保護(hù)好制造業(yè)計(jì)算與控制的資產(chǎn)

1、保護(hù)好制造業(yè)計(jì)算與控制的資產(chǎn)保護(hù)好制造業(yè)計(jì)算與控制的資產(chǎn)很多制造商都會(huì)問及下列問題：制造企業(yè)如何構(gòu)建自身的工業(yè)網(wǎng)絡(luò)？如何實(shí)現(xiàn)制造與企業(yè)信息平臺(tái)的融合？最佳實(shí)踐的方法是什么？如何保護(hù)制造業(yè)中的設(shè)備資產(chǎn)？如何建立制造企業(yè)的安全模型？使用什么樣的安全策略規(guī)避風(fēng)險(xiǎn)？如何使用專用的軟件對(duì)網(wǎng)絡(luò)監(jiān)控？如何對(duì)生產(chǎn)、數(shù)據(jù)、安全進(jìn)行控制、管理、分析并做出合理的商業(yè)決定？概述概述在工廠中把EtherIP用于控制和信息的解決方案，引領(lǐng)了企業(yè)內(nèi)部廣泛使用標(biāo)準(zhǔn)以太

2、網(wǎng)的熱潮。隨著這個(gè)過程的推進(jìn)，企業(yè)逐步認(rèn)識(shí)到融合制造網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的重要性，制造業(yè)已經(jīng)通過提高生產(chǎn)的關(guān)鍵性能指標(biāo)（KPI）而從中獲益。在正確的水平和正確的時(shí)間上接受KPI，可以幫助制造商做出明智的商業(yè)決策。融合還喚起了改進(jìn)工業(yè)網(wǎng)絡(luò)安全策略的動(dòng)議，這不再只是維持制造區(qū)域間的隔離問題了。制造業(yè)的計(jì)算和控制資產(chǎn)已經(jīng)成為與企業(yè)其他部門相同的、易受攻擊的要害部分。一個(gè)安全策略需要保護(hù)制造資產(chǎn)，而且要很好地平衡諸如：24x7小時(shí)連續(xù)運(yùn)行、短的平均維

3、護(hù)時(shí)間（MTTR）和整體設(shè)備效能（OEE）等因素。保護(hù)制造資產(chǎn)需要一個(gè)全面的安全模型，基于一系列明確的安全策略。為了應(yīng)對(duì)這些風(fēng)險(xiǎn)，策略應(yīng)該確定有哪些安全風(fēng)險(xiǎn)和采用什么樣的化解技術(shù)。就這些問題，本文將給出通行的整體策略和實(shí)施大綱，幫助用戶保護(hù)制造資產(chǎn)。1整體安全整體安全保護(hù)制造資產(chǎn)需要一個(gè)“按深度保護(hù)”的保護(hù)方法，按照?qǐng)D1中的描述，防止來自內(nèi)部和外部的安全威脅。這個(gè)方法使用多層次的防衛(wèi)（物理的和電子的），在不同的層次應(yīng)用不同的策略和程序應(yīng)

4、對(duì)不同類型的威脅。比如，多層的網(wǎng)絡(luò)安全保護(hù)網(wǎng)絡(luò)上的資產(chǎn)、數(shù)據(jù)和終端的安全，多層的物理安全保護(hù)高價(jià)值資產(chǎn)的安全。到目前為止，還沒有一種單一的技術(shù)或方法能夠保護(hù)整個(gè)工業(yè)控制系統(tǒng)的安全。在“按深度保護(hù)”的方法中，需要有種工作流程來建立和維護(hù)安全能力。這種安全操作流程應(yīng)該包括：1)確定優(yōu)先等級(jí)（比如按可用性、完整性、保密性）；2)設(shè)定要求（比如：遠(yuǎn)程訪問不能影響控制通信流量）；3)確定投資；4)確定潛在內(nèi)部和外部的威脅和風(fēng)險(xiǎn)；5)確定所需功能；

5、6)設(shè)計(jì)體系結(jié)構(gòu)；7)編制和執(zhí)行策略。設(shè)計(jì)和實(shí)現(xiàn)一個(gè)完整的制造安全模型，有助于用戶從概念理論向制造實(shí)踐的順利過渡。用戶不必教條地去實(shí)施制造過程的安全。為了實(shí)現(xiàn)本文的目標(biāo)，用于保護(hù)制造資產(chǎn)的“按深度保護(hù)”層包括：物理安全：物理安全：這個(gè)層限制區(qū)域、控制屏、設(shè)備、電纜、控制室和其他位置的授權(quán)人的訪問，以及跟蹤訪問者。網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全：這個(gè)層包括網(wǎng)絡(luò)構(gòu)架，諸如用于侵入檢測(cè)和侵入禁止系統(tǒng)（IDSIPS）的圖2制造網(wǎng)絡(luò)安全框架制造框架把不同的層

6、合并成下面的區(qū)實(shí)現(xiàn)不同的功能：企業(yè)區(qū)：企業(yè)區(qū)：層4和5包括傳統(tǒng)的企業(yè)IT網(wǎng)絡(luò)、商業(yè)應(yīng)用，諸如電子郵件和企業(yè)資源計(jì)劃（ERP）和廣域網(wǎng)（WAN）。隔離區(qū)（DMZ）：這個(gè)隔離區(qū)為制造區(qū)和企業(yè)區(qū)之間提供了一個(gè)屏障，但允許數(shù)據(jù)和服務(wù)安全地共享。所有來自DMZ兩邊網(wǎng)絡(luò)流量中止在DMZ區(qū)內(nèi)。沒有通信流穿過DMZ。也就是，沒有流量直接在企業(yè)區(qū)和制造區(qū)之間傳送。制造區(qū)：制造區(qū)：層3為制造運(yùn)行和控制場(chǎng)所，從事工廠范圍內(nèi)的應(yīng)用，諸如：歷史數(shù)據(jù)、資產(chǎn)管理和制

7、造執(zhí)行系統(tǒng)（MES），由多個(gè)工位工區(qū)組成。工位工位工區(qū)：工區(qū)：層0，1和2包括工業(yè)控制設(shè)備，諸如：控制器、驅(qū)動(dòng)器、IO和HMI，以及多種專門控制應(yīng)用，諸如：伺服馬達(dá)控制、批處理、連續(xù)流程和離散量輸入輸出。推薦的制造網(wǎng)絡(luò)安全框架采用了“按深度保護(hù)”方法，包括了：制造安全策略：制造安全策略：這個(gè)策略路線圖確定了攻擊化解方案。一個(gè)包括操作員、工程師、IT人員和安全人員組成的多學(xué)科團(tuán)隊(duì)，一起制定這個(gè)制造安全策略。安全隔離區(qū)（安全隔離區(qū)（DMZD

8、MZ）：）：這個(gè)隔離區(qū)在制造區(qū)和企業(yè)區(qū)之間建立了一個(gè)屏障，而允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來自DMZ兩邊的通信都中止于DMZ區(qū)內(nèi)。沒有流量直接穿過DMZ，也就是意味著流量不能直接在企業(yè)區(qū)和制造區(qū)之間流動(dòng)。制造邊緣的防護(hù)：制造邊緣的防護(hù)：用戶應(yīng)該采用有狀態(tài)包檢測(cè)（SPI）的防火墻（屏障），并在工業(yè)網(wǎng)絡(luò)的周圍和內(nèi)部具有侵入發(fā)現(xiàn)禁止系統(tǒng)（IDSIPS）。保護(hù)內(nèi)部：保護(hù)內(nèi)部：用戶應(yīng)該在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備諸如交換機(jī)和路由器中，實(shí)施訪問控制列表（