色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

一種 IT 和 OT 安全融合的思路

jf_09010900 ? 來源:jf_09010900 ? 作者:jf_09010900 ? 2024-05-09 11:16 ? 次閱讀

摘要

數字化、網絡化、智能化加速發展,使得信息技術(Information Technology,IT)與操作技術(Operation Technology,OT)融合成為工業數字化轉型和制造業高質量發展的關鍵。與此同時,網絡風險也不斷向工業領域滲透蔓延。從多個維度分析當前 IT 和 OT 融合的現狀,科學論證其帶來的網絡安全風險,尤其是對工業控制系統關鍵組件的影響。針對現狀和問題,從技術維度提出一種 IT 和 OT 安全融合的思路,并給出相應建議。

內容目錄

1IT 和 OT 融合發展現狀

1.1IT 和 OT 概述

1.2IT 和 OT 融合現狀

2IT 和 OT 融合網絡安全風險

3IT 和 OT 安全融合思路

3.1安全基礎技術融合

3.2數據融合

3.3態勢融合

4結語

在工業數字化轉型浪潮下,“云、大、物、移、智”等新技術在工業領域不斷應用,使 IT和 OT 深度融合,產生了以工業互聯網為代表的數字化應用,促進了工業生產管理、運營決策與制造執行等各方面的“顛覆式”變革 。同時,從互聯網傳進來的各種網絡風險逐漸滲透到 OT系統,近年來,IT 和 OT 結合導致的工業生產安全風險逐漸加劇,如 2018 年臺積電遭病毒入侵導致重要產線停擺 ,2019 年委內瑞拉電力控制系統連續多次遭受網絡攻擊,2020 年鋼鐵制造商 EVRAZ 遭到勒索軟件攻擊導致多家工廠停產 ,2021 年美國最大輸油管線遭勒索軟件攻擊,嚴重影響國內多地燃油供應 。因此,必須采取有效的、針對性的 IT 和 OT 安全融合措施,以保障工業生產安全運行。

1

IT 和 OT 融合發展現狀

1.1IT 和 OT 概述

Gartner 關于 OT 的定義是“直接監控和 / 或控制工業設備、資產、流程和事件來檢測物理過程或使物理過程產生變化的硬件和軟件。”。按照概念,OT 強調“直接”作用,其實就是可編 程 邏 輯 控 制 器(Programmable Logic Controller,PLC)、分布式控制系統(Distributed Control System,DCS)、監控和數據采集系統(Supervisory Control andData Acquisition,SCADA)等工業控制系統及其應用軟件的總稱,包含數據采集和自動控制技術。IT 主要用于企業管理的硬件、軟件、網絡、通信技術以及存儲、處理和向企業各個部門傳輸信息的系統。制造執行系統(Manufacturing Execution System,MES)/ 制 造 運 營 管 理 系 統(Manufacturing Operations Management,MOM)處于 IT 和 OT 之間。

簡而言之,IT 和 OT 都是為工業企業服務。目前,OT 部分主要用于控制和分析企業生產過程,促進進一步改善生產;IT 部分重點處理企業各類數據和信息,并維護企業所制造產品的質量。歷史上這二者是相互獨立的,隨著技術的發展,IT 和 OT 相互融合必將顯著改善企業運營情況,能夠進一步增強工業企業管理者監控運行和過程的能力,促進工業企業提質增效,主要體現在以下幾個方面:

(1)降低工業資源和人力成本。引入 IT 側的云化和虛擬化技術,在不影響 OT 側各控制系統正常運行的情況下,將各生產區的服務器上云,減少了企業在設備成本方面的開支,并且基于云平臺的統一操作入口也易于工作人員實施設備更新,簡化了工業操作。

(2)提高工業設備安全性與預測性維護。OT 側借助物聯網傳感器和流量探針等 IT 基礎設施,實時監測工業設備的狀態和生產過程,并利用人工智能和大數據技術對采集的數據進行建模分析,有效識別設備異常狀態并預測潛在的安全風險邊界。

(3)提高經營決策效率。通過業務指揮調度平臺和綜合態勢感知平臺聯動,全面分析管理流程、工業業務流程和生產過程數據,進一步優化企業信息共享方式,快速響應客戶訂單需求,高效完成產品的開發和集成 。

1.2IT 和 OT 融合現狀

整體來說,目前多數工業企業主要從以下 3個維度開展 IT 和 OT 融合。

(1) 架 構 融 合 。企 業 的 IT 和 OT 部 分在物理層面多是分區域的,架構也相對獨立,當前業界主要通過建設類似工業互聯網平臺的云架構來實現 IT 和 OT 的融合,基于平臺實現SCADA系統等在云端部署應用,實現 IT 和 OT各類軟硬件資源及容器等開發工具的接入、控制和應用,實現各類多源異構設備的數據采集、傳輸和交互。

