e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

数字化经济背景下的三大工控安全场景应用实践

2024/2/8    来源:威努特工控安全    作者:金洁      
关键字:数字化经济  工控安全应用场景实践  

引言

       党的二十大报告指出:“坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。从工业制造到工业“智造”,数字经济和实体经济的深度融合正推动传统产业加快转型升级,催生新产业、新业态、新模式,积极建设现代化产业体系,为构建新发展格局和推动经济高质量发展提供有力支撑。
 

       新形势下加强工业应用场景开发,利用数字技术对制造业研发、设计、生产、销售等全流程、全方位、全链条的改造,赋能实体经济升级,从而推动产业链的各环节加速实现数字化转型,提高制造业要素资源供给体系和产品质量。随着制造业网络化、智能化发展进程,不断迭代的智能工厂、数字化车间、工业互联网等新技术应用,对工控安全防护深入工业场景有了更高的要求。


场景深化应用的必要性


       随着数实深度融合,新场景新应用不断涌现,使得各个行业和领域都能够进行更为深入和全面的数字化转型。产线柔性制造、智能排产调度、关键工艺智能调优、智能机器协同作业、工业装备智能集成协同控制、工业装备远程实时控制、工业IOT边缘智能协同、能效智能调度管控等新场景应用,无不体现对工业现场生产工艺的全流程精细化分析、决策与管理,对行业工况运作机理深度剖析及应用。

       在传统的安全防护领域,很难对不同业务场景、不同生产工艺的多套工控系统进行全面的、场景化的安全防护管理,经常出现被忽略的设备漏洞和安全事故。而“数实融合”时代下的场景深化应用在提升产业转型升级的同时,对工控安全防护的场景需求也有所提升,工控安全需要具备大规模、轻量化、全方位分析的能力,实现多场景、多维度的安全防护。以下就工控安全的典型应用介绍工控安全深化场景应用实践安全防护。


场景深化应用一 “贴合”现场工控主机安全防护


       工控主机在不同行业的不同应用场景都承载着人机交互的桥梁作用,承担着数据采集、处理、控制和监视等工作,是工业场景下不可或缺的一环。面对“数实融合”时代下多场景、大批量、多机台设备的防护需求背景下,需要一套切实可行的贴合实际工业应用场景的主机安全防护解决方案。


工业现场工控主机数量繁多的远程运维场景


场景再现:

       工业现场工控主机数量繁多,业主需要面对数十条以上的生产线、乃至几千台工控主机的管理工作,单台工控主机的白名单建立需要进行恶意代码查杀、主机防护软件部署、白名单扫描、业务认证等复杂且周期较久的实施过程。

应用诉求:

       面对大批量的工控主机,怎么针对性的对不同生产工艺的各个工序段的工控主机去设置白名单防护策略,在对工控主机完成白名单建立后,怎么降低实施维护的复杂程度同时保障工控主机精准化、场景化的安全防护?

 

工控主机卫士-远程运维场景化管理

图1 工工控主机卫士-远程运维场景化管理


方案策略:

       在进行恶意代码查杀并结合现场业务做相关处置后,对上述场景下大批量的工控主机建立可信应用程序白名单,威努特工控主机卫士提供远程推送、全策略下发、场景化策略管理、远程升级、远程卸载等一系列维护管理功能,有效帮助工业企业用户智能化的管理工控主机,极大提升工控主机的管理效率。并且为跟进运维过程的执行情况,威努特工控主机卫士支持对业务系统的更新进行工单创建、工单任务下发、工单执行监测、工单结果反馈等运维处置过程的闭环管理。


工业现场工艺改造或业务升级场景


场景再现:

       生产现场根据工控主机运行的业务系统建立应用程序白名单,持续性保护可信应用的稳定运行,当出现工艺改造或业务升级或业务系统应用程序更新时,需要对业务系统的执行文件或工程运行文件进行更新,相应的工控主机应用程序白名单也需要升级更新。

应用诉求:

       有没有一种好的方式仅针对更新的应用进行更新,与更新前的白名单快速、高效、安全地融合?


