侯勝利:解讀思科IT-OT融合網絡及安全,定義工業互聯網基石與價值丨工業互聯網“咖”解
作者
侯勝利 工業互聯網產業聯盟理事、思科大中華區副總裁、CTO
凌 軍 思科資深業務架構師
張丹峰 思科高級系統架構師
01 摘要與前言
傳統的生產制造領域是OT集中領域,從工業自動化的角度,與傳統企業IT互相割裂,形成各自孤島。而當今世界,行業與地理界限逐漸打破與消失,行業的融合在加劇與深化。這要求工業企業的價值鏈從研發、生產、物流、銷售、售后服務等環節要實現數據的打通,實現數字化的價值。因此,從生產制造的源頭,就要充分發掘工業資產、工業流程、工業數據的價值。為了獲得更大的工業數據價值,必須實現數據驅動工業流程和效率的優化。而傳統OT往往脫離IT部門,獨立建設工業基礎架構,并習慣性采用物理隔離的方法實現工業網絡安全。很顯然,在數字驅動的業務述求下,這已經不再適用。
千里之行始于足下,這是思科一貫的風格。我們將從工業中容易被忽略的工業網絡基礎開始,進而延伸到工業網絡安全;并涉及工業資產可視化、工業資產管理、工業網絡自動化運營等多個維度,幫助企業IT人員、OT人員一起,打造工業企業的數字化基礎與保障。這也完全與工業互聯網產業聯盟AII的理念一致:在工業互聯網領域,網絡是基礎,安全是保障,平臺是核心。
作為IT行業的創新及領先企業,思科始終與工業互聯網產業界同仁一起,與時俱進、共同發展;聯合開發與合作一系列創新方案,業務場景,實現企業數字化轉型,實現業務模式的創新與騰飛。
02 網絡融合:工業網絡互聯
互聯是工業企業實現數字化轉型的基礎。
工業企業除了需要互聯辦公人員和業務應用系統外,還需要互聯生產現場如車間內的PLC、傳感器、數控機床、機器人、AGV等設備。此外,利用IT、OT技術的融合互通,工業企業進一步讀取和分析相關數據,通過優化流程、提高效率等方式賦能數字化轉型。
基于普渡參考模型,思科推出了融合工業網絡架構(CPwE),結合先進的數字化網絡架構(DNA),不僅實現了制造企業的互聯互通,還通過SDN的方式為工業網絡賦予了業務編排、自動化部署、策略調整、微分段隔離和智能分析等能力。
在融合工業網絡架構(CPwE)中,思科通過一系列工業網絡產品,如:工業以太網交換機、工業無線、工業 IoT 網關、工業路由器、工業防火墻等實現了工業網絡的互聯。通過對標準工業協議如Profinet、Ethernet/IP的支持,以及采用相應的環網技術如MRP、DLR等,提供安全、可靠的現場工業網絡。工業無線網絡將車間內機器、數據和人的通訊靈活性提升到新的高度,使得隨時隨地的無線訪問和控制成為可能,大大提高了車間工作效率。WiFi6的技術和產品進一步提升了傳輸帶寬并降低延遲,這有助于車間內采用視頻及AR/VR技術進行的協作和遠程輔助運維。
利用數字化網絡架構(DNA),工業網絡實現了即插即用和自動化的設計及調整,宏分段和微分段等技術使制造企業可以從產線和設備等角度進行安全細化隔離。工業網絡特別是工業無線網絡的運維和排障一直都是困擾運維人員的難題,一個簡單的工業無線平板連接,其故障可能出現在多個方面:無線信號覆蓋、干擾、漫游、接入認證、IP地址獲取、域名解析等等。思科DNA中的智能分析模塊幫助快速進行故障定位并給出有效建議,從而大大縮短了排障時間并能夠實現主動運維。
作為互聯企業的重要部分,思科企業級協作架構實現了企業內各部門人員之間、企業與上下游供應鏈之間、現場人員與遠程專家之間的協同互聯,這為提高管理效率、降低運營風險、確保連續生產并促進產銷協同都提供了很好的平臺和工具。
思科工業以太網交換機系列,支持Profinet, Ethernet/IP,Modbus, CC-Link等工業協議
03安全融合——工業資產可視化及工控威脅偵測
2021年5月,美國最大輸油管道因為勒索軟件攻擊,被迫關閉。這表明傳統互聯網領域犯罪滲透到能源系統基礎設施,對傳統工控系統進行攻擊。而大量的工業領域的基礎設施,工控系統面對虎視眈眈的黑客,又顯得那么脆弱與不堪一擊。因此,工業安全是工業互聯網的保障,這點毋庸置疑。
