IPv6可以有效改善网络服务水平,提升服务体验和应用价值。特别是在物联网场景,通过与5G 技术的结合,纯IPv6将极大降低网络部署及运维成本,并借由一物一址标识、身份溯源等技术,极大程度提升网络安全能力的同时,实现对网络的精准管理。

如果我们从更加纯粹的网络安全角度出发,在IPv6规模部署甚至是纯 IPv6的趋势下,物联网资产将面临哪些安全挑战?

7月31日下午,绿盟科技应邀参与了由全球 IPv6论坛(IPv6 Forum)主办,下一代互联网国家工程中心、澳门科技大学承办,为期两天主题为“迈向网络新纪元,助力数字新基建”的“2020全球 IPv6 下一代互联网峰会”,并由绿盟科技创新中心总监刘文懋博士,带来了来自绿盟科技格物实验室的主题分享《IPv6趋势下的物联网资产安全治理的机遇与挑战》

绿盟科技创新中心总监 刘文懋

物联网资产安全治理迫在眉睫

2016年,由物联网僵尸网络 Mirai发动的大规模 DDoS 攻击,让人们对物联网资产的潜在风险和实际威胁第一次有了感知。2019年,日本等国已经开始通过颁布相应法令来推进物联网终端的安全治理。可以说,物联网的安全治理迫在眉睫。

2016年起,绿盟科技格物实验室已连续4年通过专题报告的形式对外发布在物联网安全领域的研究成果。绿盟科技认为,物联网资产安全治理的关键和首要阶段,在于资产的发现和识别。特别在 IPv4地址空间即将耗尽,IPv6 规模部署的全球趋势下,物联网资产的发现识别,更是面临诸多挑战,困难重重。

刘文懋博士表示,因为IPv6庞大地址空间的特性,以及全网持续推进的趋势,让通过遍历的方式进行物联网资产的识别发现基本不可能。虽然目前使用IPv6地址的实际数量还较少,但地址分布的随机性很强,所以全网遍历从时间和资源上都不切实际。

那么,如何在 IPv6的背景下,进行合理、有效的物联网资产识别?格物实验室给出了三个方向的探索成果:

1、通过种子 IPv6地址寻找物联网资产(基于概率生成预测地址集,并通过扫描HITList中地址资产是否开启 IPv4常用端口进一步确认。)

2、利用UPnP双栈等物联网协议特性帮助发现资产

3、寻找IPv6地址的分布特征,以及通过Scan6等新型软件的扫描实践

尽管以上三个方向都是一些有益的尝试,但总体来看,现阶段的技术手段远未成熟。在IPv6环境中,我们发现同样存在大量网络地址转换和动态地址分配的应用,无论是攻击者还是企业,完全掌握物联网资产都比较困难。所以,安全风险方面,绿盟科技认为,内网部署的物联网设备的暴露风险并没有明显增加,但始终会客观存在。

虽然当下还没有令人满意的IPv6物联网资产发现方法,但物联网资产的安全治理却已刻不容缓。从被动流量进行识别分析,可能将是未来数年内有前景的物联网安全治理主要手段。以 DDoS 攻击为主,通过被动异常流量检测结合 IPv6威胁情报的手段,可实时发现脆弱的IPv6资产,并借助云地人机融合的能力,对恶意的DDoS流量进行立体、灵活的缓解,这种技术手段将是IPv6网络中DDoS缓解的主要防护思路。

总体来看,IPv6将是支撑我国新基建战略的关键网络通信技术之一,特别是在URLLC、mMTC的5G场景下,海量物联网终端必然会采用IPv6技术组网,因而,保护IPv6的物联网安全,就是保护下一代关键基础设施的整体安全。可以说,IPv6物联网安全治理应当先行,刻不容缓。

绿盟科技格物实验室连续4年在物联网安全治理领域进行深入研究,拥有丰富的研究成果和能力积累。无论是IPv6的物联网资产发现识别,还是在IPv6的物联网威胁情报,配合全网的安全态势感知方案,将有助于更好的保障IPv6技术推进过程中的互联网上的关键基础设施安全。

IPv6可以有效改善网络服务水平,提升服务体验和应用价值。特别是在物联网场景,通过与5G 技术的结合,纯IPv6将极大降低网络部署及运维成本,并借由一物一址标识、身份溯源等技术,极大程度提升网络安全能力的同时,实现对网络的精准管理。

如果我们从更加纯粹的网络安全角度出发,在IPv6规模部署甚至是纯 IPv6的趋势下,物联网资产将面临哪些安全挑战?

