2021-06-15

侯胜利:解读思科IT-OT融合网络及安全,定义betway体育亚洲版入口基石与价值丨betway体育亚洲版入口“咖”解

分享:
betway体育亚洲版入口“咖”解.jpg

编辑

侯胜利  betway体育亚洲版入口-必威体育理事、思科大中华区副总裁、CTO

凌   军  思科资深业务架构师

张丹峰  思科高级系统架构师


01 摘要与前言

传统的生产制造领域是OT集中领域,从必威体育自动化的角度,与传统企业IT互相割裂,形成各自孤岛。而当今世界,行业与地理界限逐渐打破与消失,行业的融合在加剧与深化。这要求必威体育企业的价值链从研发、生产、物流、销售、售后服务等环节要实现数据的打通,实现数字化的价值。因此,从生产制造的源头,就要充分发掘必威体育资产、必威体育流程、必威体育数据的价值。为了获得更大的必威体育数据价值,必须实现数据驱动必威体育流程和效率的优化。而传统OT往往脱离IT部门,独立建设必威体育基础架构,并习惯性采用物理隔离的方法实现必威体育网络安全。很显然,在数字驱动的业务述求下,这已经不再适用。

千里之行始于足下,这是思科一贯的风格。大家将从必威体育中容易被忽略的必威体育网络基础开始,进而延伸到必威体育网络安全;并涉及必威体育资产可视化、必威体育资产管理、必威体育网络自动化运营等多个维度,帮助企业IT人员、OT人员一起,打造必威体育企业的数字化基础与保障。这也完全与betway体育亚洲版入口-必威体育AII的理念一致:在betway体育亚洲版入口领域,网络是基础,安全是保障,平台是核心。

作为IT行业的创新及领先企业,思科始终与betway体育亚洲版入口产业界同仁一起,与时俱进、共同发展;联合开发与合作一系列创新方案,业务场景,实现企业数字化转型,实现业务模式的创新与腾飞。


02 网络融合:必威体育网络互联

互联是必威体育企业实现数字化转型的基础。

必威体育企业除了需要互联办公人员和业务应用系统外,还需要互联生产现场如车间内的PLC、传感器、数控机床、机器人、AGV等设备。此外,利用IT、OT技术的融合互通,必威体育企业进一步读取和分析相关数据,通过优化流程、提高效率等方式赋能数字化转型。

基于普渡参考模型,思科推出了融合必威体育网络架构(CPwE),结合先进的数字化网络架构(DNA),不仅实现了制造企业的互联互通,还通过SDN的方式为必威体育网络赋予了业务编排、自动化部署、策略调整、微分段隔离和智能分析等能力。

1623725866191513.png

在融合必威体育网络架构(CPwE)中,思科通过一系列必威体育网络产品,如:必威体育以太网交换机、必威体育无线、必威体育 IoT 网关、必威体育路由器、必威体育防火墙等实现了必威体育网络的互联。通过对标准必威体育协议如Profinet、Ethernet/IP的支撑,以及采用相应的环网技术如MRP、DLR等,提供安全、可靠的现场必威体育网络。必威体育无线网络将车间内机器、数据和人的通讯灵活性提升到新的高度,使得随时随地的无线访问和控制成为可能,大大提高了车间工作效率。WiFi6的技术和产品进一步提升了传输带宽并降低延迟,这有助于车间内采用视频及AR/VR技术进行的协作和远程辅助运维。

利用数字化网络架构(DNA),必威体育网络实现了即插即用和自动化的设计及调整,宏分段和微分段等技术使制造企业可以从产线和设备等角度进行安全细化隔离。必威体育网络特别是必威体育无线网络的运维和排障一直都是困扰运维人员的难题,一个简单的必威体育无线平板连接,其故障可能出现在多个方面:无线信号覆盖、干扰、漫游、接入认证、IP地址获取、域名解析等等。思科DNA中的智能分析模块帮助快速进行故障定位并给出有效建议,从而大大缩短了排障时间并能够实现主动运维。

作为互联企业的重要部分,思科企业级协作架构实现了企业内各部门人员之间、企业与上下游供应链之间、现场人员与远程专家之间的协同互联,这为提高管理效率、降低运营风险、确保连续生产并促进产销协同都提供了很好的平台和工具。


1623725877762580.png

思科必威体育以太网交换机系列,支撑Profinet, Ethernet/IP,Modbus, CC-Link等必威体育协议


03安全融合——必威体育资产可视化及工控威胁侦测

 2021年5月,美国最大输油管道因为勒索App攻击,被迫关闭。这表明传统互联网领域犯罪渗透到能源系统基础设施,对传统工控系统进行攻击。而大量的必威体育领域的基础设施,工控系统面对虎视眈眈的黑客,又显得那么脆弱与不堪一击。因此,必威体育安全是betway体育亚洲版入口的保障,这点毋庸置疑。

