服務(wù)熱線
86-132-17430013
產(chǎn)品展示PRODUCTS
品牌 | 其他品牌 |
---|
西門子代理商 赤峰西門子代理商 赤峰西門子代理商
數(shù)字通訊技術(shù)使得生產(chǎn)過程日益互連互通,但也由此招來了網(wǎng)絡(luò)犯罪。西門子中央研究院 IT安全技術(shù)領(lǐng)域,正在研發(fā)能夠防御網(wǎng)絡(luò)犯罪的*解決方案,并對其進(jìn)行嚴(yán)格測試,包括由西門子自有 團(tuán)隊(duì)進(jìn)行襲擊。
IT犯罪與日俱增。曾主要限于攻擊個(gè)人網(wǎng)民的網(wǎng)絡(luò)犯罪,逐漸對工業(yè)界和商界構(gòu)成重大威脅,網(wǎng)絡(luò)襲擊和工業(yè)間諜活動(dòng)造成的損失,已高達(dá)每年數(shù)十億美元。許多工業(yè)企業(yè)都擔(dān)心隨著數(shù)字技術(shù)的普及,整條產(chǎn)業(yè)鏈上的機(jī)器和設(shè)施互連互通日益緊密,會(huì)造成額外的重大安全風(fēng)險(xiǎn)。但是,為了加快生產(chǎn)速度,提高靈活性,同時(shí)保持高成本效益,企業(yè)不得不將過去在很大程度上獨(dú)立的設(shè)施改造為開放式生產(chǎn)系統(tǒng)。對于化解這個(gè)困境,Rolf Reinema博士有一個(gè)現(xiàn)成的答案:“如果工業(yè)界采用*的、整體性安全概念,風(fēng)險(xiǎn)將會(huì)是可控的。”Reinema是西門子中央研究院IT安全技術(shù)領(lǐng)域負(fù)責(zé)人,他帶領(lǐng)一支IT專家小組,專門為西門子各業(yè)務(wù)部門研發(fā)全面的安全解決方案。
逐一排查薄弱點(diǎn)
“過去,門禁和警報(bào)系統(tǒng)保護(hù)著工廠。如今則是另一種情形,工業(yè)安全專家的首要任務(wù)是比 行動(dòng)更迅速,搶先發(fā)現(xiàn)安全漏洞。”IT安全專家Heiko Patzlaff博士說。他領(lǐng)導(dǎo)的“網(wǎng)絡(luò)安全情報(bào)與調(diào)查”小組——西門子IT安全技術(shù)領(lǐng)域的組成部分之一——研發(fā)出一種程序,幫助企業(yè)可將之用于快速、簡便地核查其IT系統(tǒng)的安全特性是否處于新狀態(tài)。它可查找過時(shí)軟件、缺失更新,或訪問權(quán)限及密碼管理不善問題。在西門子的一個(gè)業(yè)務(wù)集團(tuán)開展的基于這款軟件的試點(diǎn)項(xiàng)目已圓滿結(jié)束?,F(xiàn)在,西門子準(zhǔn)備將這個(gè)易于使用的軟件包打造成一種服務(wù)。
掃描數(shù)據(jù),查找異常
IT經(jīng)理必須迅速發(fā)現(xiàn)薄弱點(diǎn)并采取對策。
Patzlaff的團(tuán)隊(duì)研發(fā)的另一個(gè)IT安全解決方案,是一個(gè)能接近實(shí)時(shí)查明網(wǎng)絡(luò)襲擊的全新監(jiān)測系統(tǒng)。Patzlaff表示,“總體而言,發(fā)現(xiàn)襲擊的速度還不夠快。惡意軟件一旦侵入系統(tǒng),它能從容地查找數(shù)據(jù)并達(dá)成目標(biāo),不論其目標(biāo)是竊取數(shù)據(jù)還是操縱數(shù)據(jù)。”監(jiān)控系統(tǒng)旨在改善這種狀況。他補(bǔ)充道,“我們正在研發(fā)能夠掃描數(shù)據(jù)流異常的算法。”譬如,日間或夜間非正常時(shí)刻,發(fā)生大量數(shù)據(jù)轉(zhuǎn)移,可能表明受到襲擊。同樣,莫名其妙連續(xù)執(zhí)行無數(shù)次命令,也可能是遭遇到了襲擊?;蛘?,如果僅白天工作的用戶突然在夜間登錄,這也可能是網(wǎng)絡(luò)襲擊的信號(hào)。Patzlaff指出,“每個(gè)IT系統(tǒng)都有其自身的常規(guī)和行為模式,因此,必須根據(jù)這些特點(diǎn)來調(diào)整線索搜索。”監(jiān)測系統(tǒng)一旦發(fā)現(xiàn)異常,將自動(dòng)通知安全中心。他說:“安全中心的IT安全專家,將分析入侵企圖并采取對策。”
西門子中央研究院研發(fā)出有助于識(shí)別危險(xiǎn)襲擊的監(jiān)測服務(wù)。