7月31日下午,绿盟科技应邀参与了由全球 IPv6论坛(IPv6 Forum)主办,下一代互联网国家工程中心、澳门科技大学承办,为期两天主题为“迈向网络新纪元,助力数字新基建”的“2020全球 IPv6 下一代互联网峰会”,并由绿盟科技创新中心总监刘文懋博士,带来了来自绿盟科技格物实验室的主题分享《IPv6趋势下的物联网资产安全治理的机遇与挑战》

绿盟科技创新中心总监 刘文懋

物联网资产安全治理迫在眉睫

2016年,由物联网僵尸网络 Mirai发动的大规模 DDoS 攻击,让人们对物联网资产的潜在风险和实际威胁第一次有了感知。2019年,日本等国已经开始通过颁布相应法令来推进物联网终端的安全治理。可以说,物联网的安全治理迫在眉睫。

2016年起,绿盟科技格物实验室已连续4年通过专题报告的形式对外发布在物联网安全领域的研究成果。绿盟科技认为,物联网资产安全治理的关键和首要阶段,在于资产的发现和识别。特别在 IPv4地址空间即将耗尽,IPv6 规模部署的全球趋势下,物联网资产的发现识别,更是面临诸多挑战,困难重重。

刘文懋博士表示,因为IPv6庞大地址空间的特性,以及全网持续推进的趋势,让通过遍历的方式进行物联网资产的识别发现基本不可能。虽然目前使用IPv6地址的实际数量还较少,但地址分布的随机性很强,所以全网遍历从时间和资源上都不切实际。

那么,如何在 IPv6的背景下,进行合理、有效的物联网资产识别?格物实验室给出了三个方向的探索成果:

1、通过种子 IPv6地址寻找物联网资产(基于概率生成预测地址集,并通过扫描HITList中地址资产是否开启 IPv4常用端口进一步确认。)

2、利用UPnP双栈等物联网协议特性帮助发现资产

3、寻找IPv6地址的分布特征,以及通过Scan6等新型软件的扫描实践

尽管以上三个方向都是一些有益的尝试,但总体来看,现阶段的技术手段远未成熟。在IPv6环境中,我们发现同样存在大量网络地址转换和动态地址分配的应用,无论是攻击者还是企业,完全掌握物联网资产都比较困难。所以,安全风险方面,绿盟科技认为,内网部署的物联网设备的暴露风险并没有明显增加,但始终会客观存在。

虽然当下还没有令人满意的IPv6物联网资产发现方法,但物联网资产的安全治理却已刻不容缓。从被动流量进行识别分析,可能将是未来数年内有前景的物联网安全治理主要手段。以 DDoS 攻击为主,通过被动异常流量检测结合 IPv6威胁情报的手段,可实时发现脆弱的IPv6资产,并借助云地人机融合的能力,对恶意的DDoS流量进行立体、灵活的缓解,这种技术手段将是IPv6网络中DDoS缓解的主要防护思路。

总体来看,IPv6将是支撑我国新基建战略的关键网络通信技术之一,特别是在URLLC、mMTC的5G场景下,海量物联网终端必然会采用IPv6技术组网,因而,保护IPv6的物联网安全,就是保护下一代关键基础设施的整体安全。可以说,IPv6物联网安全治理应当先行,刻不容缓。

绿盟科技格物实验室连续4年在物联网安全治理领域进行深入研究,拥有丰富的研究成果和能力积累。无论是IPv6的物联网资产发现识别,还是在IPv6的物联网威胁情报,配合全网的安全态势感知方案,将有助于更好的保障IPv6技术推进过程中的互联网上的关键基础设施安全。

编者按:

《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。

在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

此篇连载内容为第最后一节: 实验室环境概述

本节详细介绍位于马里兰州的盖瑟斯堡的国家标准和技术研究所(NIST)总部的实验室环境(即实验室)。该实验室具有联网服务器组成的共享基础设施、评测工具、工业机器人、硬件在环仿真器等技术,为在两个制造系统(过程控制系统(PCS)[12]和协同机器人系统(CRS)[11])上实现《制造篇》提供支持。PCS和CRS利用工业硬件(如可编程逻辑控制器、机械手臂和传感器)、联网设备和工业协议模拟流程型制造系统和离散型制造系统。有关这两个系统的详情,请参见8.1节和8.2节。

图8-1所示的网络基础架构用于以下研究用途: 测试、部署和托管网络安全工具和网络流量评测系统、生成和操控用于触发异常网络活动的网络流量,以及存储实验数据文档。该架构使用了虚拟化环境,为构建该架构所需的大量网络安全技术和工具提供支持。

图8-1实验室网络基础架构

实验室网络基础架构可划分为三个独立的网络区域: 管理区、DMZ(非军事化)区和实验室区。管理区中的主机用于管理实验室设备(如网络硬件和虚拟化服务器)。DMZ区的主机用于在实验室网络和顶层网络(NIST网络)之间进行数据分享。实验室区包含可共享的评测服务器和工具以及用于托管网络安全工具的虚拟化架构。

实验室区连接本地PCS和CRS网络,这两种网络独立运行。PCS网络通过开放式最短路径优先(OSPF)路由协议连接实验室局域网,而CRS网络通过动态网络地址转换技术(动态NAT)连接实验室局域网。

