|
一��、前言 互聯(lián)網(wǎng)與消費(fèi)�����、服務(wù)等領(lǐng)域的結(jié)合�����,產(chǎn)生了諸多消費(fèi)類“互聯(lián)網(wǎng) +”應(yīng)用�����,促進(jìn)了我國消費(fèi)互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展���?;ヂ?lián)網(wǎng)��、物聯(lián)網(wǎng)�����、大數(shù)據(jù)、人工智能(AI)�����、邊緣計(jì)算�����、高性能計(jì)算等信息技術(shù)(IT)越來越多地滲透到工業(yè)領(lǐng)域�����,并與工業(yè)技術(shù)進(jìn)行融合發(fā)展���,產(chǎn)生了以工業(yè)互聯(lián)網(wǎng)為代表的工業(yè)“互聯(lián)網(wǎng) +”融合應(yīng)用,這對促進(jìn)我國工業(yè)的數(shù)字化轉(zhuǎn)型發(fā)展�、由制造業(yè)大國向制造業(yè)強(qiáng)國轉(zhuǎn)變具有重大意義。 OT 即 Operational Technology 的簡寫��,雖然通常翻譯為運(yùn)營技術(shù)�����,究其實(shí)質(zhì)為電子��、信息、軟件與控制技術(shù)的綜合運(yùn)用����。OT 可定義為:對企業(yè)的各類終端、流程和事件進(jìn)行監(jiān)控或控制的軟硬件技術(shù)��,含數(shù)據(jù)采集和自動控制技術(shù)�����。因此����,OT 既包括硬件設(shè)施(如機(jī)器人、電機(jī)�����、閥門��、數(shù)控機(jī)床等)�����,也包括對這些設(shè)施進(jìn)行控制的各種軟件技術(shù)���。 當(dāng)前��,OT 與 IT 特別是計(jì)算技術(shù)的融合成為了工業(yè)數(shù)字化轉(zhuǎn)型與升級的重要方向�����。IT 與 OT 以及通信技術(shù)(CT)正在深度融合����,使得工業(yè)互聯(lián)網(wǎng)初步實(shí)現(xiàn)了數(shù)據(jù)和實(shí)體的全面聯(lián)接,推動服務(wù)與數(shù)據(jù)創(chuàng)新�,促進(jìn)數(shù)據(jù)價(jià)值實(shí)現(xiàn),也使實(shí)時(shí)決策成為可能 [1~5]���。本文探討 IT 與 OT 的融合發(fā)展問題,研判 OT 與 IT 技術(shù)融合的需求��、現(xiàn)狀及進(jìn)展�����,論證未來 OT 與 IT 技術(shù)融合的途徑以及 OT 與 IT 融合的安全問題��。針對性提出對策建議�����,以期為我國“互聯(lián)網(wǎng) +”行動在工業(yè)制造領(lǐng)域的發(fā)展研究提供理論參考。 二��、OT 與 IT 融合發(fā)展的需求分析 朝著數(shù)字化轉(zhuǎn)型發(fā)展是世界工業(yè)大國的主要發(fā)力方向��,以德國工業(yè) 4.0 為代表的一批工業(yè)數(shù)字化轉(zhuǎn)型戰(zhàn)略的發(fā)布�,標(biāo)志著工業(yè)數(shù)字化時(shí)代的到來。實(shí)現(xiàn)工業(yè)數(shù)字化轉(zhuǎn)型����,關(guān)鍵在于解決 IT 與工業(yè)技術(shù)的融合問題,而 OT 成為應(yīng)用瓶頸環(huán)節(jié)�����。 OT 與 IT 的融合旨在降低工業(yè)成本��,優(yōu)化工業(yè)業(yè)務(wù)流程�,降低工業(yè)過程風(fēng)險(xiǎn),更快實(shí)施開發(fā)和集成�����,推進(jìn)通信和控制工業(yè)過程設(shè)備的標(biāo)準(zhǔn)化���。