思科渠道微情報 思科聯天下 昨天
製造企業一直是網絡攻擊犯罪分子的首選目標。據統計在2020年第一季度,針對製造業的勒索軟件攻擊增加了156%,而同期各行業平均僅增長了25%。造成這一局面的原因有很多,其中關鍵的一條是負責生產技術(OT)和負責信息技術(IT)的兩個團隊沒能很好地協作。 IT團隊有豐富的網絡安全實戰經驗,但因為很多生產設備難於接入企業網絡,所以一旦遇到產線遭攻擊的事故往往束手無策。而網絡安全又不是OT團隊的業務重點,據IBM針對370家工業企業的調研,74%的受訪者沒有進行OT風險評估,78%的受訪者沒有OT特定的安全策略,還有81%的受訪者沒有OT特定的安全事件響應計劃。所以為企業提供能融合IT和OT團隊的工具,搭建覆蓋產線、辦公等的企業全方位網絡安全保護傘既是關係企業當下運營的關鍵,也是未來推進智能製造轉型的基礎。
恰好筆者最近幫助國內某大型家電製造企業實施了網絡安全建設項目,並得到了企業IT和OT團隊的一致好評,今天就拿出來與大家分享,希望能對讀者有所啟發。
該企業作為業務遍及全球的家電製造領頭羊企業,為響應國家工業互聯網號召,進一步落實《關於深化“互聯網+ 先進製造業”發展工業互聯網的指導意見》及《工業互聯網發展行動計劃(2018-2020年)》等政策,啟動了設備全生命週期管理項目。計劃搭建物聯網平台,實現人機互聯、機機互聯、機料互聯,以集團三大公司視像科技、冰箱、空調為試點,部署工業以太網防控體系,打造集團一站式設備全生命週期管理系統,助力企業生產實現智能化、數字化轉型。
項目初期,企業OT與IT人員面臨的首要難題是實現OT設備接入網絡。因為產線老舊,大部分PLC控制器並不具備網絡通信能力,且來自多個品牌,難於梳理,所以IT部門在網絡接入時十分頭疼。更麻煩的還在後面,工控設備一旦接入網絡,網絡安全防護也將面臨很多問題,特別是產線的全自動化環節,一旦PLC和上位機被攻擊或感染病毒,會導致產線停產。解決這些難題需要企業OT與IT部門相互輔助,通力配合。
思科Cyber Vision平台是促進IT和OT人員在技術方面相互了解的橋樑。隨著IT、雲和工業網絡之間的深入集成,安全問題成為數字化轉型的障礙。 Cyber Vision為工業控制系統提供全面的可視性,構建安全的基礎設施並實施安全策略——實現工業運營的連續性、彈性和安全性。 Cyber Vision幫助客戶深入了解 OT 資產、工業操作流程(能夠密切跟踪工藝數據、資產修改和變量更改)、工業設備的安全威脅檢測。幫助企業IT人員快速了解OT網絡,讓IT部門更合理地設計OT網絡架構。
思科Cyber Vision集成ISE(身份服務引擎),配合IE/Catalyst系列交換機對工業網絡的接入實行控制,同時提供接入的時間、設備、地點的記錄與審計能力。避免工業網絡私接亂串,降低生產網絡中斷發生的概率。同時三者結合幫助客戶實現基於產線的安全微分段,OT部門登陸Cyber Vision圖形化界面以OT業務的角度來配置和調整安全策略。 OT部門是最了解產線業務的,通過簡單的思科Cyber Vision圖形化界面來進行OT設備的安全區域分組,分組信息會自動同步到ISE平台,並最終在交換機上進行執行,實現產線安全策略智能化、自動化部署,更好地保證產線全自動化區域的安全防護。
思科IE/Catalyst交換機通過流量採集功能將工廠的網絡流量採集至思科安全網絡分析 (原Stealthwatch),Stealthwatch與Cyber Vision結合提供工控流量異常分析、審計能力。
企業辦公和工廠的邊界通過Firepower下一代防火牆進行隔離,有效地規避了辦公網到生產網的未知攻擊,同時Firepower與Cyber Vision結合,監視是否有辦公網絡到生產線設備未授權的非法網絡訪問。
思科IoT網絡安全解決方案為該企業的設備全生命週期管理系統、設備數據實時分析系統與PLC、上位機的互聯互通提供了IT/OT網絡安全可視化、智能化,保障企業物聯網平台的穩定運行。
一旦發現產線生產設備故障,系統會自動上報相應的OT維修人員,快速恢復生產,減少停產損失;各類設備點巡檢作業也告別紙質化;保養維護計劃可便捷靈活地在後台設置,員工通過移動端第一時間接收工單,多種提醒方式避免員工遺漏工單;移動化設備掃碼方式執行工單,既準確又方便。電子化、精益化管理在節約成本的同時,使用拍照水印等技術保證設備維護人員現場作業的準確性。可積累大量數據並從數據中挖掘改善點,進而指導設備管理作業,不斷提升設備綜合運行效率。
整個項目涉及兩個工業園13條產線,僅用2個月就實施完畢。企業將參照該項目的網絡安全基礎架構設計,對全國8個工業園老舊產線進行升級改造,實現企業數字化轉型。希望今天的分享能給廣大製造企業和服務於製造業的合作夥伴帶來啟發。