PCS和CRS网络中都具备专用网络抓包服务器。该服务器通过两种方式抓包: 报文镜像和利用基于“线路插件”(bump-in-the-wire)技术的网络探针。要进行报文镜像,需配置网络设备(如路由器和交换机)对报文进行复制然后转发至另一端口。网络探针提供类似功能,但须通过线缆接入网络。在实验中,镜像的报文通过报文代理汇总为两种流(一种包含PCS流量,另一种包含CRS流量)。来自聚合器和网络探针的网络流量最终到达网络抓包服务器,该服务器对这些报文进行缓存、存储并随即进行处理从而计算衡量指标和关键性能指标用于实验分析。

8.1  流程型制造系统

过程控制系统模拟工业连续制造系统,实现材料连续生产和加工的制造过程。在该过程中,材料持续运动,发生化学反应或进行机械处理或热处理。从一般意义上说,连续制造指全天候(24/7)运行,基本不会因检修而停产,这与批量制造形成鲜明对比。例如,连续型制造系统可用于化工生产、炼油、天然气加工和废水处理。

过程控制系统(PCS)采取田纳西-伊斯曼挑战问题[9](真实存在的化工生产过程)作为化学反应仿真模型。该系统集成了Ricker[10]开发的控制算法用于控制模拟的化学反应。该系统采用可编程逻辑控制器(PLC)和工业网络交换机等广泛部署的工业硬件设备实现控制回路,对完整的连续型化工制造系统进行模拟。通过配置硬件在环(hardware-in-the-loop)技术,试验台可利用工业硬件设备评估制造系统的性能,并通过软件实现化工生产过程仿真。图8-2 PCS系统

8.1.1 控制系统运行

过程控制系统(PCS)中内置一款软件模拟器,用于模拟田纳西-伊斯曼化学反应过程。模拟器采用C代码编写,在基于Windows 7的计算机上执行。此外,该系统还包括可编程逻辑控制器(PLC)、通过MATLA实现的软件控制器、人机界面(HMI)、OPC(过程控制的对象链接与嵌入技术)数据访问(DA)服务器、历史数据库、工程工作站和数台虚拟局域网(VLAN)交换机和网络路由器。PCS部署在19英寸的机架系统中,如8-2图所示。

田纳西-伊斯曼工厂模拟器需要控制器实现控制回路,从而确保持续运营。Simulink中实现的分散式控制器(由Ricker [10]开发)可用作过程控制器。Ricker实现精确匹配工厂模拟器,控制器作为独立软件过程,运行在单独的计算机上,而工厂模拟器运行在另一台计算机上。

要实现工厂模拟器和控制器之间的通信,需部署提供工业网络协议能力的硬件PLC设备。采取工业协议实现工厂模拟器和PLC之间的通信。工厂模拟器将传感器信息发给控制器,控制器的算法基于传感器输入计算执行器所需的值,然后将这些值发回工厂控制器。

在工厂模拟器计算机上安装多节点DeviceNet卡。DeviceNet是自动化行业的一种通用工业协议,用于实现控制设备之间的数据交换。单个硬件设备可利用多节点卡模拟多个虚拟的DeviceNet节点。在我们的示例中,每个传感器和执行器均为专用节点。因此,该系统中配置了53个虚拟节点(包括传感器的41个虚拟节点和执行器的12个虚拟节点)。并且,开发了软件接口用于通过DeviceNet在工厂模拟器和PLC之间发送和接收传感器和执行器的值。

OPC DA服务器在Windows 7计算机上运行,充当PLC的主要数据网关。PLC与OPC DA服务器进行通信,对所有传感器和执行器的信息进行更新和检索。在PLC专业术语中,传感器和执行器的信息称为“标签”。该控制器提供MATLAB Simulink接口与OPC DA服务器直接通信。

该系统提供人机界面(HMI)和历史数据库。HMI为图形化用户界面,面向操作员或用户显示过程状态信息。历史数据库是记录所有过程传感器和执行器的信息的主数据库。HMI和历史数据库均通过内置接口与OPC DA建立连接,访问所有过程信息。

在该系统中,工程工作站用于提供工程支持,如PLC开发和控制、HMI开发和部署以及对历史数据库进行数据检索。

8.1.2  网络架构

PCS网络通过边界路由器与实验室主局域网隔离。路由器利用动态路由协议,即开放式最短路径优先(OSPF),与顶层的主路由器进行通信。网络架构如图8-3所示。

所有的网络流量均需通过边界路由器访问实验室的主局域网。

系统中存在两个虚拟网段,每个网络均由以太网交换机管理。HMI和控制器位于虚拟网络VLAN-1中,而工厂模拟器、历史数据库、OPC DA服务器和PLC位于虚拟网络VLAN-2中。