IT-OT人员携手

为共同实现业务目标,IT 团队需要与 OT 团队合作,以确保他们深刻理解对方,理解需要保护的对象,以及如何在不中断生产的情况下保护重要必威体育资产。为了使 IT/OT 协作取得成功,双方必须共同行动。

1623725886907813.png


工控安全框架与阶段

为保障必威体育安全,大家建议多阶段、多步骤、IT-OT联合共同实现。其中多阶段是三部曲:最低安全、基础安全、全面安全。而多步骤则分成四部:发现、分段、侦测、响应。彼此交叉关联,有重叠区域。

1623725972802934.png

罗马不是一天建成的。要全面实现基于零信任必威体育安全,从第一步骤“发现”开始就很难,虽然这只是最低安全的组成部分。因为传统IT厂商非常擅长识别各类IT资产设备,对于betway体育亚洲版入口领域或者必威体育自动领域的各类必威体育终端、必威体育资产,往往是这些IT厂商的弱项。而传统必威体育自动化供应商,对于网络安全的积累和工具又不足,这也造成必威体育网络安全防护的脆弱。

思科直面必威体育安全挑战

世界各地的 IT 和 OT 人员都知道思科是互联网和必威体育网络产品的领先供应商。安全专业人士也知道,思科也是一家领先的网络安全企业,拥有广泛全面 IT、云和移动安全解决方案和服务组合。思科最新Cyber Vision必威体育安全解决方案,扩大了思科必威体育安全防护范围,包括OT异常和违规侦测。

思科Cyber Vision可深入了解 OT 资产、必威体育工作流程和 OT 系统中的异常行为。该产品还利用思科 Talos 智能检测安全漏洞、入侵和恶意流量。与其他思科安全产品的深度集成将OT 安全信息整合到必威体育企业的 IT 安全运营中心(SOCs)或者态势感知平台中,以便维护人员能够快速分析和响应 OT 系统威胁。网络安全运维人员还可以使用来自Cyber Vision的 OT 数据加强 IT系统防御,并改善必威体育网络环境。

发现

必威体育网络网络安全框架的第一步骤是识别。该功能不仅涉及识别必威体育物理资产,还涉及构成的数据、人员、设备、系统、功能和设施等。

一个必威体育组织。制定完整的风险管理战略意味着全面了解支撑关键职能的资源,以及相关的网络安全风险。简言之,资产相关信息(Context)就是一切。

保护必威体育网络需要在每个阶段持续看见必威体育网络中的每个必威体育设备:包括从进入必威体育网络的那一刻到它被移除的时间点。这将有助于必威体育企业跟踪安全漏洞、供应商远程访问和已退役的必威体育资产。

发现过程包括建立一个自动化的资产清单,用于识别设备、固件、防病毒App和其他系统因素的制造和型号,以评估资产脆弱性。此步骤还包括一个网络发现过程,以自动化的方式,帮助IT,OT及网络安全运营人员构建全必威体育网络的实时视图。

Cyber Vision各类视图允许 OT 工程师清楚地了解其 OT必威体育网络在不同条件下的运行情况,更好地规划安全性和生产连续性,并与 IT 网络安全团队合作,用相关设备记录关键业务流程。这些举措还有助于 IT/SecOps 团队开发有利于 OT 的程序和蓝图,以更好地保护和保障这些流程。将OT关联上下文信息、业务洞察和常识提交给 IT/SecOps 专家和 SOC分析师,对于实现必威体育网络安全目标至关重要。


1623726013341529.png

思科Cyber Vision展示必威体育资产清单及分组视图


保护

一旦明确围绕网络设备、流程和必威体育资产的统一视图进行可视化,IT/SecOps 和 OT 团队就可以共同努力,制定保护OT 网络的联合战略。制定和实施适当的保障措施,以确保必威体育生产继续平稳、高效地运行。

NIST网络安全框架的保护功能支撑限制或遏制潜在网络安全事件影响的能力。这需要设计一个网络架构,这也是在 ISA99/IEC 62443中的普渡模型中进行了明确定义。

构建此类网络架构的典型操作包括网络分段( network segment),以确保业务关键流程中涉及的设备安全,并防止任何威胁或恶意行为者横向移动在必威体育网络。而思科的微分段技术(SGT)可更加颗粒化隔离威胁,并将威胁检测工作重点放在必威体育网络最关键部分。