二者融合之后��,現(xiàn)有的 IT 軟硬件及其環(huán)境設(shè)備可以便捷地訪問 OT 設(shè)備及其運(yùn)行過程數(shù)據(jù)�, OT 設(shè)備和過程性數(shù)據(jù)可以通過 IT 基礎(chǔ)設(shè)施進(jìn)行傳播,進(jìn)而在整個(gè)企業(yè)(或更大的范圍)中共享這些設(shè)備和過程數(shù)據(jù)�。在運(yùn)行過程中��,可以利用新的 IT 技術(shù)(如 AI��、邊緣計(jì)算�、區(qū)塊鏈等)來快速精準(zhǔn)地分析應(yīng)用工業(yè)設(shè)備及工業(yè)過程數(shù)據(jù)����,進(jìn)而實(shí)現(xiàn)企業(yè)信息共享方式的全局優(yōu)化,為工業(yè)制造及其過程管理提供全面的決策支持�。 OT 與 IT 的融合能夠打通 OT 設(shè)備和環(huán)境設(shè)施數(shù)據(jù)��、IT 基礎(chǔ)設(shè)施數(shù)據(jù),實(shí)現(xiàn)雙向互用��。一方面��, OT 系統(tǒng)借助 IT 基礎(chǔ)設(shè)施獲取工業(yè)設(shè)備及過程的數(shù)據(jù),利用 IT 領(lǐng)域的各種算法模型開展 OT 工業(yè)設(shè)備及過程的狀態(tài)監(jiān)控和風(fēng)險(xiǎn)邊界預(yù)估,有效降低工業(yè)組織的潛在風(fēng)險(xiǎn)�����。另一方面����,IT 領(lǐng)域的云和虛擬化等新技術(shù),可以提高 OT 工業(yè)設(shè)備和過程數(shù)據(jù)的可訪問性��、穩(wěn)定性和流動性��。部署通用的IT基礎(chǔ)設(shè)施��,兼顧 OT 數(shù)據(jù)的存儲和流動��,OT 端可以訪問 IT 端的海量數(shù)據(jù)����;在不影響 OT 方面的數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)工作的情況下,借助云和虛擬化技術(shù)��,企業(yè)工廠或生產(chǎn)車間的服務(wù)器可以遷移到云上�,有助于減少設(shè)備數(shù)量并易于實(shí)施更新。 三�����、OT 與 IT 融合發(fā)展的現(xiàn)狀 在工業(yè) 3.0 時(shí)代�����,OT 和 IT 具有相互獨(dú)立的界面,二者沒有融合的傾向�����。進(jìn)入“互聯(lián)網(wǎng) +”行動和工業(yè) 4.0 時(shí)代���,OT 與 IT 的融合趨勢已經(jīng)顯現(xiàn)���,但二者的關(guān)系界面決定了融合的程度與方向。關(guān)系界面主要表現(xiàn)在功能���、領(lǐng)域���、訪問、資產(chǎn)和人員���、變化頻率�、環(huán)境�、接口和網(wǎng)絡(luò)、生命周期�、目標(biāo)����、操作系統(tǒng)等 10 個(gè)方面���,OT 與 IT 融合也主要圍繞這 10 個(gè)方面展開。目前���,工業(yè)物聯(lián)網(wǎng)(IIoT)�、工業(yè)互聯(lián)網(wǎng)��、基于云的部署等方面是 OT 和 IT 融合的研究重點(diǎn)�。 (一)工業(yè)物聯(lián)網(wǎng) 建立 IIoT 是實(shí)現(xiàn) IT 向 OT 融合的關(guān)鍵措施。 