基于云的SCADA系统的必须部署适当的框架和网络安全措施,以帮助基于云的监控和数据采集(SCADA)系统预防网络攻击。
基于云的监控和数据采集(SCADA)系统,具有更大的灵活性、可扩展性和确定性。它还能够大幅减少资本支出,提供可预测的成本,加快实施,并在增加或更改资产时快速适应变化。作为一种更高效的部署模型,基于云的SCADA系统可以降低很多行业的进入壁垒。
使用基于云的SCADA系统,无需控制或备份中心。用户可以利用其首选服务提供商的云基础架构,从资本支出模式转变为运营支出模式。
以往周期为8 至10 个月的SCADA 系统项目,现在可以缩短到几周。用户可以从较少的资产开始,并按需增加或移除。此外,软件版本可以始终保持最新状态。在行业中,收益不断得到验证。例如,加拿大一家原油和天然气勘探和生产公司的项目,利用基于云的SCADA 系统,在订单签署后一个月成功将300 多口油井运营上线。
工业控制系统面临的安全隐患基于云的SCADA 系统提供了一种可靠、安全的方法。现场资源和专业知识,可以通过远程支持、持续监控和服务提供商提供的自动更新来补充。在许多方面,通讯的设计与早期SCADA 系统中考虑的内容类似,但现在,更重要的是需要一个强大的网络安全设计。
图 1 :当设施具有多个接入点时容易产生多个漏洞。本文图片来源:霍尼韦尔
这些接入点的数量以及缺乏有效的中央监督和控制容易导致各种问题,包括:
资产和事件的部分数据可用性;
没有适当的强化;
没有适当的监测,也没有管理;
没有围绕网络安全的适当规划和问责。
企业可以相信通过这些接入点建立和管理连接的人员是以安全的方式这样做的,但这是一种不应该做出的假设。
随着连接工业物联网设备数量的增加,此问题只会变得更突出。此外,越来越需要先进的大数据分析,以便从生成的海量数据中获得价值,并将其转化为可操作的信息。这些分析功能可布置在设施内或基于云的设备上,需要安全的数据传输通道(图 2)。
基于云的SCADA 系统的关键是云的安全——通过基于云的安全中心和通信中心来实现安全集中化(图 3)。
图 3 :安全云系统架构的示例
该安全中心,可以对连接进行身份验证,在允许访问通信服务器之前确保它们的有效性。同时,通信服务器使用位于每个工厂或站点的虚拟安全引擎(VSE)进行身份验证。虚拟安全引擎还可以从远程站点启动与通信服务器的连接,并且可以自动在指定的时间间隔或时间进行连接,这样服务器就不必一直保持连接。
来自这些工厂或站点的所有通信都通过安全通道,使用443 端口进行传输层安全性加密,并且可以对所有远程连接强制执行防火墙规则。这提供了一种分布式架构,其中包含了从运营到远程站点间的安全通道。
来自工厂或站点的通信,都是通过安全通道进行的,而通信服务器则受到防火墙的保护。但是,如果需要向下推送修补程序或更新,安全连接也可用于给技术人员提供远程访问权限。
这种集中式网络安全方法,使运营能够定义、自动化和监控整个SCADA 系统环境中的安全策略,从而提供更高的可见性、可靠性和合规性。企业可以集中定义整个工厂的策略,自信地部署它们,并自动执行和监视。它确保所有远程现场资产都能获得运营中心的安全保护。
结合自上而下的安全管理平台,此体系结构可提供强大的工业控制系统安全性,并遵循NIST 网络安全框架。此框架定义了行业标准和最佳实践,以帮助组织管理网络安全风险。将集中控制与安全管理平台相结合,使企业能够在所有站点上满足这些标准,保持一致性(图 4)。
图 4 :符合NIST 网络安全框架的合规性。
现有的手动安全过程,如打补丁,不能很好地扩展。基于云的SCADA 系统可以通过自动化来集中实现这些功能,同时为整个企业的网络安全带来一致性、可见性和控制能力。
基于云的SCADA系统带来了巨大的优势,但对安全性的担忧,可能会导致企业无法坚持实施到底。有了合适的架构和网络安全,企业可以享受部署云所带来的好处,同时最大限度地降低网络攻击的风险。
关键概念:
■ 识别使用基于云的SCADA系统的潜在漏洞。
■ 如何通过了解接入点最大限度地减少网络安全风险。
思考一下:
基于云的SCADA 系统能否减少网络攻击足迹?
,
