我的位置 首页  >  新闻动态  >  国内新闻

工业控制信息系统未来方向:IT-OT融合!

来源:科技成果转化中心时间:2018-07-05
      

随着攻击者越来越把工业控制信息系统作为关注目标,IT和OT必须共同努力面对有可能面临的安全威胁。在等级保护工作中,我们迎来的2.0升级已经变成一个体系,其中基本要求标准的第5部分,就是专门讲工业控制系统安全扩展要求,也就是工业控制信息系统,已经纳入网络安全等级保护,并且对其有专门适用的测评方法与测评手段。伴随着我国工业制造技术的升级,未来信息化必然不断助推工业4.0发展,信息安全必然更加凸显。而传统工业控制系统使用场合,IT与OT之间总存在着不可逾越的隔阂。今天看似旧话重提,其实还是一个不得不面对的新问题,那就是IT-OT如何更好合作参与信息安全和生活生产中来,共同推进生产与信息安全工作,最终找到一个完美的平衡点。当然,这些议题国内外都在探讨阶段,故我们的一些知识,或许不是非常系统,不过对于新事物进行讨探讨与研究,一定是要怀着积极的心态。

研究指出制造业工业控制系统是最常见的目标。德勤去年底的一份报告发现,在过去17年的12个月里,有39%的制造商工业控制系统发生了网络事件,其中38%网络事件,每次出现造成100万到1000万美元的损失。工业部门的高管们正在询问首席信息官是首席信息安全官们有关风险管理的问题,这些问题从来没有被问及过。例如:攻击者是否绕过我们的防御?对我们适用的风险是什么?他们有什么样的影响?

这些问题IT方面的信息管理人员很难回答,因为你不能保护你不了解的东西。大多数工业组织的首席信息官首席信息安全官员对其运营技术(OT)环境并没有太多的了解。他们在IT领域拥有专业知识,包括构成这个动态环境的网络,服务器,端点和应用程序,主要侧重于保护信息。而工业控制系统,重点保护工业系统的可用性,服务于工业生产。

与IT不同,OT环境中的技术是专门用于监视和控制物理过程和设备的。这些环境配置往往是相对静态的,除非发生故障或操作参数的变化是必要的,否则配置不会更改。这意味着这些设备和这个网络通常可能保持持续数十年,更新换代可能比IT的三到五年的时间要长几代。此外,在OT工作的人员的主要关注点是保持正常运行,并确保产出符合设计规格,并按计划交付。

随着恶意行为者越来越关注制造业和其他工业目标,IT和OT必须共同努力,以更好地保护业务。但是将传统的IT安全方法直接应用于工业系统业务的OT方面,并不一定能很好地转化。作为一名安全从业人员,需要考虑的一个基本问题是,如何在运营领域获得你需要的可见性和影响力,以解决你的领导层所提出的关于IT在工业信息化过程中支持OT的问题?


根据国外的专题文章,我们总结以下三点供大家一起探讨

1.与OT协作,根据更广泛的安全战略和目标,为运营领域创建量身定制的安全计划。从一开始,就该想到IT和OT环境之间存在的差异,然后接受这样的现实:即使IT方面你做的很成功,也不能把IT在方面的经验,直接转化成OT。您需要综合考虑总体安全目标,然后与OT通力合作制定专门针对该领域的信息安全计划。通过在企业范围内包含OT安全的计划,可以优先考虑投资以符合业务部门目标,而不是IT驱动因素。

2.围绕网络安全建立一个共同的术语表和参考框架。这意味着要考虑IT安全人员所热衷的事情(例如,威胁和漏洞),不能将其转化为运营领域的担忧(例如,停机时间和质量受损),以显示正确的安全投入如何能够真正改善运营成果。可以降低不安全OT事件的可能性,以及采取保护措施建立共同安全基础。

3.采取一些近期的安全措施,获得短期可见利益。使用您共同创建的OT安全计划,通过合作伙伴关系来识别和实施一些当前未实现能够显着改善环境的安全保护措施,同时不会对操作造成负面影响。一些可以支持关键业务部门目标短期胜利,可以帮助建立初步信任。

最终,IT - OT融合的目标是通过有效的网络保护使OT方面更具弹性,并为高级管理人员提供信心。通过展示使用一系列主动的方法,尽可能地改善OT安全性,同时满足业务优先级,更有可能获得所需的投入。这些投入将允许实施与企业组织的预期业务成果相一致的长期战略,并大大增加OT环境的安全状况。2016年4月6日国务院总理李克强主持召开国务院常务会议,会议通过了《装备制造业标准化和质量提升规划》,要求对接《中国制造2025》。“中国制造2025”已经上路,而生产制造业的全面升级,必然与网络信息系统结合更加紧密,伴随着新技术的融合,传统的系统必然会出现巨大革新。此时,需要我们调整思维,不能固守过去安全思维观念,只有这样才能享受技术革新带来的红利过程中,更好的保护好我们工业控制系统,服务“中国制造2025”宏伟目标。要具有大格局,服务社会、服务人民,这是每一个公民应当具有的一种新时代素质。

鼎信,通过在网络安全等级测评工作中,不断积累提升的一家上升型企业。在持续不断取的等保方面的成绩过程中,现在开辟信息安全服务,鼎信期待为广大的新老朋友提供更加卓有成效的服务。我们期待与您一同,为我国信息安全事业共同进步。鼎信,欢迎您的来电、来函,或与我们的微信公众号运营人员取的联系。从你的来电开始,让我们展开真诚而全面的信息安全方面的合作。

……往期也精彩……

欢迎关注,感谢转发,留言探讨






信息安全的概念

访问控制模型之自主访问控制模型

访问控制模型之强制访问控制模型

访问控制模型之基于角色的访问控制模型

一起简单了解美国TCSEC分类及分级

我公司是经由河南省公安厅推荐、报公安部批准、授权的第三方信息安全等级测评机构,专业提供信息安全等级测评、信息安全风险评估、信息安全体系建设咨询、信息系统安全监理、渗透测试及信息安全培训等服务。

河南省鼎信信息安全等级测评有限公司

地址:郑州市金水区东风路与花园路交叉口向西200米路南世玺中心4号楼502-503室
电话: 0371-55958679/80/81   

传真:0371-55958680 

       (科技成果转化中心供稿)