0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

新的OT网络架构下信息安全的四个关键技术

控制工程中文版 来源:控制工程中文版 2023-04-21 11:16 次阅读

制造企业需要思考如何适应新的网络安全环境,并在不影响生产运营的情况下提供更好的支持。

网络安全曾经是信息技术(IT)领域专属的。那些拥有计算机科学学位的人会封好入口,看住贵重物品,防止入侵者进入IT网络。由于IT网络被视为进入运营技术(OT)网络的唯一途径,很多公司认为这已经足够了。

潜伏的威胁仍然游走在OT网络的边缘。一些员工电脑上的恶意软件、插入USB密钥或将设备接入网络的物理访问,以及偶尔的无线访问都可能会让带来风险。虽然可能导致的问题很严重,但这些事件很少发生,对很多公司来讲,这种风险被认为是可以接受的。

01

新的OT网络架构

近年来,OT网络之间的互联比以往任何时候都更加紧密。一些企业正在运行扁平的网络拓扑,而另一些企业正在将与云通信物联网工业物联网(IoT/IIoT)设备和系统添加到网络中。这些较新的OT装置,绕过了网络分层或普渡模型,带来了巨大的变化。

企业需要了解如何在不减缓数字化转型计划的情况下,适应这些不断变化的环境并支持这些网络。他们还需要考虑如何在保持网络安全警惕的同时,实现预期的业务目标。

使用合适的技术可以降低风险。现在,企业和用户应该熟悉四个关键技术和安全概念:零信任;最小特权原则;被动和主动网络监控;和安全信息和事件管理(SIEM)集成。

1.零信任

零信任是过去十年中出现的最重要的安全理念之一,被许多人视为安全领域的新黄金标准。它已经被世界各地的工业公司和军事网络所采用。零信任的理念是假设攻击者可能已经在网络上了,而且没有被发现。正因为如此,公司不应该信任进入的任何设备、服务器和软件的任何通信。

这容易让人陷入一种左右为难的困境:如果你不信任通信,那你怎么能进行通信?在零信任网络中,所有系统都必须验明正身,这是实现通信的第一步。身份证明通常通过一些机制来完成,如使用公认标准的加密、用户名和密码验证,有时还可以通过客户端证书或密钥形式的附加凭据。这其中的关键部分是负责证明“它是谁”的系统。

对于棕地工业网络来说,零信任很难实现。许多可编程逻辑控制器PLC)和远程终端单元(RTU)的通信方式都是门户洞开。只要与控制工程师交谈,就可以得知哪些PLC在设计上是不安全的。如果用户仅使用其IP地址,就可以通过本地协议从监控和数据采集(SCADA)系统连接到PLC或RTU,那么这很可能就是不安全的。有理由假设,很多PLC和RTU在设计上是不安全的,包括现在正在生产中使用的大多数设备。

dff89616-dff1-11ed-bfe3-dac502259ad0.png

▲图1 :使用零信任方法,网络上的所有内容都必须验明正身。

e02f163c-dff1-11ed-bfe3-dac502259ad0.png

▲图2 :近年来安全需求发生了变化。技术也随之改变。

如果企业正在保护这些网络并希望采用零信任理念,那么通常有两种选择:一种是更换现有的PLC;另一种是消除它们不安全的通信,通常是将它们隔离在安全设备的后面。许多人正在使用运行边缘软件的简单工业PC,以使这些系统远离主控制网络,并使用MQTT Sparkplug和OPC UA等安全协议提供数据和通信。

对于绿地网络来说,情况要容易得多。一些关注安全的现代PLC,在默认情况下被锁定,支持零信任策略。MQTT Sparkplug和OPC UA等协议以及Ignition等软件,都内置了强大的身份验证和安全性。在配置安全设置的同时,使用现代设备、协议和软件可以简化最佳实践,真正实现零信任架构。

2.最小特权原则

从概念上来讲,最小特权原则非常简单:用户的帐户应只能访问用户需要做的事情。许多企业都有工程团队,他们可以管理所有系统。如果企业遵循的是这一原则,那这就不是最小特权原则了。初级工程师只能访问有限数量的系统和有限的功能集。管理这些需要做更多的工作,但如果用户的帐户被泄露,或者心怀不满的员工决定采取可能损害业务的行动,最小特权原则也会降低风险。

3.被动和主动网络监控

许多IT团队都有IT网络的监控工具。在OT网络上使用这些监控工具也是一个好主意。入侵检测系统(IDS)可提供被动监控,这意味着它在不向网络本身添加任何内容的情况下监视网络流量。这些系统通常由人工智能机器学习AI/ML)工具支持,以识别模式并尝试定位异常。

有时,入侵检测系统还采用主动网络监控,在网络上发送通信并尝试与设备对话,作为其监控的一部分。主动监控系统有时指向PLC或其它设备,以监控它们何时发生变化或变化的内容。

