基于雲的SCADA系統的必須部署适當的框架和網絡安全措施,以幫助基于雲的監控和數據采集(SCADA)系統預防網絡攻擊。
基于雲的監控和數據采集(SCADA)系統,具有更大的靈活性、可擴展性和确定性。它還能夠大幅減少資本支出,提供可預測的成本,加快實施,并在增加或更改資産時快速适應變化。作為一種更高效的部署模型,基于雲的SCADA系統可以降低很多行業的進入壁壘。
使用基于雲的SCADA系統,無需控制或備份中心。用戶可以利用其首選服務提供商的雲基礎架構,從資本支出模式轉變為運營支出模式。
以往周期為8 至10 個月的SCADA 系統項目,現在可以縮短到幾周。用戶可以從較少的資産開始,并按需增加或移除。此外,軟件版本可以始終保持最新狀态。在行業中,收益不斷得到驗證。例如,加拿大一家原油和天然氣勘探和生産公司的項目,利用基于雲的SCADA 系統,在訂單簽署後一個月成功将300 多口油井運營上線。
工業控制系統面臨的安全隐患基于雲的SCADA 系統提供了一種可靠、安全的方法。現場資源和專業知識,可以通過遠程支持、持續監控和服務提供商提供的自動更新來補充。在許多方面,通訊的設計與早期SCADA 系統中考慮的内容類似,但現在,更重要的是需要一個強大的網絡安全設計。
圖 1 :當設施具有多個接入點時容易産生多個漏洞。本文圖片來源:霍尼韋爾
這些接入點的數量以及缺乏有效的中央監督和控制容易導緻各種問題,包括:
資産和事件的部分數據可用性;
沒有适當的強化;
沒有适當的監測,也沒有管理;
沒有圍繞網絡安全的适當規劃和問責。
企業可以相信通過這些接入點建立和管理連接的人員是以安全的方式這樣做的,但這是一種不應該做出的假設。
随着連接工業物聯網設備數量的增加,此問題隻會變得更突出。此外,越來越需要先進的大數據分析,以便從生成的海量數據中獲得價值,并将其轉化為可操作的信息。這些分析功能可布置在設施内或基于雲的設備上,需要安全的數據傳輸通道(圖 2)。
集中式網絡安全
基于雲的SCADA 系統的關鍵是雲的安全——通過基于雲的安全中心和通信中心來實現安全集中化(圖 3)。
圖 3 :安全雲系統架構的示例
該安全中心,可以對連接進行身份驗證,在允許訪問通信服務器之前确保它們的有效性。同時,通信服務器使用位于每個工廠或站點的虛拟安全引擎(VSE)進行身份驗證。虛拟安全引擎還可以從遠程站點啟動與通信服務器的連接,并且可以自動在指定的時間間隔或時間進行連接,這樣服務器就不必一直保持連接。
來自這些工廠或站點的所有通信都通過安全通道,使用443 端口進行傳輸層安全性加密,并且可以對所有遠程連接強制執行防火牆規則。這提供了一種分布式架構,其中包含了從運營到遠程站點間的安全通道。
來自工廠或站點的通信,都是通過安全通道進行的,而通信服務器則受到防火牆的保護。但是,如果需要向下推送修補程序或更新,安全連接也可用于給技術人員提供遠程訪問權限。
這種集中式網絡安全方法,使運營能夠定義、自動化和監控整個SCADA 系統環境中的安全策略,從而提供更高的可見性、可靠性和合規性。企業可以集中定義整個工廠的策略,自信地部署它們,并自動執行和監視。它确保所有遠程現場資産都能獲得運營中心的安全保護。
結合自上而下的安全管理平台,此體系結構可提供強大的工業控制系統安全性,并遵循NIST 網絡安全框架。此框架定義了行業标準和最佳實踐,以幫助組織管理網絡安全風險。将集中控制與安全管理平台相結合,使企業能夠在所有站點上滿足這些标準,保持一緻性(圖 4)。
圖 4 :符合NIST 網絡安全框架的合規性。
現有的手動安全過程,如打補丁,不能很好地擴展。基于雲的SCADA 系統可以通過自動化來集中實現這些功能,同時為整個企業的網絡安全帶來一緻性、可見性和控制能力。
基于雲的SCADA系統帶來了巨大的優勢,但對安全性的擔憂,可能會導緻企業無法堅持實施到底。有了合适的架構和網絡安全,企業可以享受部署雲所帶來的好處,同時最大限度地降低網絡攻擊的風險。
關鍵概念:
■ 識别使用基于雲的SCADA系統的潛在漏洞。
■ 如何通過了解接入點最大限度地減少網絡安全風險。
思考一下:
基于雲的SCADA 系統能否減少網絡攻擊足迹?
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!