預(yù)測表明,在未來挑戰(zhàn)將是多么艱巨。隨著稱為“工業(yè)4.0”的信息物理融合技術(shù)的日益普及,最終將有不是成百上千,而是數(shù)以億計(jì)的機(jī)器、系統(tǒng)、傳感器和單獨(dú)產(chǎn)品相互通訊。
機(jī)器ID核查
工業(yè)領(lǐng)域需要特殊安全解決方案。譬如,一個(gè)解決想法是讓機(jī)器先“表明身份”,然后才能相互交換數(shù)據(jù),或?qū)?shù)據(jù)發(fā)送至數(shù)據(jù)庫。Hendrik Brockhaus說:“這將提升IT基礎(chǔ)設(shè)施的防御能力。”在西門子IT安全技術(shù)領(lǐng)域,他的團(tuán)隊(duì)為西門子交通集團(tuán)裝配了一個(gè)試點(diǎn)系統(tǒng),用于展示這種類型的機(jī)器ID系統(tǒng)如何工作。Brockhaus首次將公共密鑰基礎(chǔ)設(shè)施(PKI)用于工業(yè)設(shè)施,并利用數(shù)字證書來驗(yàn)證機(jī)器、傳感器或組件的真實(shí)性。
譬如,在試點(diǎn)系統(tǒng)環(huán)境中,如果控制系統(tǒng)向現(xiàn)場設(shè)備的控制單元發(fā)送切換指令,那么,控制系統(tǒng)和控制單元雙方都要根據(jù)PKI證書來確認(rèn)對方身份屬實(shí),且沒有襲擊企圖。PKI證書由按很高安全標(biāo)準(zhǔn)運(yùn)行的“授信中心”發(fā)放,因而確保PKI證書的可信度。
必須持續(xù)分析燃?xì)廨啓C(jī)的運(yùn)行數(shù)據(jù),數(shù)據(jù)發(fā)送之前,必須加密。
工業(yè)數(shù)據(jù)分析免疫系統(tǒng)
針對來自網(wǎng)絡(luò)的新威脅,許多工業(yè)組件都已通過更新,具備了防御特性。然而,西門子新的數(shù)據(jù)平臺(tái)和服務(wù),則是在研發(fā)過程中就已配備強(qiáng)健而又全面的安全機(jī)制。一個(gè)例子是建立了工業(yè)數(shù)據(jù)分析平臺(tái)(IDA),其安全概念是由智能數(shù)據(jù)安全高級(jí)核心專家Fabienne Waidelich博士和她的同事共同研發(fā)的。
IDA平臺(tái),可以從諸如燃?xì)廨啓C(jī)等機(jī)器的傳感器和電子維護(hù)日志收集數(shù)據(jù),并利用高級(jí)分析工具進(jìn)行數(shù)據(jù)分析。這對運(yùn)營者有用,從而對西門子客戶有用,因?yàn)樗麄兛梢圆煊X早期征兆,譬如,是否需要更換組件,以防止運(yùn)行故障,或如何調(diào)節(jié)氣體燃燒室溫度設(shè)置,以優(yōu)化性能。Waidelich說:“如果未經(jīng)授權(quán)的人員獲得客戶數(shù)據(jù),他們可能操縱數(shù)據(jù),作些手腳,比如模擬一個(gè)維護(hù)方面的問題,事實(shí)上并沒發(fā)生這樣的事情。”因此,西門子在設(shè)計(jì)這個(gè)數(shù)據(jù)平臺(tái)時(shí),非常重視其安全性。Waidelich表示,“整個(gè)平臺(tái)僅可從公司內(nèi)網(wǎng)訪問,并且受到附加防火墻的保護(hù)。”不僅如此,除配備鑒權(quán)認(rèn)證芯片的卡之外,所有用戶還必須用公共密鑰基礎(chǔ)設(shè)施ID來證實(shí)其身份。
數(shù)據(jù)源,在本例中或許是燃?xì)廨啓C(jī)的存儲(chǔ)設(shè)備,也必須在完成鑒權(quán)認(rèn)證過程之后,才能登錄服務(wù)器。這意味著它必須具備適當(dāng)?shù)募用苊荑€,才能傳送任何數(shù)據(jù)。一旦IDA——也就是數(shù)據(jù)的著陸平臺(tái)——獲得數(shù)據(jù),就能從中提煉出有價(jià)值的信息。諸如TIBCO Spotfire和Tableau等報(bào)告工具以儀表板形式能使這些信息可視化。Waidelich說:“每個(gè)應(yīng)用都必須用自有登錄憑證,登錄數(shù)據(jù)存儲(chǔ)系統(tǒng),才能獲取數(shù)據(jù)。”
與此同時(shí),除IT基礎(chǔ)設(shè)施和西門子產(chǎn)品之外,Reinema的IT安全專家,也會(huì)*審視本部門的自有解決方案。只有這樣,才能看出Fabienne Waidelich及其團(tuán)隊(duì)樹立的圍墻是否足夠高,以及安全檢查點(diǎn)是否足夠嚴(yán)格。