IIoT 技術(shù)蓬勃發(fā)展�����,工業(yè)制造企業(yè)借鑒物聯(lián)網(wǎng)技術(shù)來部署 IIoT 業(yè)務(wù)���,使得傳統(tǒng)工業(yè)設(shè)備與過程管理朝著物聯(lián)網(wǎng)方向轉(zhuǎn)型:提出了基于 IIoT 的優(yōu)化作業(yè)車間調(diào)度器監(jiān)控系統(tǒng)�����,跟蹤機(jī)器正在執(zhí)行的任務(wù)并閉環(huán)反饋路徑�,據(jù)此實(shí)現(xiàn)作業(yè)完成時(shí)間的自動檢測以及在此基礎(chǔ)上進(jìn)行的動態(tài)重新調(diào)度[6];發(fā)展了雙微控制器(MCU)的架構(gòu)�����,確保對可編程控制器(PLC)等 IIoT 設(shè)備的彈性控制 [7]���;建立了基于單一虛擬化平臺����、技術(shù)高度集成的數(shù)據(jù)中心網(wǎng)絡(luò)�,具備了支持物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的功能 [8];提出了一種高級分析框架��,可作為工礦企業(yè) IIoT 的標(biāo)準(zhǔn)化應(yīng)用 [9]�。 (二)跨平臺的分析框架 針對傳統(tǒng)工業(yè)制造企業(yè)的 IIoT 應(yīng)用需求,市場提供了多種技術(shù)和平臺的候選方案����;但囿于兼容性,企業(yè)選擇方案通常費(fèi)時(shí)費(fèi)力�。因此,跨平臺的分析框架所具有的兼容性優(yōu)勢����,可以契合傳統(tǒng)制造企業(yè)的 IIoT 切實(shí)需求���。以采礦企業(yè)應(yīng)用為背景,開發(fā)了跨平臺的分析框架 [10]��,集成了 IIoT 和多類先進(jìn)分析技術(shù)��,具備將 IIoT 作為分析框架數(shù)據(jù)來源的功能�����;通過逐層分析來評定系統(tǒng)性能優(yōu)劣�����,易于評估不同架構(gòu)下的服務(wù)和技術(shù)���,據(jù)此實(shí)現(xiàn)企業(yè)部署方案優(yōu)選 [9]。 (三)開放性平臺 云計(jì)算技術(shù)的蓬勃發(fā)展�����,促成企業(yè)級應(yīng)用程序和數(shù)據(jù)從私有平臺轉(zhuǎn)移到開放平臺����。開發(fā)開放性平臺是應(yīng)對這一趨勢的務(wù)實(shí)之選�。美國通用電氣公司(GE)推出的 Predix 基礎(chǔ)性系統(tǒng)平臺�,作為開放性平臺可以應(yīng)用到工業(yè)制造、能源��、醫(yī)療等諸多工業(yè)領(lǐng)域���,為各類工業(yè)設(shè)備提供了包括設(shè)備健康和故障預(yù)測��、生產(chǎn)效率優(yōu)化���、能耗管理、排程優(yōu)化等完備的應(yīng)用場景���;采用數(shù)據(jù)驅(qū)動和機(jī)理結(jié)合的方式���,解決傳統(tǒng)工業(yè)企業(yè)在平衡質(zhì)量、效率�����、能耗等方面面臨的問題���,促進(jìn)工業(yè)企業(yè)快速向數(shù)字化轉(zhuǎn)型�����。德國西門子公司(SIEMENS)推出的 MindSphere 平臺����,采用基于云的開放物聯(lián)網(wǎng)架構(gòu),將傳感器�、控制器和各種信息系統(tǒng)收集的工業(yè)現(xiàn)場設(shè)備數(shù)據(jù),通過安全通道實(shí)時(shí)傳輸?shù)皆贫?�,在云端為企業(yè)提供大數(shù)據(jù)分析挖掘��、工業(yè)應(yīng)用開發(fā)�、智能應(yīng)用增值等服務(wù)����。文獻(xiàn) [8] 研究了在虛擬化平臺上創(chuàng)建技術(shù)集成的數(shù)據(jù)中心網(wǎng)絡(luò),支持物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)行��,為數(shù)據(jù)中心的物聯(lián)網(wǎng)應(yīng)用程序提供了靈活性���、可伸縮性和功能拓展能力�����。 (四)基于云端部署的 SCADA 系統(tǒng) 參照儀器�、系統(tǒng)和自動化協(xié)會(ISA)制定的企業(yè)系統(tǒng)與控制系統(tǒng)集成國際標(biāo)準(zhǔn) ISA-95,工業(yè)自動化模型分為 5 個(gè)層次:業(yè)務(wù)和計(jì)劃�����、生產(chǎn)運(yùn)作管理�、監(jiān)督控制、工廠控制���、物理過程�����。其中���,前兩個(gè)層次歸屬于 IT 層面,后 3 個(gè)層次歸屬于 OT 層面���。監(jiān)督控制層(即 SCADA 系統(tǒng)所在的層)可視為 IT 與 OT 的分界面��,也是 IT 與 OT 實(shí)現(xiàn)聯(lián)接的關(guān)鍵點(diǎn)��。如果在這一層面實(shí)現(xiàn)了基于云的部署���,就可以構(gòu)建具有用戶(或操作員)遠(yuǎn)程監(jiān)視(使用傳感器)和控制(使用執(zhí)行器)功能的工業(yè)系統(tǒng)�,從而大幅提高 OT 與 IT 的聯(lián)接效率及靈活性���。有研究深入分析了 SCADA 系統(tǒng)在云部署時(shí)涉及的部署場景 [11]���,針對虛擬化、與云數(shù)據(jù)中心之間附加的網(wǎng)絡(luò)連接以及因安全措施而增加的計(jì)算負(fù)載��,設(shè)計(jì)了基準(zhǔn)測試系統(tǒng)��,獲得了不同配置下的云部署 SCADA 系統(tǒng)性能��;對云鏈接的 SCADA 系統(tǒng)建立了模型標(biāo)準(zhǔn)框架�����,形式化定義了 SCADA 系統(tǒng)的行為 [12]�����;基于微服務(wù)體系結(jié)構(gòu)開發(fā)的云化 SCADA 系統(tǒng)�,顯著提升了 SCADA 系統(tǒng)的性能 [13]。 四�、OT 與 IT 融合發(fā)展的技術(shù)路徑預(yù)判 OT 與 IT 融合,既能促進(jìn) IT 在 OT 端發(fā)揮網(wǎng)絡(luò)化��、云化����、智能化的作用,也可保障 OT 端更多利用 IT 端的使能技術(shù)���。融合模式主要分為兩類:將 OT 端的信息與 IT 端打通�����,即建立 IT 端與 OT 端的聯(lián)接�����;將 OT 端的信息輸出到 IT 端���,使得 OT 端信息在更大范圍內(nèi)共享,即 OT 端的信息云化��。 OT 與 IT 融合的理想局面��,在于追求統(tǒng)一的融合技術(shù)框架(如電力行業(yè)應(yīng)用示范 [14])。為了實(shí)現(xiàn) OT 與 IT 的雙向融合�����,主要從建立全套的計(jì)算棧體系���、持續(xù)發(fā)展工業(yè)互聯(lián)網(wǎng)兩個(gè)路徑來推動�����,同時(shí)加強(qiáng) OT 與 IT 融合的系統(tǒng)安全措施�。 (一)建立 IT 與 OT 技術(shù)融合的全套計(jì)算棧 制造業(yè)行業(yè)具有產(chǎn)品“量大面廣”的特點(diǎn)���,制造業(yè)生產(chǎn)線裝備是 IT 與 OT 技術(shù)融合的主戰(zhàn)場�����、工業(yè)制造業(yè)高質(zhì)量發(fā)展的關(guān)鍵領(lǐng)域�����。以 PLC、計(jì)算機(jī)數(shù)值控制(CNC)應(yīng)用為突破口���,加強(qiáng)自主可控全套計(jì)算棧的研發(fā)(見圖 1)�。在實(shí)現(xiàn) OT 端與 IT 端真正融合、推進(jìn) OT 端信息更大范圍共享和應(yīng)用的基礎(chǔ)上����,以自主可控的全套計(jì)算棧來撬動低檔生產(chǎn)線裝備向中高檔的升級(改造);在努力縮小與國際先進(jìn)水平差距的同時(shí)�,提升我國制造業(yè)行業(yè)的利潤率和國際競爭力,構(gòu)建適應(yīng)我國國情的智能裝備生態(tài)系統(tǒng)�。  