VLAN-1对中央控制室环境进行模拟。在该环境中,HMI和控制器以虚拟化的形式部署在同一网段。VLAN-2模拟由生产厂区、PLC、OPC服务器和历史数据库组成的过程运行环境。图8-3 PCS网络架构

8.2  离散型制造系统

CRS工作单元包括两个机械手臂,用于执行称为机器送料[11]的材料处理流程,如图8-4所示。这一机械化的机器送料流程利用机器人与机器进行交互,替代人类进行的手动操作(如装载和卸载机器的部件、打开和关闭机门、激活操作员控制面板的按钮等)。

图8-4 CRS工作单元准备就绪,等待操作员启动制造流程。操作员控制模板位于图的上部。

人类操作员通过人机界面(HMI)以及工作区外部的控制面板与工作单元进行交互。

工作单元需具备可重构性,支持多类作业方法、网络拓扑以及工业组网协议。这两个机器人互相配合,负责整个制造流程的部件输送。之所以部署两个机器人是因为该工作单元共有四个站,单个机器人无法同时接触这四个站。同时,部署两个机器人也提升了工作单元的效率。

8.2.1 控制系统运行

机械手臂通过四个模拟的机器操作(称为“站”)传输部件。每个站由以下装置组成: 固定装置(用于固定部件)、红外接近传感器(检测部件)、单板计算机(模拟典型加工中心的操作和通信)以及液晶显示屏(LCD,显示站的运行状态)。这些站通过工作单元的局域网与管理型PLC进行通信。管理型PLC对制造过程的方方面面进行监测和控制。PLC根据这四个加工站的制造数据确定机械装置需进行哪些必要操作(作业)才能确保部件在整个制造过程中持续正常运动。同时,PLC与HMI进行通信,便于操作员及时了解操作状态并进行管控。

工作单元由联网服务器组成的共享基础架构、评测工具和其他技术提供支持。该基础架构用于多项研究职能,如网络安全工具的测试、部署和托管、网络流量的评测和抓包系统、对触发异常网络活动的网络流量进行生成和处理以及实验数据文件存储。在实现中,同时部署了虚拟服务器基础架构为所需的多项网络安全技术和工具提供支持。

8.2.2 网络架构

如图8-5所示,CRS网络采取层级架构,将提供管理功能的设备与控制制造过程的设备进行隔离。工作单元的顶层路由器为西门子提供的RUGGEDCOM RX1510路由器,该路由器提供防火墙能力,实现基于规则的网络流量放行和限制。该路由器通过网络地址转换(NAT)连接实验室的局域网(即图8-5中的试验台局域网)。管理型局域网的二层网络流量由Netgear GS724T托管以太网交换机处理,而控制型局域网的网络流量由西门子i800托管以太网交换机处理。

路由器和网络交换机用于将收到的网络流量镜像至位于测量机架上的抓包服务器上。串联(即bump-in-the-wire)在网络中的网络探针部署在PLC、HMI和站1,专门用于将进出网络流量转发至抓包服务器。

所有的基于制造过程的网络通信均采取Modbus TCP工业网络协议,机器人控制器和机器人驱动程序之间的网络流量采取机器人操作系统(ROS)本身的TCPROS和UDPROS协议。图8-5机器人装配CRS网络

 

连载完

 

译者声明:

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

 

编者按:

《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。

在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

此篇连载内容为第最后一节: 实验室环境概述

本节详细介绍位于马里兰州的盖瑟斯堡的国家标准和技术研究所(NIST)总部的实验室环境(即实验室)。该实验室具有联网服务器组成的共享基础设施、评测工具、工业机器人、硬件在环仿真器等技术,为在两个制造系统(过程控制系统(PCS)[12]和协同机器人系统(CRS)[11])上实现《制造篇》提供支持。PCS和CRS利用工业硬件(如可编程逻辑控制器、机械手臂和传感器)、联网设备和工业协议模拟流程型制造系统和离散型制造系统。有关这两个系统的详情,请参见8.1节和8.2节。

图8-1所示的网络基础架构用于以下研究用途: 测试、部署和托管网络安全工具和网络流量评测系统、生成和操控用于触发异常网络活动的网络流量,以及存储实验数据文档。该架构使用了虚拟化环境,为构建该架构所需的大量网络安全技术和工具提供支持。

图8-1实验室网络基础架构

实验室网络基础架构可划分为三个独立的网络区域: 管理区、DMZ(非军事化)区和实验室区。管理区中的主机用于管理实验室设备(如网络硬件和虚拟化服务器)。DMZ区的主机用于在实验室网络和顶层网络(NIST网络)之间进行数据分享。实验室区包含可共享的评测服务器和工具以及用于托管网络安全工具的虚拟化架构。

实验室区连接本地PCS和CRS网络,这两种网络独立运行。PCS网络通过开放式最短路径优先(OSPF)路由协议连接实验室局域网,而CRS网络通过动态网络地址转换技术(动态NAT)连接实验室局域网。