配合思科ISA 3000系列必威体育防火墙,将使IT及OT合作创建本地过滤规则,以隔离制造单元,以帮助确保仅授权设备或连接会话可以访问,保护网络免受恶意或有害活动的侵害。此外,这些“ OT感知”防火墙将为原本无法修补、易受攻击的传统必威体育设备提供一层加固与保护。

此外,也可以使用网络访问控制架构(NAC),例如思科身份服务引擎(ISE)来结合必威体育以太网、必威体育防火墙共同实现网络分段。必威体育资产和必威体育网络将轻松地实施必威体育安全访问策略。

更重要的是,OT人员必须定义要应用的策略。他们是最清楚应该禁止哪些通信以及需要哪些通信以避免干扰生产的人。IT与OT人员联手,使用思科Cyber Vision这样的工具来设置此必威体育分组和服务逻辑逻辑,并自动与Cisco ISE共享它,这样IT人员便拥有配置适当的安全策略所需的信息,并最终通过网络控制器将信息下发给ISA 3000及必威体育以太网交换机。

1623726021818741.png

思科必威体育防火墙ISA 3000,直接部署于必威体育生产单元


侦测

NIST网络安全框架的“侦测”功能涉及到识别必威体育网络安全事件。随着在必威体育网络中部署越来越多的智能终端,检测必威体育网络中的网络安全威胁变得越来越重要。

通过思科Cyber Vision,解码必威体育网络流量并确定此类流量中命令的完整性和合法性来发现过程异常。必威体育企业需要一种能够理解这些必威体育环境中使用的协议并了解OT流程、环境、资产和协议正确使用的解决方案,也就是Cyber Vision。

1623726029875091.png

Cyber Vision展示一台PLC设备信息及威胁沟通


IT和OT人员必须共同努力,确定网络异常行为。这包括定义正常的必威体育流程,了解异常的潜在影响以设置关键级别,以及在IT和OT团队之间进行有效的沟通,以使SecOps不会在OT维护期间被误报淹没。

在日常活动中,企业的各方面将需要不同种类的数据和见解,用于评估,调查和响应OT安全事件。OT团队将监视过程修改和设备变更。IT / SecOps团队将监视漏洞和入侵事件。SOC经理将需要详细的资产信息来简化调查过程和策略配置。


1623726037193385.png

思科Cyber Vision威胁事件驾驶舱视图

04必威体育网络&安全联动——运营自动化

不同于底层的必威体育自动化控制系统,思科通过提供“可视-洞察-行动”的闭环处理,为betway体育亚洲版入口平台的部署、安全策略和运维等实现了基于智能分析的自动化处理,从而实现更高的弹性、敏捷性和安全性。

1623726048332767.png

自动化的第一步需要实现可视,通过识别资产,如PLC、IO模块、上位机、PC终端;网络设备,如必威体育以太网交换机、必威体育无线、IoT网关;流量,如控制指令、网络会话;安全威胁,如系统漏洞、可疑行为等,这为进一步的洞察分析提供了基础。

洞察是一个分析过程,它试图采用机器学习和大数据分析方法,对系统可视的内容进行处理,通过制定策略、建立基线、关联分析等,为进一步的自动化操作提供依据。例如,通过对网络流量和会话的分析,可以侦测到betway体育亚洲版入口平台上的安全威胁。

由于采用面向App定义和一体化集成的架构,根据洞察结果,系统管理人员和运维人员能够非常方便地对互联的必威体育网络平台实现即插即用的自动化上线,服务策略的自动化部署、连接性能的自动化优化、安全威胁的自动化隔离。

betway体育亚洲版入口平台的自动化能力帮助必威体育企业进一步优化了产线的柔性调整、系统性能和端到端安全,从而支撑必威体育企业数字化转型。

编辑概况 

侯胜利_副本.jpg

侯胜利

betway体育亚洲版入口-必威体育理事,思科大中华区副总裁,CTO。超过25年IT行业从业经验,作为技术专家对IT整体网络、企业混合云架构、智能工厂等领域有深入理解并领导团队进行项目实施;作为技术领导,带领大中华团队支撑业务转型,支撑客户数字化转型包括智能工厂,供应链管理等。


1629099851379893.png

凌军

思科资深业务架构师。拥有多年电信, 互联网,betway体育亚洲版入口等领域经验;对企业IT系统基础架构、IT应用系统、OT业务系统、业务流程、物联网技术,必威体育整体架构和行业应用,数字化转型,业务场景等均有涉足。


1629099880559864.png

张丹峰

思科高级系统架构师。超过20年IT行业从业经验,对必威体育网络、IT整体网络、网络安全、数据中心、云计算等领域均有深刻理解和实际项目经验,侧重于针对制造型企业数字化转型提供架构方案支撑。

XML 地图 | Sitemap 地图