(2)數據融合。通過智能傳感器、數據采集設備等對產品在設計、研發、生產過程及在相關業務環節中產生的全域數據進行實時采集,同時整合銷售運營數據、供應鏈管理數據、財務會計數據等工業大數據資源,并利用機器學習深度學習等技術進行模型訓練與綜合分析,打通從 OT 到 IT 的全流程,實現企業生產流程優化及內部精細化運營管理。

(3)虛實融合 。當前數字孿生技術廣泛應用在智慧水廠、汽車生產、礦山智能巡檢及自動化立體倉庫等工業場景中,通過將物理場景中產生的大量數據在云端進行存儲、管理和建模分析,實現全生產鏈要素的高度互聯,有效解決各領域面臨的信息孤島統籌難、集中監管難度大、信息反饋不及時、運營維護成本高等痛點問題。

2

IT 和 OT 融合網絡安全風險

IT 和 OT 融合已成為必然趨勢,使得工業網絡結構、形態、協議及通信方式均在發生改變,IT 降低了攻擊成本,部分 OT 系統自身也變成了聯網設備,諸多因素導致 IT 和 OT 融合引發了更多的網絡安全風險,主要體現在平臺 / 系統的應用、網絡、設備、數據等方面。

(1)應用層面。應用主要以設計、生產、管理、服務等工業業務運行 App 的方式服務于用戶,有些還集成了設備狀態分析、能耗分析優化等創新應用。工業互聯網使得上述應用變得共享和開放,企業內諸多業務邏輯均暴露于網絡中,攻擊者極易通過掃描開放應用端口并利用開放服務在身份鑒別、訪問控制、安全接口和安全審計等方面的漏洞和缺陷進入網絡服務器等核心基礎設施,同時以辦公網為跳板對控制網進行滲透和攻擊,直接威脅安全生產。

(2)網絡層面。因 IT 和 OT 各自用到的網絡通信協議或網絡架構的安全性存在差異性,IT 和 OT 網絡互聯后,安全風險將互相滲透,加大了網絡風險暴露面。例如在工業現場的安全風險,一是大量物聯網終端使用全球移動通信系 統(Global System for Mobile Communication,GSM)網卡,而 GSM 存在單向認證缺陷,面臨移動用戶的數據信息被偽基站截獲的風險;二是很多現場設備采用Modbus、Profinet 等傳統工業協議進行有線傳輸,這些協議自身缺乏身份認證、授權及加密等安全機制,黑客極易利用這些漏洞對設備下達惡意指令。在網絡邊界,諸多邊緣設備采用了具有非授權組網特性的LoRa協議,其面臨報文偽造、惡意擁塞、身份偽造等安全風險。如今,“5G+ 工業互聯網”得到深入應用,相比于 3G 和 4G,5G 雖然在網絡架構上進行了全新設計,在網絡安全方面進行了增強,但 5G 采用的公鑰加密接入認證算法仍存在隱私泄露的風險。

(3)設備層面。融合之前設備存在的安全風險在融合之后依然存在,主要包括:一是利用U 盤等移動介質進行攻擊,只要移動介質連接到工業控制設備,惡意程序就會自動運行,病毒在全網進行傳播,影響 IT 側的正常業務辦公和管理決策等,竊取企業核心數據,并針對 OT 側的各控制系統實施惡意指令下發,影響安全生產;二是設備自身的漏洞缺陷,包括操作系統、設備上的應用軟件及其插件、設備硬件接口等,容易被攻擊者利用;三是安全管理層面,硬件設備接口未做安全防護、軟件補丁更新不及時、采用弱口令、“零”或者弱安全認證機制。

(4)數據層面。一是融合后擴大了針對海量多源異構數據的攻擊面,現有基于用戶身份或角色的訪問控制策略難以滿足大規模數據的細粒度訪問控制要求;二是產品全生命周期產生的各類數據包含大量敏感信息,在設備與云端進行通信時,若 OT 側的探針采集的數據未經加密,攻擊者可通過監聽的方式獲取設備敏感信息,此外,數據基于平臺進行流通和共享時,存在數據濫用、隱私泄露等安全威脅。

具體以典型工業控制系統 SCADA、人機界面(Human Machine Interface,HMI) 和 PLC 為例來分析 IT 和 OT 融合后面臨的安全挑戰。