如果一个零信任系统已经就位并且运行良好,即使“坏人”进入网络,也可能什么都做不了。然而,这些监控系统旨在帮助IT部门识别那些不良行为者,并将他们踢出网络,以防止他们试图找到易受攻击的系统。一些主动监控还可以识别意外变化并标记这些变化。

4.安全信息和事件管理集成

大多数公司的IT部门都使用安全信息和事件管理(SIEM)系统,但在OT网络上则很容易忽略这些很有价值的工具。作为一个日志分析系统,它们可以帮助识别热点并追溯发生的问题。这些系统侧重于安全性,但有时也可用于现场系统的一般故障排除和IT支持。如果一家公司配置了SIEM,而OT系统没有发送安全提要,那么可能值得探索将SCADA或其它OT系统添加到SIEM中。

安全性是一个复杂的话题,对于当今的制造商来讲,现在需要向零信任和更好的安全性迈进。企业和用户对本文强调的网络安全技术和概念越熟悉,就越有可能做出更明智的决策。大多数制造企业还有很长的路要走,获得更好的安全性更像是一场马拉松,而不是百米冲刺。在工业领域构建更好的安全性对每个人都有帮助。

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • plc
    plc
    +关注

    关注

    5008

    文章

    13149

    浏览量

    461985
  • 网络安全
    +关注

    关注

    10

    文章

    3125

    浏览量

    59584
  • 架构
    +关注

    关注

    1

    文章

    509

    浏览量

    25444

原文标题:新的OT网络架构下信息安全的四个关键技术

文章出处:【微信号:控制工程中文版,微信公众号:控制工程中文版】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    CDMA原理与关键技术

    CDMA原理与关键技术
    发表于 08-16 20:25

    智能电网的网络通信架构关键技术解析

    中心议题: *智能电网的网络通信架构 *智能电网的关键技术解决方案: *TE 弹性属性决定在链路故障或结点失效时采取的策略1引言 建设信息化、自动化、互动化为特征的坚强智 能电网(Sm
    发表于 10-09 11:42

    详解5G的六大关键技术

    场景,全双工技术的应用难度更大。关键技术4:D2D传统的蜂窝通信系统的组网方式是以基站为中心实现小区覆盖,而基站及中继站无法移动,其网络结构在灵活度上有一定的限制。随着无线多媒体业务
    发表于 12-07 18:40

    利用CAN总线构建一车内网络,需要解决的关键技术问题有哪些?

    CAN-BUS系统主要包括哪些部件?车载网络的应用分类有哪几种?利用CAN总线构建一车内网络,需要解决的关键技术问题有哪些?
    发表于 05-13 06:07

    数字家庭网络关键技术是什么?

    数字家庭网络提供的业务类别以及需求有哪些?数字家庭网络关键技术是什么?
    发表于 05-26 06:20

    WCDMA中的关键技术网络规划中的应用是什么

    WCDMA中的关键技术网络规划中的应用是什么
    发表于 05-27 06:15

    ASON网络关键技术有哪些?

    ASON光网络由哪几部分组成?ASON网络关键技术有哪些?ASON的亮点是什么?
    发表于 05-28 06:48

    车载移动异构无线网络架构关键技术是什么?

    车载移动异构无线网络架构关键技术是什么?
    发表于 06-07 06:29

    明白VPP关键技术有哪些

    随着人工智能技术的不断发展,越来越多的行业开始使用人工智能技术,这也使得智能虚拟代理技术得到了广泛的应用。为了能够深入了解智能虚拟代理技术,需要明白VPP
    发表于 08-31 07:28

    什么是HarmonyOS?鸿蒙OS架构关键技术是什么?

    什么是HarmonyOS?鸿蒙OS架构关键技术是什么?
    发表于 09-23 09:02

    AUTOSAR信息安全框架和关键技术相关资料介绍

    1、AUTOSAR信息安全框架和关键技术分析随着汽车网联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的
    发表于 11-24 16:51

    面向OpenHarmony终端的密码安全关键技术

    了终端与云端、终端之间的数据一致性、数据交互安全,是面向未来智能终端的协同安全技术。 面向国产化智能OH终端的自主可控信息系统密码安全
    发表于 09-13 19:20

    《5G安全体系与关键技术

      新书推荐           《5G安全体系与关键技术》 5G作为新基建之“首”和新基建之“基”,其新架构和新技术给未来信息化时代带来了
    的头像 发表于 01-05 10:21 4064次阅读

    未来网络关键技术

    未来网络架构的核心要点,一是网络自身的能力要提升(确定性承载、内生安全等);二是这种能力要能够向两端延伸,向应用开放;三是控制面增强、转发面简洁。下面的章节将基于这个参考
    的头像 发表于 02-01 16:53 1767次阅读

    工业发展不可忽视的安全问题——OT网络安全

    网络安全挑战运营技术(OT)是现代关键基础设施的基石,OT的核心包括监控和控制物理过程的硬件和软件系统。
    的头像 发表于 03-09 08:04 2069次阅读
    工业发展不可忽视的<b class='flag-5'>安全</b>问题——<b class='flag-5'>OT</b><b class='flag-5'>网络安全</b>