圖 1 OT 與 IT 融合的全套計(jì)算棧結(jié)構(gòu)示意圖 目前,國外企業(yè)和產(chǎn)品依然主導(dǎo)了知識庫����、設(shè)計(jì)工具軟件、操作系統(tǒng)等諸多方面����,但國內(nèi)產(chǎn)品或開源社區(qū)具有替代基礎(chǔ);國外產(chǎn)品主導(dǎo)了處理器芯片市場�����,但國內(nèi)有替代技術(shù)基礎(chǔ)�����;國內(nèi)產(chǎn)品主導(dǎo)了其他計(jì)算機(jī)硬件和應(yīng)用軟件。作為工業(yè)設(shè)備的計(jì)算部件��,智能裝備計(jì)算棧是實(shí)現(xiàn) OT 與 IT 融合的關(guān)鍵之處和必經(jīng)途徑���,與工業(yè)設(shè)備的關(guān)系類似于安卓(Android)技術(shù)棧與智能手機(jī)�。 (二)持續(xù)推進(jìn)工業(yè)互聯(lián)網(wǎng) 工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn) OT 與 IT 融合的重要載體和關(guān)鍵平臺�,持續(xù)推進(jìn)相關(guān)的技術(shù)研發(fā)和行業(yè)深化應(yīng)用價(jià)值重大。工業(yè)互聯(lián)網(wǎng)的發(fā)展歷程交織著 IT���、 OT 與 CT 這 3 條主線 [15]��,平臺功能架構(gòu)(見圖 2)與云計(jì)算架構(gòu)高度類似���,但增加了邊緣層;包括基礎(chǔ)設(shè)施即服務(wù)(IaaS)�����、平臺即服務(wù)(PaaS)��、軟件即服務(wù)(SaaS)在內(nèi)的關(guān)鍵內(nèi)容也都類似于云計(jì)算�。邊緣層實(shí)質(zhì)上是生產(chǎn)現(xiàn)場,屬于 OT 部分�����。OT 位于底層�����,實(shí)施數(shù)據(jù)采集和動作執(zhí)行�����;CT 連接所有節(jié)點(diǎn)�,負(fù)責(zé)數(shù)據(jù)傳輸;IT 位于上層�,負(fù)責(zé)數(shù)據(jù)運(yùn)算和分析。  圖 2 工業(yè)互聯(lián)網(wǎng)平臺功能架構(gòu)示意圖 (三)加強(qiáng) OT 與 IT 融合的安全保障 工業(yè)系統(tǒng)從早期的“孤立”狀態(tài)發(fā)展到如今的開放式環(huán)境�,從最初使用的串行通信發(fā)展到當(dāng)前普遍采用的基于傳輸控制協(xié)議 / 網(wǎng)際協(xié)議(TCP/IP)的通信,不可避免地出現(xiàn)了信息安全相關(guān)的問題���。在 OT 與 IT 融合發(fā)展的過程中所面臨的安全挑戰(zhàn)�,主要包括兩大方面��。 一是 OT 系統(tǒng)自身的缺陷���?���;仡櫾O(shè)計(jì)初衷,OT 和關(guān)鍵基礎(chǔ)設(shè)施是與網(wǎng)絡(luò)隔離的���,因此不會受到來自外部的網(wǎng)絡(luò)安全威脅����。然而歷經(jīng)數(shù)字轉(zhuǎn)型之后��,這些曾經(jīng)孤立的系統(tǒng)變成了聯(lián)網(wǎng)設(shè)備��,成為攻擊者青睞的高價(jià)值目標(biāo)�����。此外�,SCADA、PLC 等面臨的安全風(fēng)險(xiǎn)也趨于顯現(xiàn)���。 二是 OT 與 IT 融合的安全風(fēng)險(xiǎn)����。由于 IT 的廣泛應(yīng)用,傳統(tǒng)的 OT 設(shè)備不再是在孤立網(wǎng)絡(luò)與專有平臺之上獨(dú)立運(yùn)行���,而是需要與其他系統(tǒng)進(jìn)行互聯(lián)互通���。