av网站的免费观看丨无码福利一区二区三区丨亚洲人成影院在线观看丨337p人体粉嫩胞高清视频丨国内a∨免费播放

作者

侯勝利  工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟理事、思科大中華區(qū)副總裁、CTO

凌   軍  思科資深業(yè)務(wù)架構(gòu)師

張丹峰  思科高級系統(tǒng)架構(gòu)師

01 摘要與前言

傳統(tǒng)的生產(chǎn)制造領(lǐng)域是OT集中領(lǐng)域，從工業(yè)自動化的角度，與傳統(tǒng)企業(yè)IT互相割裂，形成各自孤島。而當(dāng)今世界，行業(yè)與地理界限逐漸打破與消失，行業(yè)的融合在加劇與深化。這要求工業(yè)企業(yè)的價(jià)值鏈從研發(fā)、生產(chǎn)、物流、銷售、售后服務(wù)等環(huán)節(jié)要實(shí)現(xiàn)數(shù)據(jù)的打通，實(shí)現(xiàn)數(shù)字化的價(jià)值。因此，從生產(chǎn)制造的源頭，就要充分發(fā)掘工業(yè)資產(chǎn)、工業(yè)流程、工業(yè)數(shù)據(jù)的價(jià)值。為了獲得更大的工業(yè)數(shù)據(jù)價(jià)值，必須實(shí)現(xiàn)數(shù)據(jù)驅(qū)動工業(yè)流程和效率的優(yōu)化。而傳統(tǒng)OT往往脫離IT部門，獨(dú)立建設(shè)工業(yè)基礎(chǔ)架構(gòu)，并習(xí)慣性采用物理隔離的方法實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全。很顯然，在數(shù)字驅(qū)動的業(yè)務(wù)述求下，這已經(jīng)不再適用。

千里之行始于足下，這是思科一貫的風(fēng)格。我們將從工業(yè)中容易被忽略的工業(yè)網(wǎng)絡(luò)基礎(chǔ)開始，進(jìn)而延伸到工業(yè)網(wǎng)絡(luò)安全；并涉及工業(yè)資產(chǎn)可視化、工業(yè)資產(chǎn)管理、工業(yè)網(wǎng)絡(luò)自動化運(yùn)營等多個(gè)維度，幫助企業(yè)IT人員、OT人員一起，打造工業(yè)企業(yè)的數(shù)字化基礎(chǔ)與保障。這也完全與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟AII的理念一致：在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，網(wǎng)絡(luò)是基礎(chǔ)，安全是保障，平臺是核心。

作為IT行業(yè)的創(chuàng)新及領(lǐng)先企業(yè)，思科始終與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)界同仁一起，與時(shí)俱進(jìn)、共同發(fā)展；聯(lián)合開發(fā)與合作一系列創(chuàng)新方案，業(yè)務(wù)場景，實(shí)現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)業(yè)務(wù)模式的創(chuàng)新與騰飛。

02 網(wǎng)絡(luò)融合：工業(yè)網(wǎng)絡(luò)互聯(lián)

互聯(lián)是工業(yè)企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的基礎(chǔ)。

工業(yè)企業(yè)除了需要互聯(lián)辦公人員和業(yè)務(wù)應(yīng)用系統(tǒng)外，還需要互聯(lián)生產(chǎn)現(xiàn)場如車間內(nèi)的PLC、傳感器、數(shù)控機(jī)床、機(jī)器人、AGV等設(shè)備。此外，利用IT、OT技術(shù)的融合互通，工業(yè)企業(yè)進(jìn)一步讀取和分析相關(guān)數(shù)據(jù)，通過優(yōu)化流程、提高效率等方式賦能數(shù)字化轉(zhuǎn)型。

基于普渡參考模型，思科推出了融合工業(yè)網(wǎng)絡(luò)架構(gòu)（CPwE），結(jié)合先進(jìn)的數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA），不僅實(shí)現(xiàn)了制造企業(yè)的互聯(lián)互通，還通過SDN的方式為工業(yè)網(wǎng)絡(luò)賦予了業(yè)務(wù)編排、自動化部署、策略調(diào)整、微分段隔離和智能分析等能力。