PCS和CRS网络中都具备专用网络抓包服务器。该服务器通过两种方式抓包: 报文镜像和利用基于“线路插件”(bump-in-the-wire)技术的网络探针。要进行报文镜像,需配置网络设备(如路由器和交换机)对报文进行复制然后转发至另一端口。网络探针提供类似功能,但须通过线缆接入网络。在实验中,镜像的报文通过报文代理汇总为两种流(一种包含PCS流量,另一种包含CRS流量)。来自聚合器和网络探针的网络流量最终到达网络抓包服务器,该服务器对这些报文进行缓存、存储并随即进行处理从而计算衡量指标和关键性能指标用于实验分析。

8.1  流程型制造系统

过程控制系统模拟工业连续制造系统,实现材料连续生产和加工的制造过程。在该过程中,材料持续运动,发生化学反应或进行机械处理或热处理。从一般意义上说,连续制造指全天候(24/7)运行,基本不会因检修而停产,这与批量制造形成鲜明对比。例如,连续型制造系统可用于化工生产、炼油、天然气加工和废水处理。

过程控制系统(PCS)采取田纳西-伊斯曼挑战问题[9](真实存在的化工生产过程)作为化学反应仿真模型。该系统集成了Ricker[10]开发的控制算法用于控制模拟的化学反应。该系统采用可编程逻辑控制器(PLC)和工业网络交换机等广泛部署的工业硬件设备实现控制回路,对完整的连续型化工制造系统进行模拟。通过配置硬件在环(hardware-in-the-loop)技术,试验台可利用工业硬件设备评估制造系统的性能,并通过软件实现化工生产过程仿真。图8-2 PCS系统

8.1.1 控制系统运行

过程控制系统(PCS)中内置一款软件模拟器,用于模拟田纳西-伊斯曼化学反应过程。模拟器采用C代码编写,在基于Windows 7的计算机上执行。此外,该系统还包括可编程逻辑控制器(PLC)、通过MATLA实现的软件控制器、人机界面(HMI)、OPC(过程控制的对象链接与嵌入技术)数据访问(DA)服务器、历史数据库、工程工作站和数台虚拟局域网(VLAN)交换机和网络路由器。PCS部署在19英寸的机架系统中,如8-2图所示。

田纳西-伊斯曼工厂模拟器需要控制器实现控制回路,从而确保持续运营。Simulink中实现的分散式控制器(由Ricker [10]开发)可用作过程控制器。Ricker实现精确匹配工厂模拟器,控制器作为独立软件过程,运行在单独的计算机上,而工厂模拟器运行在另一台计算机上。

要实现工厂模拟器和控制器之间的通信,需部署提供工业网络协议能力的硬件PLC设备。采取工业协议实现工厂模拟器和PLC之间的通信。工厂模拟器将传感器信息发给控制器,控制器的算法基于传感器输入计算执行器所需的值,然后将这些值发回工厂控制器。

在工厂模拟器计算机上安装多节点DeviceNet卡。DeviceNet是自动化行业的一种通用工业协议,用于实现控制设备之间的数据交换。单个硬件设备可利用多节点卡模拟多个虚拟的DeviceNet节点。在我们的示例中,每个传感器和执行器均为专用节点。因此,该系统中配置了53个虚拟节点(包括传感器的41个虚拟节点和执行器的12个虚拟节点)。并且,开发了软件接口用于通过DeviceNet在工厂模拟器和PLC之间发送和接收传感器和执行器的值。

OPC DA服务器在Windows 7计算机上运行,充当PLC的主要数据网关。PLC与OPC DA服务器进行通信,对所有传感器和执行器的信息进行更新和检索。在PLC专业术语中,传感器和执行器的信息称为“标签”。该控制器提供MATLAB Simulink接口与OPC DA服务器直接通信。

该系统提供人机界面(HMI)和历史数据库。HMI为图形化用户界面,面向操作员或用户显示过程状态信息。历史数据库是记录所有过程传感器和执行器的信息的主数据库。HMI和历史数据库均通过内置接口与OPC DA建立连接,访问所有过程信息。

在该系统中,工程工作站用于提供工程支持,如PLC开发和控制、HMI开发和部署以及对历史数据库进行数据检索。

8.1.2  网络架构

PCS网络通过边界路由器与实验室主局域网隔离。路由器利用动态路由协议,即开放式最短路径优先(OSPF),与顶层的主路由器进行通信。网络架构如图8-3所示。

所有的网络流量均需通过边界路由器访问实验室的主局域网。

系统中存在两个虚拟网段,每个网络均由以太网交换机管理。HMI和控制器位于虚拟网络VLAN-1中,而工厂模拟器、历史数据库、OPC DA服务器和PLC位于虚拟网络VLAN-2中。

