过去几年中,网络安全毫无疑问地成为工业控制系统最高关注点2017年骨灰攻击广度深度引导制造业、公用事业公司、油气公司、采矿等从所关注问题分解为行动 实现工业网络安全
实现工业网络有效安全需要什么?详解2017年中网络安全报告Cisco发布工业客户在开始这项任务时面临两大挑战首先是工业资产缺乏可见度,其次是IT与操作技术团队摩擦引起的操作挑战
工业环境缺乏可见度问题不是什么秘密多数用户根本不知道与网络连接的工业资产的全部范围。缺乏可见度从可用性角度来说是一个大问题-因为OT需要更长时间根基机器故障由通信问题引起-当问题涉及到网络安全时问题具有不同的维度。安全策略定义完全基于网络属性,如IP和MAC地址作为标识符是挑战性工作企业IT世界通过安全平台剖析手机、平板电脑、笔记本电脑、打印机等企业资产解决了这一问题获取身份识别属性像设备类型、制作模型、销售商等,并集成目录和域系统获取上下文信息表示通信流中“who”和“when”方面更高层次特征和上下文可见度大大简化安全政策定义相形之下,ICS环境充斥着数不胜数的设备运行数不胜数的控制协议,而这些协议与典型安全平台格格不入。这一问题导致缺乏可见度,加之ICS环境端点数比企业环境高级数令工业网络定义安全政策极具挑战性
电工与OT摩擦常误定性为控制问题IT或OT拥有ICS安全现实中,这与控制无关,但其实是一个相互依存问题。多数行业客户集中IT组负责支持分布广泛的ICS网络,如工厂、电站、油气田、矿井等分布式工厂网络都由专门的现场跨功能控制/网络OT团队支持多数OT团队快速提升IT网络技能,程序网络级实施安全的任何尝试都要求集中IT团队部署安全基础设施并维护安全策略本地OT团队依赖远程IT团队修改网络安全策略以适应工业端点和日常操作所需控制系统增加、移动和修改部门间协调无法实时实现,控制团队经常修改控制系统,造成IT设定的违反安全政策行为,导致停机和对生产产生不可接受的影响。网络安全所有制上产生的摩擦 实际上是由本地OT团队自食其力 维护日常作业所驱动
本地团队缺乏网络安全技巧阻塞推广,
解决方案取决于两个因素-可见度自动化
西斯科集成工业网络主管并Cisco身份服务引擎平台使用sgri基础设施提供这种解决办法
IND是一个工业网络管理系统,旨在满足OT人员管理工业流程网络的需要IND建于工业协议栈中,能够发现工业端点,如控制器、IO、HMI驱动器等可视化工业网络和控制器图通过提供可见性工业资产归ISE,全片现有Cisco差分安全能力,如可缩放集团ACL分割法、可缩放集团防火规则、上下文宿主组等从企业空间实现工业网络相关
通过IND与ISE整合,我们能够创建独特的价值建议,IT能够管理安全基础设施并定义工业网络安全策略,而OT控制工业资产的可见度并提供厂底操作上下文
数例OT人员执行IT定义策略
- 动态网络分割
能力分割工业网络,只有某些资产才能相互通信使用IND,OT人员可点击对资产应用策略
- 即时远程存取
OT人员可允许机器搭建者按需远程访问OT人员使用IND修改资产属性标签允许远程访问特定资产
- 流基异常检测
资产显示可疑流量模式时,IND可直接与可见度工具通信,提供可疑资产详细信息
更多细节说明Cisco使用IND和ISE视图网络策略转换可见度和意向
使用这个框架,OT不仅能播种安全平台并识别工业资产,而且他们可以利用IND综合图处理网络表达意图.OT用户通过分组和标签使用IND用户界面,可信号意向超出pxGrid动态选择IT预定义ISE安全策略运行时间自动化选择安全策略消除本地OT团队对远程IT团队的依存性以适应变化并使他们能够按自己的操作进度运行安全厂楼层这样一个框架允许IT专家拥有安全基础设施并维护安全工业网络,同时通过赋予OT人员表达操作意图并自动让系统选择适当的IT定义安全策略的能力而无需网络或安全技能,将控制归回OT人员手中
来访问我们大厅6.0,站台#G30汉诺弗梅塞自2018年4月23-27日观察所有使用案例
可多学演示预播博客.
连接CISCO