思科互联工厂未来工厂的整体安全性.pdfVIP

思科互联工厂： 未来工厂的整体安全性 思科制造白皮书 全球制造商利用思科互联工厂安全解决方案保护关键任务工业运营的安全 制造商面临的威胁飙升 对于世界领先的制造商而言，网络安全比以往更加重要，而他们如此看重网络安全也是有充分理由的。尽 管近年来网络安全有了突飞猛进的发展，但制造和工业运营仍是“易受攻击的孤岛”，往往会被危险分子 利用。传统工业控制系统中有很多系统在创建时并未考虑安全性，因而特别容易遭受网络威胁。而且，由 于这些系统与企业 IT 技术融合和集成，新的攻击手段层出不穷。最近的戴尔安全年度威胁报告指出，“使 用老化的工业机械基础设施会带来巨大的安全挑战，并且这种挑战在未来数月和数年中将持续加剧。”1 今天，制造商们需要更先进的技术来掌控新的 IoT 格局，跨全球网络连接数百万台机器设备。然而，许多 工厂和 OT 经理对于实施可能影响生产计划的措施十分谨慎，因此不愿转变现有的分离式网络。此外， 图 1. 制造商面临的威胁状况演变图 来自云服务和互联网的威胁 企业网络 互联网 外泄攻击 云系统 来自受感染 HMI 的威胁 DMZ 经由远程访问 产生的威胁 网络 服务器 y 监控网络 SCADA 来自未授权控制的威胁 不受控制的访问 记录者 VPN 控制 系统网络 HMI 记录者 远程设备 现场网络 IED/PLC IED/PLC 来自未授权控制的威胁 1/learn/us/en/ph/press-releases/2015-04-13-dell-annual-threat-report 1 ? 2016 思科和/或其附属公司。保留所有权利。 白皮书 图 2. 如果网络安全问题导致全数字化计划推迟实施，增长潜力和市场地位将受到重创 制造业 全数字化使用案例 预测性维护（分析） 质量和缺陷控制自动化 能源管理 互联产品维护 装配线转换 1-2 年 采用滞后 2-3 年 3–5 年 如果网络安全问题导致全数字化延迟实施， 您可能需要 5 年时间实现价值并赶上竞争 对手。 远程维护 可视化工厂 采用时间 来源：思科，2015 年。 管理者忙于监督合作伙伴和供应商对工厂车间的访问（通常涵盖多个工厂），这为危险分子的侵入制造了 更多可乘之机。事实上，人为错误是导致安全漏洞的最重要原因之一。McAfee 指出，“攻击者往往会瞄准 那些能轻易被侵入的系统，而工业自动化和控制系统 (IACS) 网络正好是一个有很多目标可让攻击者下手 的环境。”2 代价高昂的漏洞 企业及工业运营者都很清楚安全漏洞造成的危害。它涵盖从物理损害和环境危害到无形影响（如品牌声誉 和客户信任）的方方面面。在工业环境中，安全漏洞造成的经济损失尤其严重，一次攻击可能导致损失数 百万美元的故障停机、生产计划中断以及造价昂贵的机器设备损坏。在最严重的情况下，工人的健康和 / 或安全也可能受到威胁。 未能应对安全威胁的制造商还不得不面对另一个代价高昂的风险：错失创收和增加市场份额的机会。图?1 显示了?7?个使用案例中网络安全风险和全数字化采用延迟产生的潜在影响，这些将在未来?10?年推动制造 业大部分的“全数字化经济价值”。所有这些使用案例都需要制造商在其运营环境中采用新的全数字化解 决方案。但是，制造商首先必须对他们的集成化 IT 和 OT 网络安全策略有信心。否则，他们将错失全数字 化带来的重要经济价值及其可提升的盈利能力。 由于当今制造商面临的网络威胁日益升级，而且未能及时部署安全解决方案的企业面临真正的竞争劣势， 难怪思科最近对 350 多家企业的调研显示 89% 的企业称他们有专门的高级管理者直接负责安全事务。3 2 /mcafee-labs/is-this-scada-hacking-friday/ 3 /c/m/en_us/offers/sc04/2016-annual-security-report/index.html?KeyCode=001031984 2 ? 2016 思科和/或其附属公司。保留所有权利。 白皮书 整体策略 图 3. 深度防御 为了在新的威胁格局下安全地运营，制造商 需 要 实 施 新 策 略 和 架 构 。通 过 防 火 墙 和 访 问 管理“防护网络边缘”与强有力的 OT 分段 策略一样必要，两者在现今的 ICS 网络中均 普遍缺乏。不过，这只是现今脆弱工业环境 下安全解决方案的一部分，因为在这样的环 境中，威胁可能自工厂内和工厂外而生，也 可能因无意的人为错误所致。实际上，当今 的制造商还需要整合多层独立安全控制（物 理控制、程序控制和电子控制）的“深度防 御”策略。在当今融合 IT 和 OT 网络、云计 算、移动性和 IoT 平台盛行的时代，整体数据 安全保护方法必不可少。 策略 程序和 意识 物理 网络 电脑 应用 设备 随