VLAN-1对中央控制室环境进行模拟。在该环境中,HMI和控制器以虚拟化的形式部署在同一网段。VLAN-2模拟由生产厂区、PLC、OPC服务器和历史数据库组成的过程运行环境。图8-3 PCS网络架构

8.2  离散型制造系统

CRS工作单元包括两个机械手臂,用于执行称为机器送料[11]的材料处理流程,如图8-4所示。这一机械化的机器送料流程利用机器人与机器进行交互,替代人类进行的手动操作(如装载和卸载机器的部件、打开和关闭机门、激活操作员控制面板的按钮等)。

图8-4 CRS工作单元准备就绪,等待操作员启动制造流程。操作员控制模板位于图的上部。

人类操作员通过人机界面(HMI)以及工作区外部的控制面板与工作单元进行交互。

工作单元需具备可重构性,支持多类作业方法、网络拓扑以及工业组网协议。这两个机器人互相配合,负责整个制造流程的部件输送。之所以部署两个机器人是因为该工作单元共有四个站,单个机器人无法同时接触这四个站。同时,部署两个机器人也提升了工作单元的效率。

8.2.1 控制系统运行

机械手臂通过四个模拟的机器操作(称为“站”)传输部件。每个站由以下装置组成: 固定装置(用于固定部件)、红外接近传感器(检测部件)、单板计算机(模拟典型加工中心的操作和通信)以及液晶显示屏(LCD,显示站的运行状态)。这些站通过工作单元的局域网与管理型PLC进行通信。管理型PLC对制造过程的方方面面进行监测和控制。PLC根据这四个加工站的制造数据确定机械装置需进行哪些必要操作(作业)才能确保部件在整个制造过程中持续正常运动。同时,PLC与HMI进行通信,便于操作员及时了解操作状态并进行管控。

工作单元由联网服务器组成的共享基础架构、评测工具和其他技术提供支持。该基础架构用于多项研究职能,如网络安全工具的测试、部署和托管、网络流量的评测和抓包系统、对触发异常网络活动的网络流量进行生成和处理以及实验数据文件存储。在实现中,同时部署了虚拟服务器基础架构为所需的多项网络安全技术和工具提供支持。

8.2.2 网络架构

如图8-5所示,CRS网络采取层级架构,将提供管理功能的设备与控制制造过程的设备进行隔离。工作单元的顶层路由器为西门子提供的RUGGEDCOM RX1510路由器,该路由器提供防火墙能力,实现基于规则的网络流量放行和限制。该路由器通过网络地址转换(NAT)连接实验室的局域网(即图8-5中的试验台局域网)。管理型局域网的二层网络流量由Netgear GS724T托管以太网交换机处理,而控制型局域网的网络流量由西门子i800托管以太网交换机处理。

路由器和网络交换机用于将收到的网络流量镜像至位于测量机架上的抓包服务器上。串联(即bump-in-the-wire)在网络中的网络探针部署在PLC、HMI和站1,专门用于将进出网络流量转发至抓包服务器。

所有的基于制造过程的网络通信均采取Modbus TCP工业网络协议,机器人控制器和机器人驱动程序之间的网络流量采取机器人操作系统(ROS)本身的TCPROS和UDPROS协议。图8-5机器人装配CRS网络

 

连载完

 

译者声明:

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

 

编者按:

《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。

在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

此篇连载内容为第最后一节: 实验室环境概述

本节详细介绍位于马里兰州的盖瑟斯堡的国家标准和技术研究所(NIST)总部的实验室环境(即实验室)。该实验室具有联网服务器组成的共享基础设施、评测工具、工业机器人、硬件在环仿真器等技术,为在两个制造系统(过程控制系统(PCS)[12]和协同机器人系统(CRS)[11])上实现《制造篇》提供支持。PCS和CRS利用工业硬件(如可编程逻辑控制器、机械手臂和传感器)、联网设备和工业协议模拟流程型制造系统和离散型制造系统。有关这两个系统的详情,请参见8.1节和8.2节。

图8-1所示的网络基础架构用于以下研究用途: 测试、部署和托管网络安全工具和网络流量评测系统、生成和操控用于触发异常网络活动的网络流量,以及存储实验数据文档。该架构使用了虚拟化环境,为构建该架构所需的大量网络安全技术和工具提供支持。

图8-1实验室网络基础架构

实验室网络基础架构可划分为三个独立的网络区域: 管理区、DMZ(非军事化)区和实验室区。管理区中的主机用于管理实验室设备(如网络硬件和虚拟化服务器)。DMZ区的主机用于在实验室网络和顶层网络(NIST网络)之间进行数据分享。实验室区包含可共享的评测服务器和工具以及用于托管网络安全工具的虚拟化架构。

实验室区连接本地PCS和CRS网络,这两种网络独立运行。PCS网络通过开放式最短路径优先(OSPF)路由协议连接实验室局域网,而CRS网络通过动态网络地址转换技术(动态NAT)连接实验室局域网。