IT-OT人員攜手
為共同實現業務目標,IT 團隊需要與 OT 團隊合作,以確保他們深刻理解對方,理解需要保護的對象,以及如何在不中斷生產的情況下保護重要工業資產。為了使 IT/OT 協作取得成功,雙方必須共同行動。
工控安全框架與階段
為保障工業安全,我們建議多階段、多步驟、IT-OT聯合共同實現。其中多階段是三部曲:最低安全、基礎安全、全面安全。而多步驟則分成四部:發現、分段、偵測、響應。彼此交叉關聯,有重疊區域。
羅馬不是一天建成的。要全面實現基于零信任工業安全,從第一步驟“發現”開始就很難,雖然這只是最低安全的組成部分。因為傳統IT廠商非常擅長識別各類IT資產設備,對于工業互聯網領域或者工業自動領域的各類工業終端、工業資產,往往是這些IT廠商的弱項。而傳統工業自動化供應商,對于網絡安全的積累和工具又不足,這也造成工業網絡安全防護的脆弱。
思科直面工業安全挑戰
世界各地的 IT 和 OT 人員都知道思科是互聯網和工業網絡產品的領先供應商。安全專業人士也知道,思科也是一家領先的網絡安全公司,擁有廣泛全面 IT、云和移動安全解決方案和服務組合。思科最新Cyber Vision工業安全解決方案,擴大了思科工業安全防護范圍,包括OT異常和違規偵測。
思科Cyber Vision可深入了解 OT 資產、工業工作流程和 OT 系統中的異常行為。該產品還利用思科 Talos 智能檢測安全漏洞、入侵和惡意流量。與其他思科安全產品的深度集成將OT 安全信息整合到工業企業的 IT 安全運營中心(SOCs)或者態勢感知平臺中,以便維護人員能夠快速分析和響應 OT 系統威脅。網絡安全運維人員還可以使用來自Cyber Vision的 OT 數據加強 IT系統防御,并改善工業網絡環境。
發現
工業網絡網絡安全框架的第一步驟是識別。該功能不僅涉及識別工業物理資產,還涉及構成的數據、人員、設備、系統、功能和設施等。
一個工業組織。制定完整的風險管理戰略意味著全面了解支持關鍵職能的資源,以及相關的網絡安全風險。簡言之,資產相關信息(Context)就是一切。
保護工業網絡需要在每個階段持續看見工業網絡中的每個工業設備:包括從進入工業網絡的那一刻到它被移除的時間點。這將有助于工業企業跟蹤安全漏洞、供應商遠程訪問和已退役的工業資產。
發現過程包括建立一個自動化的資產清單,用于識別設備、固件、防病毒軟件和其他系統因素的制造和型號,以評估資產脆弱性。此步驟還包括一個網絡發現過程,以自動化的方式,幫助IT,OT及網絡安全運營人員構建全工業網絡的實時視圖。
Cyber Vision各類視圖允許 OT 工程師清楚地了解其 OT工業網絡在不同條件下的運行情況,更好地規劃安全性和生產連續性,并與 IT 網絡安全團隊合作,用相關設備記錄關鍵業務流程。這些舉措還有助于 IT/SecOps 團隊開發有利于 OT 的程序和藍圖,以更好地保護和保障這些流程。將OT關聯上下文信息、業務洞察和知識提交給 IT/SecOps 專家和 SOC分析師,對于實現工業網絡安全目標至關重要。
思科Cyber Vision展示工業資產清單及分組視圖
保護
一旦明確圍繞網絡設備、流程和工業資產的統一視圖進行可視化,IT/SecOps 和 OT 團隊就可以共同努力,制定保護OT 網絡的聯合戰略。制定和實施適當的保障措施,以確保工業生產繼續平穩、高效地運行。
NIST網絡安全框架的保護功能支持限制或遏制潛在網絡安全事件影響的能力。這需要設計一個網絡架構,這也是在 ISA99/IEC 62443中的普渡模型中進行了明確定義。
構建此類網絡架構的典型操作包括網絡分段( network segment),以確保業務關鍵流程中涉及的設備安全,并防止任何威脅或惡意行為者橫向移動在工業網絡。而思科的微分段技術(SGT)可更加顆粒化隔離威脅,并將威脅檢測工作重點放在工業網絡最關鍵部分。