在融合工業(yè)網(wǎng)絡(luò)架構(gòu)（CPwE）中，思科通過一系列工業(yè)網(wǎng)絡(luò)產(chǎn)品，如：工業(yè)以太網(wǎng)交換機(jī)、工業(yè)無線、工業(yè) IoT 網(wǎng)關(guān)、工業(yè)路由器、工業(yè)防火墻等實(shí)現(xiàn)了工業(yè)網(wǎng)絡(luò)的互聯(lián)。通過對標(biāo)準(zhǔn)工業(yè)協(xié)議如Profinet、Ethernet/IP的支持，以及采用相應(yīng)的環(huán)網(wǎng)技術(shù)如MRP、DLR等，提供安全、可靠的現(xiàn)場工業(yè)網(wǎng)絡(luò)。工業(yè)無線網(wǎng)絡(luò)將車間內(nèi)機(jī)器、數(shù)據(jù)和人的通訊靈活性提升到新的高度，使得隨時(shí)隨地的無線訪問和控制成為可能，大大提高了車間工作效率。WiFi6的技術(shù)和產(chǎn)品進(jìn)一步提升了傳輸帶寬并降低延遲，這有助于車間內(nèi)采用視頻及AR/VR技術(shù)進(jìn)行的協(xié)作和遠(yuǎn)程輔助運(yùn)維。

利用數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA），工業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)了即插即用和自動化的設(shè)計(jì)及調(diào)整，宏分段和微分段等技術(shù)使制造企業(yè)可以從產(chǎn)線和設(shè)備等角度進(jìn)行安全細(xì)化隔離。工業(yè)網(wǎng)絡(luò)特別是工業(yè)無線網(wǎng)絡(luò)的運(yùn)維和排障一直都是困擾運(yùn)維人員的難題，一個(gè)簡單的工業(yè)無線平板連接，其故障可能出現(xiàn)在多個(gè)方面：無線信號覆蓋、干擾、漫游、接入認(rèn)證、IP地址獲取、域名解析等等。思科DNA中的智能分析模塊幫助快速進(jìn)行故障定位并給出有效建議，從而大大縮短了排障時(shí)間并能夠?qū)崿F(xiàn)主動運(yùn)維。

作為互聯(lián)企業(yè)的重要部分，思科企業(yè)級協(xié)作架構(gòu)實(shí)現(xiàn)了企業(yè)內(nèi)各部門人員之間、企業(yè)與上下游供應(yīng)鏈之間、現(xiàn)場人員與遠(yuǎn)程專家之間的協(xié)同互聯(lián)，這為提高管理效率、降低運(yùn)營風(fēng)險(xiǎn)、確保連續(xù)生產(chǎn)并促進(jìn)產(chǎn)銷協(xié)同都提供了很好的平臺和工具。

03安全融合——工業(yè)資產(chǎn)可視化及工控威脅偵測

 2021年5月，美國最大輸油管道因?yàn)槔账鬈浖?，被迫關(guān)閉。這表明傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域犯罪滲透到能源系統(tǒng)基礎(chǔ)設(shè)施，對傳統(tǒng)工控系統(tǒng)進(jìn)行攻擊。而大量的工業(yè)領(lǐng)域的基礎(chǔ)設(shè)施，工控系統(tǒng)面對虎視眈眈的黑客，又顯得那么脆弱與不堪一擊。因此，工業(yè)安全是工業(yè)互聯(lián)網(wǎng)的保障，這點(diǎn)毋庸置疑。

IT-OT人員攜手

為共同實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，IT 團(tuán)隊(duì)需要與 OT 團(tuán)隊(duì)合作，以確保他們深刻理解對方，理解需要保護(hù)的對象，以及如何在不中斷生產(chǎn)的情況下保護(hù)重要工業(yè)資產(chǎn)。為了使 IT/OT 協(xié)作取得成功，雙方必須共同行動。

工控安全框架與階段

為保障工業(yè)安全，我們建議多階段、多步驟、IT-OT聯(lián)合共同實(shí)現(xiàn)。其中多階段是三部曲：最低安全、基礎(chǔ)安全、全面安全。而多步驟則分成四部：發(fā)現(xiàn)、分段、偵測、響應(yīng)。彼此交叉關(guān)聯(lián)，有重疊區(qū)域。