PCS和CRS网络中都具备专用网络抓包服务器。该服务器通过两种方式抓包: 报文镜像和利用基于“线路插件”(bump-in-the-wire)技术的网络探针。要进行报文镜像,需配置网络设备(如路由器和交换机)对报文进行复制然后转发至另一端口。网络探针提供类似功能,但须通过线缆接入网络。在实验中,镜像的报文通过报文代理汇总为两种流(一种包含PCS流量,另一种包含CRS流量)。来自聚合器和网络探针的网络流量最终到达网络抓包服务器,该服务器对这些报文进行缓存、存储并随即进行处理从而计算衡量指标和关键性能指标用于实验分析。

8.1  流程型制造系统

过程控制系统模拟工业连续制造系统,实现材料连续生产和加工的制造过程。在该过程中,材料持续运动,发生化学反应或进行机械处理或热处理。从一般意义上说,连续制造指全天候(24/7)运行,基本不会因检修而停产,这与批量制造形成鲜明对比。例如,连续型制造系统可用于化工生产、炼油、天然气加工和废水处理。

过程控制系统(PCS)采取田纳西-伊斯曼挑战问题[9](真实存在的化工生产过程)作为化学反应仿真模型。该系统集成了Ricker[10]开发的控制算法用于控制模拟的化学反应。该系统采用可编程逻辑控制器(PLC)和工业网络交换机等广泛部署的工业硬件设备实现控制回路,对完整的连续型化工制造系统进行模拟。通过配置硬件在环(hardware-in-the-loop)技术,试验台可利用工业硬件设备评估制造系统的性能,并通过软件实现化工生产过程仿真。图8-2 PCS系统

8.1.1 控制系统运行

过程控制系统(PCS)中内置一款软件模拟器,用于模拟田纳西-伊斯曼化学反应过程。模拟器采用C代码编写,在基于Windows 7的计算机上执行。此外,该系统还包括可编程逻辑控制器(PLC)、通过MATLA实现的软件控制器、人机界面(HMI)、OPC(过程控制的对象链接与嵌入技术)数据访问(DA)服务器、历史数据库、工程工作站和数台虚拟局域网(VLAN)交换机和网络路由器。PCS部署在19英寸的机架系统中,如8-2图所示。

田纳西-伊斯曼工厂模拟器需要控制器实现控制回路,从而确保持续运营。Simulink中实现的分散式控制器(由Ricker [10]开发)可用作过程控制器。Ricker实现精确匹配工厂模拟器,控制器作为独立软件过程,运行在单独的计算机上,而工厂模拟器运行在另一台计算机上。

要实现工厂模拟器和控制器之间的通信,需部署提供工业网络协议能力的硬件PLC设备。采取工业协议实现工厂模拟器和PLC之间的通信。工厂模拟器将传感器信息发给控制器,控制器的算法基于传感器输入计算执行器所需的值,然后将这些值发回工厂控制器。

在工厂模拟器计算机上安装多节点DeviceNet卡。DeviceNet是自动化行业的一种通用工业协议,用于实现控制设备之间的数据交换。单个硬件设备可利用多节点卡模拟多个虚拟的DeviceNet节点。在我们的示例中,每个传感器和执行器均为专用节点。因此,该系统中配置了53个虚拟节点(包括传感器的41个虚拟节点和执行器的12个虚拟节点)。并且,开发了软件接口用于通过DeviceNet在工厂模拟器和PLC之间发送和接收传感器和执行器的值。

OPC DA服务器在Windows 7计算机上运行,充当PLC的主要数据网关。PLC与OPC DA服务器进行通信,对所有传感器和执行器的信息进行更新和检索。在PLC专业术语中,传感器和执行器的信息称为“标签”。该控制器提供MATLAB Simulink接口与OPC DA服务器直接通信。

该系统提供人机界面(HMI)和历史数据库。HMI为图形化用户界面,面向操作员或用户显示过程状态信息。历史数据库是记录所有过程传感器和执行器的信息的主数据库。HMI和历史数据库均通过内置接口与OPC DA建立连接,访问所有过程信息。

在该系统中,工程工作站用于提供工程支持,如PLC开发和控制、HMI开发和部署以及对历史数据库进行数据检索。

8.1.2  网络架构

PCS网络通过边界路由器与实验室主局域网隔离。路由器利用动态路由协议,即开放式最短路径优先(OSPF),与顶层的主路由器进行通信。网络架构如图8-3所示。

所有的网络流量均需通过边界路由器访问实验室的主局域网。

系统中存在两个虚拟网段,每个网络均由以太网交换机管理。HMI和控制器位于虚拟网络VLAN-1中,而工厂模拟器、历史数据库、OPC DA服务器和PLC位于虚拟网络VLAN-2中。