配合思科ISA 3000系列工業防火墻,將使IT及OT合作創建本地過濾規則,以隔離制造單元,以幫助確保僅授權設備或連接會話可以訪問,保護網絡免受惡意或有害活動的侵害。此外,這些“ OT感知”防火墻將為原本無法修補、易受攻擊的傳統工業設備提供一層加固與保護。
此外,也可以使用網絡訪問控制架構(NAC),例如思科身份服務引擎(ISE)來結合工業以太網、工業防火墻共同實現網絡分段。工業資產和工業網絡將輕松地實施工業安全訪問策略。
更重要的是,OT人員必須定義要應用的策略。他們是最清楚應該禁止哪些通信以及需要哪些通信以避免干擾生產的人。IT與OT人員聯手,使用思科Cyber Vision這樣的工具來設置此工業分組和服務邏輯邏輯,并自動與Cisco ISE共享它,這樣IT人員便擁有配置適當的安全策略所需的信息,并最終通過網絡控制器將信息下發給ISA 3000及工業以太網交換機。
思科工業防火墻ISA 3000,直接部署于工業生產單元
偵測
NIST網絡安全框架的“偵測”功能涉及到識別工業網絡安全事件。隨著在工業網絡中部署越來越多的智能終端,檢測工業網絡中的網絡安全威脅變得越來越重要。
通過思科Cyber Vision,解碼工業網絡流量并確定此類流量中命令的完整性和合法性來發現過程異常。工業企業需要一種能夠理解這些工業環境中使用的協議并了解OT流程、環境、資產和協議正確使用的解決方案,也就是Cyber Vision。
Cyber Vision展示一臺PLC設備信息及威脅溝通
IT和OT人員必須共同努力,確定網絡異常行為。這包括定義正常的工業流程,了解異常的潛在影響以設置關鍵級別,以及在IT和OT團隊之間進行有效的溝通,以使SecOps不會在OT維護期間被誤報淹沒。
在日常活動中,企業的各方面將需要不同種類的數據和見解,用于評估,調查和響應OT安全事件。OT團隊將監視過程修改和設備變更。IT / SecOps團隊將監視漏洞和入侵事件。SOC經理將需要詳細的資產信息來簡化調查過程和策略配置。
思科Cyber Vision威脅事件駕駛艙視圖
04工業網絡&安全聯動——運營自動化
不同于底層的工業自動化控制系統,思科通過提供“可視-洞察-行動”的閉環處理,為工業互聯網平臺的部署、安全策略和運維等實現了基于智能分析的自動化處理,從而實現更高的彈性、敏捷性和安全性。
自動化的第一步需要實現可視,通過識別資產,如PLC、IO模塊、上位機、PC終端;網絡設備,如工業以太網交換機、工業無線、IoT網關;流量,如控制指令、網絡會話;安全威脅,如系統漏洞、可疑行為等,這為進一步的洞察分析提供了基礎。
洞察是一個分析過程,它試圖采用機器學習和大數據分析方法,對系統可視的內容進行處理,通過制定策略、建立基線、關聯分析等,為進一步的自動化操作提供依據。例如,通過對網絡流量和會話的分析,可以偵測到工業互聯網平臺上的安全威脅。
由于采用面向軟件定義和一體化集成的架構,根據洞察結果,系統管理人員和運維人員能夠非常方便地對互聯的工業網絡平臺實現即插即用的自動化上線,服務策略的自動化部署、連接性能的自動化優化、安全威脅的自動化隔離。
工業互聯網平臺的自動化能力幫助工業企業進一步優化了產線的柔性調整、系統性能和端到端安全,從而支撐工業企業數字化轉型。
作者簡介
侯勝利
工業互聯網產業聯盟理事,思科大中華區副總裁,CTO。超過25年IT行業從業經驗,作為技術專家對IT整體網絡、企業混合云架構、智能工廠等領域有深入理解并領導團隊進行項目實施;作為技術領導,帶領大中華團隊支持業務轉型,支持客戶數字化轉型包括智能工廠,供應鏈管理等。
凌軍
思科資深業務架構師。擁有多年電信, 互聯網,工業互聯網等領域經驗;對企業IT系統基礎架構、IT應用系統、OT業務系統、業務流程、物聯網技術,工業整體架構和行業應用,數字化轉型,業務場景等均有涉足。
張丹峰
思科高級系統架構師。超過20年IT行業從業經驗,對工業網絡、IT整體網絡、網絡安全、數據中心、云計算等領域均有深刻理解和實際項目經驗,側重于針對制造型企業數字化轉型提供架構方案支持。
AII微信公眾號
AII頭條號