(1)SCADA 系統安全。SCADA 系統可看成 IT 和 OT 的分界。一方面,未授權非法訪問、工業控制標準協議和通用技術的開放性、工業控制軟硬件產品自身缺陷、從業人員等綜合因素加劇了網絡安全風險;另一方面,SCADA 系統上云后,伴生由云安全延伸的安全風險。

(2)HMI 和 PLC 安全。HMI 是上位機,從屬于控制系統,界面實時顯示現場系統狀態。HMI 對現場系統進行控制和監視,實際上是HMI 編程人員將每個指示器和按鈕編程到 PLC的指定寄存器地址中,而這個控制過程通常帶有密碼設置,極易被黑客破譯,使得操作員失去對人機操作界面的視圖控制權,典型攻擊案例是 2015年烏克蘭電網事件 。

一旦網絡攻擊滲透到 PLC,會直接影響到現場設備。同時,PLC 需要與控制中心通信,其自身安全是整個工業信息安全的最后防線,但當前 PLC 多是基于裁剪的嵌入式系統,加之基于掃描的工作方式和面向命令的工控協議,存在較大的安全風險隱患,以協議中的自定義命令字為例來說明,Modbus 協議的從機診斷命令會造成從機 PLC 切換到偵聽模式,通用工業協議(Common Industrial Protocol,CIP)部分命令字會造成從機 PLC 直接重啟,S7 協議的 StopCPU 功能會導致 PLC 程序運行停止 。

3

IT 和 OT 安全融合思路

針對 IT 和 OT 融合現狀及面臨的諸多網絡安全風險,建議企業從管理、技術和運營等方面進行綜合加強,其中技術方面重點從安全基礎技術、數據和態勢 3 個方面開展安全融合。

3.1安全基礎技術融合

融合安全技術成為 IT 和 OT 融合的必然選擇。從安全自主可控角度出發,通過采用輕量級的國產密碼技術及安全可信技術等,實現安全加密防護技術與 PLC/ 遠程終端設備(Remote Terminal Unit,RTU)等工控核心部件深度融合,形成一體化的安全 PLC/ 安全 RTU,在滿足工業控制系統實時性和環境適應性的前提下,實現自身與上位機通信的加密保護,網絡通信的協議識別和內容檢測,以及對自身存儲固件和數據完整性的保護等,本質上實現了內生安全,既能防護 OT 內部威脅,也能防護 IT 威脅。

3.2數據融合

數據融合工作主要從數據采集層面和數據處理層面開展。

(1)數據采集層流量探針功能融合。IT 探針主要采集通用網絡設備、安全設備以及終端等的數據;OT 探針主要采集現場工業控制設備、自動化設備、控制監控系統以及終端等的數據。以上數據構成了涵蓋網絡原始流量數據、資產數據、終端行為數據、審計數據和元數據等各種信息的工業信息安全大數據源。此時有兩種方法實現融合:一是研究分析 IT 和 OT 數據在資產、事件、漏洞以及告警等方面的共性與特性,形成獨立于網絡協議 / 工控場景的工控網絡數據統一表征方法,并開發一款具備此方法的“前置探針”,即實現融合功能的前置,同時采集 IT和 OT 的數據;二是 IT 和 OT 在采集時仍然使用各自常用的探針,但是采集之后對數據進行功能層面的融合分析,抽象共性功能和特性功能。

(2)數據分析處理模型融合。IT 和 OT 都需要將各自的數據進行統一清洗、入庫。對于數據分析的技術和方法,也都采用關聯分析、機器學習等技術,并根據各自不同的特征向量和使用場景進行訓練,構建專用規則模型,再結合各自威脅情報庫,進行異常行為分析和風險研判。可見對于數據分析層,IT 和 OT 采用的技術類同,只是數據模型、規則和協議不同,可建立通用分析模型。

(3)威脅情報庫融合。IT 和 OT 網絡威脅情報分別揭示了 IT 和 OT 網絡資產可能存在或出現的風險、威脅,并給出相關聯的環境、機制、指標、內涵及可付諸行動的建議,可為企業響應相關威脅或風險提供決策幫助。但目前,IT和 OT 各自網絡威脅情報庫還未很好地共享,難以實現安全威脅的協同感知和統一處置,可對IT 和 OT 各自情報庫的情報類別、條目以及數據結構等內容抽象分離,設計統一的數據結構,進行兩套情報庫的格式轉換、統一存儲和發布,以實現對安全事件和威脅事件的深度識別 。