羅馬不是一天建成的。要全面實(shí)現(xiàn)基于零信任工業(yè)安全，從第一步驟“發(fā)現(xiàn)”開始就很難，雖然這只是最低安全的組成部分。因?yàn)閭鹘y(tǒng)IT廠商非常擅長識別各類IT資產(chǎn)設(shè)備，對于工業(yè)互聯(lián)網(wǎng)領(lǐng)域或者工業(yè)自動領(lǐng)域的各類工業(yè)終端、工業(yè)資產(chǎn)，往往是這些IT廠商的弱項(xiàng)。而傳統(tǒng)工業(yè)自動化供應(yīng)商，對于網(wǎng)絡(luò)安全的積累和工具又不足，這也造成工業(yè)網(wǎng)絡(luò)安全防護(hù)的脆弱。

思科直面工業(yè)安全挑戰(zhàn)

世界各地的 IT 和 OT 人員都知道思科是互聯(lián)網(wǎng)和工業(yè)網(wǎng)絡(luò)產(chǎn)品的領(lǐng)先供應(yīng)商。安全專業(yè)人士也知道，思科也是一家領(lǐng)先的網(wǎng)絡(luò)安全公司，擁有廣泛全面 IT、云和移動安全解決方案和服務(wù)組合。思科最新Cyber Vision工業(yè)安全解決方案，擴(kuò)大了思科工業(yè)安全防護(hù)范圍，包括OT異常和違規(guī)偵測。

思科Cyber Vision可深入了解 OT 資產(chǎn)、工業(yè)工作流程和 OT 系統(tǒng)中的異常行為。該產(chǎn)品還利用思科 Talos 智能檢測安全漏洞、入侵和惡意流量。與其他思科安全產(chǎn)品的深度集成將OT 安全信息整合到工業(yè)企業(yè)的 IT 安全運(yùn)營中心(SOCs）或者態(tài)勢感知平臺中，以便維護(hù)人員能夠快速分析和響應(yīng) OT 系統(tǒng)威脅。網(wǎng)絡(luò)安全運(yùn)維人員還可以使用來自Cyber Vision的 OT 數(shù)據(jù)加強(qiáng) IT系統(tǒng)防御，并改善工業(yè)網(wǎng)絡(luò)環(huán)境。

發(fā)現(xiàn)

工業(yè)網(wǎng)絡(luò)網(wǎng)絡(luò)安全框架的第一步驟是識別。該功能不僅涉及識別工業(yè)物理資產(chǎn)，還涉及構(gòu)成的數(shù)據(jù)、人員、設(shè)備、系統(tǒng)、功能和設(shè)施等。

一個(gè)工業(yè)組織。制定完整的風(fēng)險(xiǎn)管理戰(zhàn)略意味著全面了解支持關(guān)鍵職能的資源，以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。簡言之，資產(chǎn)相關(guān)信息(Context)就是一切。

保護(hù)工業(yè)網(wǎng)絡(luò)需要在每個(gè)階段持續(xù)看見工業(yè)網(wǎng)絡(luò)中的每個(gè)工業(yè)設(shè)備：包括從進(jìn)入工業(yè)網(wǎng)絡(luò)的那一刻到它被移除的時(shí)間點(diǎn)。這將有助于工業(yè)企業(yè)跟蹤安全漏洞、供應(yīng)商遠(yuǎn)程訪問和已退役的工業(yè)資產(chǎn)。

發(fā)現(xiàn)過程包括建立一個(gè)自動化的資產(chǎn)清單，用于識別設(shè)備、固件、防病毒軟件和其他系統(tǒng)因素的制造和型號，以評估資產(chǎn)脆弱性。此步驟還包括一個(gè)網(wǎng)絡(luò)發(fā)現(xiàn)過程，以自動化的方式，幫助IT，OT及網(wǎng)絡(luò)安全運(yùn)營人員構(gòu)建全工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)視圖。

Cyber Vision各類視圖允許 OT 工程師清楚地了解其 OT工業(yè)網(wǎng)絡(luò)在不同條件下的運(yùn)行情況，更好地規(guī)劃安全性和生產(chǎn)連續(xù)性，并與 IT 網(wǎng)絡(luò)安全團(tuán)隊(duì)合作，用相關(guān)設(shè)備記錄關(guān)鍵業(yè)務(wù)流程。這些舉措還有助于 IT/SecOps 團(tuán)隊(duì)開發(fā)有利于 OT 的程序和藍(lán)圖，以更好地保護(hù)和保障這些流程。將OT關(guān)聯(lián)上下文信息、業(yè)務(wù)洞察和知識提交給 IT/SecOps 專家和 SOC分析師，對于實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全目標(biāo)至關(guān)重要。

思科Cyber Vision展示工業(yè)資產(chǎn)清單及分組視圖

保護(hù)