二者融合從根本上解決了跨系統(tǒng)的互聯(lián)互通問題����,但帶來了諸如外部攻擊、內(nèi)部惡意漏洞攻擊�����、錯(cuò)誤操作等潛在的安全風(fēng)險(xiǎn)��,具體表現(xiàn)為以下方面�。 1. PLCs 安全 PLC 主要面臨自主保障和信息安全的問題,且自身設(shè)計(jì)存在缺陷�����。PLC 采用掃描式的工作方式(周期為 1~100 ms)��,在掃描周期結(jié)束之前無法進(jìn)行數(shù)據(jù)更新(PLC 輸入信號時(shí)間若小于反應(yīng)時(shí)間,將有誤讀的可能性)���;在每次程序執(zhí)行之后與下一次程序執(zhí)行之前輸出與輸入狀態(tài)會被更新 1 次(“程序結(jié)束再生”)���,這就給攻擊者留下了足夠的時(shí)間來實(shí)施惡意攻擊。此外,內(nèi)存容量小���、使用的操作系統(tǒng)存在較大安全隱患�����、采用的通信協(xié)議缺乏安全機(jī)制也是導(dǎo)致安全隱患的缺陷因素 [16]。 2. 遠(yuǎn)程終端單元(RTUs)安全 RTU 是 SCADA 系統(tǒng)的基本單元�����,面臨的安全風(fēng)險(xiǎn)主要來源于:① RTU 軟件平臺較多采用的嵌入式實(shí)時(shí)操作系統(tǒng)存在安全漏洞甚至未提供安全監(jiān)控與防護(hù)機(jī)制��;② SCADA系統(tǒng)啟動后將長期運(yùn)行�����、很難及時(shí)修復(fù)安全漏洞�,所在計(jì)算機(jī)遭遇病毒感染將成為 RTU 設(shè)備的安全威脅來源��;③ RTU 采用的通信協(xié)議缺少安全機(jī)制�����,以明文方式進(jìn)行信息傳輸,相應(yīng)通信過程易被監(jiān)聽和攻擊。重點(diǎn)發(fā)展網(wǎng)絡(luò)智能化 RTU 和智能安全 RTU�,前者可以提高網(wǎng)絡(luò)的利用率并實(shí)時(shí)傳輸數(shù)據(jù)�,后者要求在數(shù)據(jù)傳輸之前加密數(shù)據(jù)并采用密文形式進(jìn)行傳輸。 3. 人機(jī)界面(HMI)安全 在工廠規(guī)模擴(kuò)大、組織復(fù)雜程度增加的情況下,現(xiàn)場設(shè)備的控制精度和準(zhǔn)確度成為保障生產(chǎn)的主要因素���,這對工業(yè)控制的 HMI 產(chǎn)生重大影響�。傳統(tǒng) HMI 經(jīng)歷了文本型向圖形界面的轉(zhuǎn)變���,基本實(shí)現(xiàn)了多媒體信息的多樣化表達(dá)��,保障了用戶對工業(yè)控制現(xiàn)場設(shè)備的信息感知和處理能力要求 [17]�����。然而���, HMI�����、控制 PLC 通常帶有密碼設(shè)置�����,防止譯破密碼、偷走程序�����,保障系統(tǒng)安全���,成為 HMI 設(shè)計(jì)必須面對的關(guān)鍵問題��。既要防止產(chǎn)品自身的加密方法存在漏洞���,也可將中央處理器與程序存儲芯片“二合一”并進(jìn)行硬件加密�,還可取消通信線路的外部接口�。 4. SCADA 系統(tǒng)安全 SCADA 系統(tǒng)的安全風(fēng)險(xiǎn)主要來自未授權(quán)非法訪問、工業(yè)控制標(biāo)準(zhǔn)協(xié)議和通用技術(shù)的開放性��、工業(yè)控制軟硬件產(chǎn)品缺陷�、從業(yè)人員等方面 [13]。此外���,企業(yè)由于部署 SCADA 系統(tǒng)的云化�����,伴生了由云安全延伸而來的系統(tǒng)風(fēng)險(xiǎn)����。 五��、對策建議 (一)加強(qiáng) OT 與 IT 融合技術(shù)的標(biāo)準(zhǔn)化應(yīng)用 工業(yè)設(shè)備種類繁多����,接口標(biāo)準(zhǔn)與通信協(xié)議標(biāo)準(zhǔn)不夠統(tǒng)一,使得針對工業(yè)設(shè)備及過程的數(shù)據(jù)采集成為相對復(fù)雜的環(huán)節(jié)����。