3.3態勢融合

IT 系統和 OT 系統在呈現層均有對企業系統資產、漏洞、威脅、日志、告警和態勢等情況的展示,功能類同,主要以可視化界面為主,可融合為統一的展示效果,對高安全風險進行協同響應和處置。同時,可向上預留應用接口,滿足國家部委網絡安全監管需求,實現統一數據上報及統一威脅情報的接收。

4

結語

IT 和 OT 融合作為推動制造業轉型升級的重要抓手,目前仍處于艱難的探索階段,當下還無非常成熟的模式。針對 IT 和 OT 的安全融合,建議考慮具體行業的實際需求,加強 IT 和OT 技術融合的標準化建設。另外,加強安全保障體系建設。IT 和 OT 融合必須具備 IT 安全、OT 安全以及 IT 和 OT 融合安全技術,如安全PLC、工業虛擬專用網、工業網絡地址轉換、工業入侵檢測、工控網絡接入控制、無須依賴外部特征庫的 AI 智能分析與檢測等才能滿足融合安全建設目標。建議高效實施系統防護,加大對重要資產的保護力度,從融合系統中分離網絡通信功能及加強 AI 技術在融合安全方面的賦能作用。

引用格式:萬喬喬 , 鐘一冉 , 周恒 , 等 . 一種 IT 和 OT 安全融合的思路 [J]. 信息安全與通信保密 ,2023(1):79-86.

審核編輯 黃宇

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • IT
    IT
    +關注

    關注

    2

    文章

    862

    瀏覽量

    63501
  • 網絡安全
    +關注

    關注

    10

    文章

    3155

    瀏覽量

    59701
  • 工業數字化
    +關注

    關注

    0

    文章

    25

    瀏覽量

    6560
  • 數字化轉型
    +關注

    關注

    0

    文章

    263

    瀏覽量

    9188
收藏 人收藏

    評論

    相關推薦

    融合一體機屬于什么設備

    融合一體機是一種高度集成化的硬件設備,它將計算、存儲和網絡功能融為體,通過軟件定義的方式,提供了高度集成、高可用性、高性能的數據中心解決方案。主機推薦小編為您整理發布超融合一體機的
    的頭像 發表于 12-21 10:18 ?50次閱讀

    宜科電子如何實現OT與IT數據融合集成

    服務企業數字化轉型應用,實現OT與IT數據融合集成,通過數據可視化應用、數據積累與價值挖掘,重構跨部門業務流程與業務協同交互模式,實現企業生產過程管理數字化、設備運維管理數字化、能源管理數字化等數據融合集成應用。
    的頭像 發表于 11-29 14:51 ?172次閱讀

    一種面向飛行試驗的數據融合框架

    天地氣動數據致性,針對某外形飛行試驗數據開展了典型對象的天地氣動數據融合方法研究。結合數據挖掘的隨機森林方法,本文提出了一種面向飛行試驗的數據融合框架,通過引入地面風洞試驗氣動數據,
    的頭像 發表于 11-27 11:34 ?217次閱讀
    <b class='flag-5'>一種</b>面向飛行試驗的數據<b class='flag-5'>融合</b>框架

    艾體寶干貨 使用TAP和NPB安全監控OT網絡:基于普渡模型的方法

    隨著工業控制系統和運營技術網絡(ICS/OT)的復雜性與日俱增,保障網絡安全已成為項至關重要的任務。本文深入探討了如何結合TAPs和網絡包分析器(NPBs)來為這些網絡提供更高的可見性與安全
    的頭像 發表于 11-04 17:07 ?161次閱讀
    艾體寶干貨 使用TAP和NPB<b class='flag-5'>安全</b>監控<b class='flag-5'>OT</b>網絡:基于普渡模型的方法

    一種分立電荷泵的設計

    電子發燒友網站提供《一種分立電荷泵的設計.pdf》資料免費下載
    發表于 10-11 10:53 ?0次下載
    <b class='flag-5'>一種</b>分立電荷泵的設計

    壁掛爐OT協議怎么開發

    壁掛爐OT協議開發聽說需要加入OT協議會員,會員費是多少?怎么進行C語言開發?
    發表于 09-25 15:53

    IT和OT有什么關系?