2

图2 融合OT&IT安全检测能力的工控安全监测与审计功能全景图


方案策略:

       面对到此种实际场景,威努特研发出工控主机卫士的安全应用商店功能,对需要更新升级的组态软件、生产业务软件、应用程序上传至安全管理中心进行病毒检查,将属性和威胁信息标记至应用程序;工控主机卫士检测到可信的标记后,自动将应用程序更新至白名单、实现可信应用的快速上线。通过应用商店做到仅针对特定应用开放安装权限,保障最小范围的白名单变动,实现应用程序白名单安全、高效、快速的更新。

       工控主机卫士应用商店的功能应用在保障工控主机安全的同时,通过安全管理中心病毒检查及标记动作以及对工控主机升级权限的管控,也解决了业主对业务系统厂商的系统更新、升级运维的过程跟踪问题,知道厂商在什么时间、什么地点对工控主机做了什么业务升级或维护动作。


场景深化应用二  “懂”现场生产工艺的安全防护

场景再现:

       工业生产现场工控系统网络基于工业协议交互,目前在对应的不同网络边界处部署通用工业防火墙,通过工业防火墙基于ACL访问控制技术建立系统间的网络连接白名单和基于工业协议深度解析技术建立工业协议白名单实现对工业协议做到值域级解析控制能力,仅能满足工控系统交互所涉及的IP、MAC、服务、寄存器地址指令动作等多个维度的基础安全访问控制策略,只能做到测点数据的值域级控制防护。但是测点数据交互的时序准确性、交互逻辑合理性无法得知、无法判定测点数据在合法的范围内业务逻辑是否合理。

应用诉求:

       如何更好的保障工控系统间智能化协作的时序逻辑、生产节拍不被恶意利用操作而影响生产业务,有没有一款“懂”现场生产工艺、“懂”场景深化应用工况、“懂”生产时序节拍的边界安全防护设备,智能化的满足“数实融合”时代不同场景应用的边界安全防护需求?

 

“懂”生产工艺的工业防火墙

图3 “懂”生产工艺的工业防火墙


方案策略:

       威努特从安全防护的角度,保证工控系统间合理的正常交互,结合生产工况,考虑数据交互的工业协议指令周期、时序逻辑等多个角度对生产工艺行为逻辑是否规范合理,通过工业防火墙建立基于指令周期和时序逻辑的业务工艺白名单,深入具体生产场景工况建立符合生产现场的生产节拍或实际工况的工艺行为基线模型,对工业协议交互的时序逻辑、周期、频率等进行工艺异常检测,发现隐匿在合法指令中的异常工艺行为,从而消除工控系统因序列攻击或用户的误操作产生的危害,保障工控系统有序、合理、智能地协作运行。


场景深化应用三 “看见”生产网的安全威胁


场景再现:

       工业互联网对生产网、企业信息网、互联网以及物联网的打通,企业将会面临来自互联网的安全威胁、生产网内业务链路流量不明确、业务故障难以定位、生产工况逻辑异常、恶意操作指令、高危端口恶意流量传播等安全问题,整个生产网内未部署工业监测审计类产品或部署传统工业审计产品仅满足部分基础安全需求,无法更深层次的进行业务链路流量溯源、将安全与网络综合分析。

应用诉求:

       从企业侧的角度出发,需要有一张符合企业现状的网络全景图,一目了然的呈现企业网络状态可视化,最细粒度监控当前工业网络信息和对当前流量进行闭环全流程分析,做到精准业务定位。


融合OT&IT安全检测能力的工控安全监测与审计功能全景图

图4 融合OT&IT安全检测能力的工控安全监测与审计功能全景图


方案策略:

       威努特工控安全监测与审计系统通过在搭载自主研发的工控协议深度数据包解析引擎的基础上,融合网络协议解析引擎、互联网协议解析引擎、IPS安全检测引擎等,实现对生产网内的工业流量、网络流量、互联网流量进行全量流量实时应用识别、多维度分析,对安全设备流量复核完成威胁攻击的溯源取证,提供链路黑管可视化的全链路监控能力和网络性能管理的故障分析定位能力。满足工业互联网场景下的生产网安全可视化需要,协助企业生产网网络全景图的绘制。


结语


       在“数实融合”时代,随着工业场景的应用深入,工控安全防护场景化应用的要求也越来越高,需要工控安全在现有主流的工控安全技术上持续性的提升,并且将技术应用落入到贴合工业实际场景,与工业控制系统、物联网技术、数据分析技术等相结合,在不同领域进行深入交互和融合,构建全面的工业智能安全体系,为企业提供更加全面的安全保障。
责任编辑:李静怡
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并已尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
相关资料
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