同時(shí)���,開發(fā)統(tǒng)一的融合框架來兼顧各類工業(yè)場景需求也較為困難。OT 與 IT 技術(shù)融合的標(biāo)準(zhǔn)化建設(shè)有待加強(qiáng)�。 正在興起的基于時(shí)間敏感網(wǎng)絡(luò)的 OPC 統(tǒng)一架構(gòu)(OPC UA over TSN)協(xié)議,以其豐富的功能受到各界關(guān)注���;在解決 OT 與 IT 網(wǎng)絡(luò)通信標(biāo)準(zhǔn)以及數(shù)據(jù)格式不統(tǒng)一問題的同時(shí)�����,幾乎可以實(shí)現(xiàn)“任意的數(shù)據(jù)訪問能力”�����。因此�����,結(jié)合國內(nèi)工業(yè)企業(yè)的實(shí)際業(yè)務(wù)需求,重點(diǎn)開展 OPC UA over TSN 協(xié)議的推廣使用��,對于 OT 與 IT 的融合發(fā)展尤為重要�。 (二)建立 OT 與 IT 技術(shù)融合的安全保障體系 一是實(shí)施關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)評估,為系統(tǒng)開發(fā)提供關(guān)鍵性的參考�����。對于重要資產(chǎn)應(yīng)合理加大保護(hù)力度,對于常規(guī)資產(chǎn)采取一定力度的防御措施即可�。通過合理劃分并重點(diǎn)保障,集中防御力量以更加準(zhǔn)確����、高效地實(shí)施系統(tǒng)防護(hù)。 二是提高對底層數(shù)據(jù)的關(guān)注度�����。建議改變當(dāng)前較多關(guān)注源地址�、源端口、目的地址�����、目的端口相關(guān)元數(shù)據(jù)的現(xiàn)象 [18]���,轉(zhuǎn)而關(guān)注 OT 系統(tǒng)底層和數(shù)據(jù)傳輸相關(guān)的數(shù)據(jù)���。規(guī)避 OT 系統(tǒng)通信安全機(jī)制可能存在的漏洞,通過深入理解底層數(shù)據(jù)來精準(zhǔn)保障系統(tǒng)安全����。 三是開發(fā)具有防入侵能力的檢測系統(tǒng)����。應(yīng)重點(diǎn)加強(qiáng)作為系統(tǒng)防護(hù)第一道門檻的入侵檢測系統(tǒng)研發(fā)����,檢測網(wǎng)絡(luò)數(shù)據(jù)包并建立網(wǎng)絡(luò)入侵行為數(shù)據(jù)庫,保持?jǐn)?shù)據(jù)庫的及時(shí)更新�,可以將較大比例的網(wǎng)絡(luò)攻擊拒之門外。 四是分離通信功能��。大多數(shù)的攻擊都是在 OT 與 IT 融合系統(tǒng)進(jìn)行網(wǎng)絡(luò)通信時(shí)發(fā)生的����,應(yīng)將負(fù)責(zé)網(wǎng)絡(luò)通信的功能部分從融合系統(tǒng)中分離出來;設(shè)計(jì)用于網(wǎng)絡(luò)通信的獨(dú)立系統(tǒng)�,注重與主系統(tǒng)信息交互的安全性。通過這種方式可以很大程度上降低 OT 與 IT 融合系統(tǒng)受到攻擊時(shí)所面臨的風(fēng)險(xiǎn)��。 五是加強(qiáng)運(yùn)用 AI 技術(shù)�。AI 技術(shù)處于新的蓬勃發(fā)展階段���,相關(guān)技術(shù)在 OT 與 IT 融合安全方面可以發(fā)揮更大的作用�����。通過 AI 賦予計(jì)算機(jī)學(xué)習(xí)��、識別和處理網(wǎng)絡(luò)攻擊行為的能力��,發(fā)展空間巨大�����、潛力凸顯�����。
|