一旦明確圍繞網(wǎng)絡(luò)設(shè)備、流程和工業(yè)資產(chǎn)的統(tǒng)一視圖進(jìn)行可視化，IT/SecOps 和 OT 團(tuán)隊(duì)就可以共同努力，制定保護(hù)OT 網(wǎng)絡(luò)的聯(lián)合戰(zhàn)略。制定和實(shí)施適當(dāng)?shù)谋Ｕ洗胧?，以確保工業(yè)生產(chǎn)繼續(xù)平穩(wěn)、高效地運(yùn)行。

NIST網(wǎng)絡(luò)安全框架的保護(hù)功能支持限制或遏制潛在網(wǎng)絡(luò)安全事件影響的能力。這需要設(shè)計(jì)一個(gè)網(wǎng)絡(luò)架構(gòu)，這也是在 ISA99/IEC 62443中的普渡模型中進(jìn)行了明確定義。

構(gòu)建此類網(wǎng)絡(luò)架構(gòu)的典型操作包括網(wǎng)絡(luò)分段( network segment)，以確保業(yè)務(wù)關(guān)鍵流程中涉及的設(shè)備安全，并防止任何威脅或惡意行為者橫向移動在工業(yè)網(wǎng)絡(luò)。而思科的微分段技術(shù)（SGT）可更加顆?；綦x威脅，并將威脅檢測工作重點(diǎn)放在工業(yè)網(wǎng)絡(luò)最關(guān)鍵部分。

配合思科ISA 3000系列工業(yè)防火墻，將使IT及OT合作創(chuàng)建本地過濾規(guī)則，以隔離制造單元，以幫助確保僅授權(quán)設(shè)備或連接會話可以訪問，保護(hù)網(wǎng)絡(luò)免受惡意或有害活動的侵害。此外，這些“ OT感知”防火墻將為原本無法修補(bǔ)、易受攻擊的傳統(tǒng)工業(yè)設(shè)備提供一層加固與保護(hù)。

此外，也可以使用網(wǎng)絡(luò)訪問控制架構(gòu)（NAC），例如思科身份服務(wù)引擎（ISE）來結(jié)合工業(yè)以太網(wǎng)、工業(yè)防火墻共同實(shí)現(xiàn)網(wǎng)絡(luò)分段。工業(yè)資產(chǎn)和工業(yè)網(wǎng)絡(luò)將輕松地實(shí)施工業(yè)安全訪問策略。

更重要的是，OT人員必須定義要應(yīng)用的策略。他們是最清楚應(yīng)該禁止哪些通信以及需要哪些通信以避免干擾生產(chǎn)的人。IT與OT人員聯(lián)手，使用思科Cyber Vision這樣的工具來設(shè)置此工業(yè)分組和服務(wù)邏輯邏輯，并自動與Cisco ISE共享它，這樣IT人員便擁有配置適當(dāng)?shù)陌踩呗运璧男畔ⅲ⒆罱K通過網(wǎng)絡(luò)控制器將信息下發(fā)給ISA 3000及工業(yè)以太網(wǎng)交換機(jī)。

思科工業(yè)防火墻ISA 3000，直接部署于工業(yè)生產(chǎn)單元

偵測

NIST網(wǎng)絡(luò)安全框架的“偵測”功能涉及到識別工業(yè)網(wǎng)絡(luò)安全事件。隨著在工業(yè)網(wǎng)絡(luò)中部署越來越多的智能終端，檢測工業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全威脅變得越來越重要。

通過思科Cyber Vision，解碼工業(yè)網(wǎng)絡(luò)流量并確定此類流量中命令的完整性和合法性來發(fā)現(xiàn)過程異常。工業(yè)企業(yè)需要一種能夠理解這些工業(yè)環(huán)境中使用的協(xié)議并了解OT流程、環(huán)境、資產(chǎn)和協(xié)議正確使用的解決方案，也就是Cyber Vision。

Cyber Vision展示一臺PLC設(shè)備信息及威脅溝通

IT和OT人員必須共同努力，確定網(wǎng)絡(luò)異常行為。這包括定義正常的工業(yè)流程，了解異常的潛在影響以設(shè)置關(guān)鍵級別，以及在IT和OT團(tuán)隊(duì)之間進(jìn)行有效的溝通，以使SecOps不會在OT維護(hù)期間被誤報(bào)淹沒。