    Technology) 即運營技術 ,主要用于工業環境中,包括工業控制系統、監控和數據采集系統等,專注于工業生產過程的監測、控制和優化。 兩者的關系主要體現在以下幾個方面: 1、融合趨勢 :隨著工業數字化轉型的推進,IT 和 OT 正在逐漸
    的頭像 發表于 07-11 13:49 ?310次閱讀

    rup是一種什么模型

    RUP(Rational Unified Process,統建模語言)是一種軟件開發過程模型,它是一種迭代和增量的軟件開發方法。RUP是由Rational Software公司(現為IBM的
    的頭像 發表于 07-09 10:13 ?1241次閱讀

    融合架構解決方案

    隨著信息技術的發展,企業對數據中心的依賴日益增強,對存儲、計算和網絡資源的需求也在不斷增長。超融合架構作為一種新興的IT基礎設施解決方案,正逐漸成為企業數據中心建設的首選。本文將詳細介紹超融合架構
    的頭像 發表于 04-10 14:57 ?633次閱讀

    中科曙光打造一種全新的計算體系構建與運營模式—“立體計算”

    4月2日,中科曙光“立體計算湖南行”啟動儀式在長沙成功舉辦。面對“加快發展新質生產力”的新要求,中科曙光提出“立體計算”新思路,旨在打造一種全新的計算體系構建與運營模式。
    的頭像 發表于 04-03 09:52 ?445次閱讀
    中科曙光打造<b class='flag-5'>一種</b>全新的計算體系構建與運營模式—“立體計算”

    工業發展不可忽視的安全問題——OT網絡安全

    在數字化時代,工業運營技術(OT)的網絡安全比以往任何時候都更加重要。DataLocker,作為OT網絡安全的守護者,提供了全面的加密和數據管理解決方案,確保關鍵基礎設施免受網絡威脅。
    的頭像 發表于 03-09 08:04 ?2124次閱讀
    工業發展不可忽視的<b class='flag-5'>安全</b>問題——<b class='flag-5'>OT</b>網絡<b class='flag-5'>安全</b>

    MAVLink在應用編程中的編程原理和思路

    嵌入式開發過程中,UART、 CAN、 USB等通信基本離不開通信協議。 下面給大家分享一種通信協議(MAVLink)在應用編程中的編程原理和思路
    發表于 03-08 12:45 ?888次閱讀
    MAVLink在應用編程中的編程原理和<b class='flag-5'>思路</b>

    AEB是一種汽車主動安全技術,主要由哪3大模塊構成?

    AEB是一種汽車主動安全技術,主要由哪3大模塊構成
    發表于 02-20 06:06

    Spring Boot和飛騰派融合構建的農業物聯網系統-改進自適應加權融合算法

    提出一種自適應加權融合算法由于自適應加權融合算法。加權融合算法原理圖如下圖所示: 1 所示為加權融合算法原理圖 其中Xi(i=1,2,…
    發表于 01-06 12:18

    一種面向標識公共遞歸解析節點的數據安全加固策略

    摘要 :為解決工業互聯網標識解析體系公共遞歸解析節點信息透明、缺乏隱私數據保護和身份權限管理等問題,提出了一種面向標識公共遞歸解析節點的數據安全加固策略。通過設計加密機制及細粒度權限查驗機制,實現了標識解析二級節點的編碼注冊和解析服務的
    的頭像 發表于 12-26 11:27 ?676次閱讀
    <b class='flag-5'>一種</b>面向標識公共遞歸解析節點的數據<b class='flag-5'>安全</b>加固策略
    主站蜘蛛池模板: freevideoshd| 儿子你得太大了慢点插| 国产亚洲欧美在线中文BT天堂网 | 好吊妞国产欧美日韩视频| 男女夜晚在爽视频免费观看| 亚洲人成在线观看一区二区| 成人在线视频播放| 国产成人精品综合在线观看| 无码中文字幕av免费放| 国产成人综合视频| 少妇一夜未归暴露妓女身份| 大胸美女被cao哭| 十分钟在线观看免费视频高清WWW| wankz tv videos国产| 欧洲精品一区二区不卡观看| xxxx69动漫| 亚洲2017久无码| 久久99影院| 在线伦理电影网| 九九在线免费视频| 一级毛片全部免| 久久日韩精品无码一区| 超碰免费视频公开97| 天堂网久久| 久久香蕉国产线看观看| 97蜜桃123| 忘忧草日本在线WWW日本| 精品亚洲一区二区在线播放| 中国特级黄色大片| 欧美日韩午夜群交多人轮换| 国产v综合v亚洲欧美大片| 亚洲免费综合色视频| 棉袜足j吐奶视频| 国产精品成人啪精品视频免费观看| 永久免费的无码中文字幕| 日韩免费一级毛片| 饥渴的40岁熟妇完整版在线| 97资源站超碰在线视频| 亚洲成A人片在线观看中文L| 欧美一区二区VA毛片视频| 九九在线精品视频|