(guān)鍵是云的安全——通過(guò)基于云的安全中心和通信中心來(lái)實(shí)現安全集中化（圖 3）。

該安全中心，可以對連接進(jìn)行身份驗證，在允許訪(fǎng)問(wèn)通信服務(wù)器之前確保它們的有效性。同時(shí)，通信服務(wù)器使用位于每個(gè)工廠(chǎng)或站點(diǎn)的虛擬安全引擎（VSE）進(jìn)行身份驗證。虛擬安全引擎還可以從遠程站點(diǎn)啟動(dòng)與通信服務(wù)器的連接，并且可以自動(dòng)在指定的時(shí)間間隔或時(shí)間進(jìn)行連接，這樣服務(wù)器就不必一直保持連接。

來(lái)自這些工廠(chǎng)或站點(diǎn)的所有通信都通過(guò)安全通道，使用443 端口進(jìn)行傳輸層安全性加密，并且可以對所有遠程連接強制執行防火墻規則。這提供了一種分布式架構，其中包含了從運營(yíng)到遠程站點(diǎn)間的安全通道。

來(lái)自工廠(chǎng)或站點(diǎn)的通信，都是通過(guò)安全通道進(jìn)行的，而通信服務(wù)器則受到防火墻的保護。但是，如果需要向下推送修補程序或更新，安全連接也可用于給技術(shù)人員提供遠程訪(fǎng)問(wèn)權限。

這種集中式網(wǎng)絡(luò )安全方法，使運營(yíng)能夠定義、自動(dòng)化和監控整個(gè)SCADA 系統環(huán)境中的安全策略，從而提供更高的可見(jiàn)性、可靠性和合規性。企業(yè)可以集中定義整個(gè)工廠(chǎng)的策略，自信地部署它們，并自動(dòng)執行和監視。它確保所有遠程現場(chǎng)資產(chǎn)都能獲得運營(yíng)中心的安全保護。

結合自上而下的安全管理平臺，此體系結構可提供強大的工業(yè)控制系統安全性，并遵循NIST 網(wǎng)絡(luò )安全框架。此框架定義了行業(yè)標準和最佳實(shí)踐，以幫助組織管理網(wǎng)絡(luò )安全風(fēng)險。將集中控制與安全管理平臺相結合，使企業(yè)能夠在所有站點(diǎn)上滿(mǎn)足這些標準，保持一致性（圖 4）。