在日?；顒又?，企業(yè)的各方面將需要不同種類的數(shù)據(jù)和見解，用于評估，調(diào)查和響應(yīng)OT安全事件。OT團(tuán)隊(duì)將監(jiān)視過程修改和設(shè)備變更。IT / SecOps團(tuán)隊(duì)將監(jiān)視漏洞和入侵事件。SOC經(jīng)理將需要詳細(xì)的資產(chǎn)信息來簡化調(diào)查過程和策略配置。

思科Cyber Vision威脅事件駕駛艙視圖

04工業(yè)網(wǎng)絡(luò)&安全聯(lián)動——運(yùn)營自動化

不同于底層的工業(yè)自動化控制系統(tǒng)，思科通過提供“可視-洞察-行動”的閉環(huán)處理，為工業(yè)互聯(lián)網(wǎng)平臺的部署、安全策略和運(yùn)維等實(shí)現(xiàn)了基于智能分析的自動化處理，從而實(shí)現(xiàn)更高的彈性、敏捷性和安全性。

自動化的第一步需要實(shí)現(xiàn)可視，通過識別資產(chǎn)，如PLC、IO模塊、上位機(jī)、PC終端；網(wǎng)絡(luò)設(shè)備，如工業(yè)以太網(wǎng)交換機(jī)、工業(yè)無線、IoT網(wǎng)關(guān)；流量，如控制指令、網(wǎng)絡(luò)會話；安全威脅，如系統(tǒng)漏洞、可疑行為等，這為進(jìn)一步的洞察分析提供了基礎(chǔ)。

洞察是一個(gè)分析過程，它試圖采用機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析方法，對系統(tǒng)可視的內(nèi)容進(jìn)行處理，通過制定策略、建立基線、關(guān)聯(lián)分析等，為進(jìn)一步的自動化操作提供依據(jù)。例如，通過對網(wǎng)絡(luò)流量和會話的分析，可以偵測到工業(yè)互聯(lián)網(wǎng)平臺上的安全威脅。

由于采用面向軟件定義和一體化集成的架構(gòu)，根據(jù)洞察結(jié)果，系統(tǒng)管理人員和運(yùn)維人員能夠非常方便地對互聯(lián)的工業(yè)網(wǎng)絡(luò)平臺實(shí)現(xiàn)即插即用的自動化上線，服務(wù)策略的自動化部署、連接性能的自動化優(yōu)化、安全威脅的自動化隔離。

工業(yè)互聯(lián)網(wǎng)平臺的自動化能力幫助工業(yè)企業(yè)進(jìn)一步優(yōu)化了產(chǎn)線的柔性調(diào)整、系統(tǒng)性能和端到端安全，從而支撐工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型。

作者簡介 

侯勝利

工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟理事，思科大中華區(qū)副總裁，CTO。超過25年IT行業(yè)從業(yè)經(jīng)驗(yàn)，作為技術(shù)專家對IT整體網(wǎng)絡(luò)、企業(yè)混合云架構(gòu)、智能工廠等領(lǐng)域有深入理解并領(lǐng)導(dǎo)團(tuán)隊(duì)進(jìn)行項(xiàng)目實(shí)施；作為技術(shù)領(lǐng)導(dǎo)，帶領(lǐng)大中華團(tuán)隊(duì)支持業(yè)務(wù)轉(zhuǎn)型，支持客戶數(shù)字化轉(zhuǎn)型包括智能工廠，供應(yīng)鏈管理等。

凌軍

思科資深業(yè)務(wù)架構(gòu)師。擁有多年電信， 互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)等領(lǐng)域經(jīng)驗(yàn)；對企業(yè)IT系統(tǒng)基礎(chǔ)架構(gòu)、IT應(yīng)用系統(tǒng)、OT業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程、物聯(lián)網(wǎng)技術(shù)，工業(yè)整體架構(gòu)和行業(yè)應(yīng)用，數(shù)字化轉(zhuǎn)型，業(yè)務(wù)場景等均有涉足。

張丹峰

思科高級系統(tǒng)架構(gòu)師。超過20年IT行業(yè)從業(yè)經(jīng)驗(yàn)，對工業(yè)網(wǎng)絡(luò)、IT整體網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、數(shù)據(jù)中心、云計(jì)算等領(lǐng)域均有深刻理解和實(shí)際項(xiàng)目經(jīng)驗(yàn)，側(cè)重于針對制造型企業(yè)數(shù)字化轉(zhuǎn)型提供架構(gòu)方案支持。