VLAN-1对中央控制室环境进行模拟。在该环境中,HMI和控制器以虚拟化的形式部署在同一网段。VLAN-2模拟由生产厂区、PLC、OPC服务器和历史数据库组成的过程运行环境。图8-3 PCS网络架构

8.2  离散型制造系统

CRS工作单元包括两个机械手臂,用于执行称为机器送料[11]的材料处理流程,如图8-4所示。这一机械化的机器送料流程利用机器人与机器进行交互,替代人类进行的手动操作(如装载和卸载机器的部件、打开和关闭机门、激活操作员控制面板的按钮等)。

图8-4 CRS工作单元准备就绪,等待操作员启动制造流程。操作员控制模板位于图的上部。

人类操作员通过人机界面(HMI)以及工作区外部的控制面板与工作单元进行交互。

工作单元需具备可重构性,支持多类作业方法、网络拓扑以及工业组网协议。这两个机器人互相配合,负责整个制造流程的部件输送。之所以部署两个机器人是因为该工作单元共有四个站,单个机器人无法同时接触这四个站。同时,部署两个机器人也提升了工作单元的效率。

8.2.1 控制系统运行

机械手臂通过四个模拟的机器操作(称为“站”)传输部件。每个站由以下装置组成: 固定装置(用于固定部件)、红外接近传感器(检测部件)、单板计算机(模拟典型加工中心的操作和通信)以及液晶显示屏(LCD,显示站的运行状态)。这些站通过工作单元的局域网与管理型PLC进行通信。管理型PLC对制造过程的方方面面进行监测和控制。PLC根据这四个加工站的制造数据确定机械装置需进行哪些必要操作(作业)才能确保部件在整个制造过程中持续正常运动。同时,PLC与HMI进行通信,便于操作员及时了解操作状态并进行管控。

工作单元由联网服务器组成的共享基础架构、评测工具和其他技术提供支持。该基础架构用于多项研究职能,如网络安全工具的测试、部署和托管、网络流量的评测和抓包系统、对触发异常网络活动的网络流量进行生成和处理以及实验数据文件存储。在实现中,同时部署了虚拟服务器基础架构为所需的多项网络安全技术和工具提供支持。

8.2.2 网络架构

如图8-5所示,CRS网络采取层级架构,将提供管理功能的设备与控制制造过程的设备进行隔离。工作单元的顶层路由器为西门子提供的RUGGEDCOM RX1510路由器,该路由器提供防火墙能力,实现基于规则的网络流量放行和限制。该路由器通过网络地址转换(NAT)连接实验室的局域网(即图8-5中的试验台局域网)。管理型局域网的二层网络流量由Netgear GS724T托管以太网交换机处理,而控制型局域网的网络流量由西门子i800托管以太网交换机处理。

路由器和网络交换机用于将收到的网络流量镜像至位于测量机架上的抓包服务器上。串联(即bump-in-the-wire)在网络中的网络探针部署在PLC、HMI和站1,专门用于将进出网络流量转发至抓包服务器。

所有的基于制造过程的网络通信均采取Modbus TCP工业网络协议,机器人控制器和机器人驱动程序之间的网络流量采取机器人操作系统(ROS)本身的TCPROS和UDPROS协议。图8-5机器人装配CRS网络

 

连载完

 

译者声明:

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

 

随着科技进步和社会发展,视频监控作为实时监控管理、主动预警、震慑犯罪及为事件后期取证的重要手段,广泛应用于平安城市、天网工程、雪亮工程、交通治理、智慧城市等多个重要领域。

按照《中华人民共和国网络安全法》第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

2019年12月1日,网络安全等级保护2.0国家标准正式实施。网络安全等级保护2.0标准是网络安全的一次重大升级,保护对象范围在传统系统的基础上扩大到了云计算、工业控制系统、物联网等场景。同时网络安全等级保护条例(征求意见稿)规定在中华人民共和国境内建设、运营、维护、使用网络,都必须开展网络安全等级保护工作以及监督管理。

公共安全视频监控网络作为维护公共安全的重要设施,其视频数据传输的主干网和视频监控系统的安全防护设施应根据实际情况参照信息系统安全等级保护三级或以上标准进行建设。

一、业务挑战

视频监控网络作为典型的物联网系统几乎占据了物联网大半比重,整个网络均是有24小时全天在线的终端组成,普遍都存在各种安全问题,如弱口令、系统后门和远程代码可执行漏洞等。这些处于完全开放或半开放状态的视频监控系统,极易造成敏感数据泄露、设备被用于恶意控制等危害,给公共视频安全造成重大影响。

二、方案架构

绿盟科技依托国家网络安全等级保护法律、法规和标准体系,持续致力于等级保护综合防御能力研究和安全体系建设。针对公共安全视频监控的建设,首先通过“一个中心”管理下的安全通信网络、安全区域边界、安全计算环境以及安全管理体系的建设,总体规划满足不低于等级三级的网络安全纵深防御体系。

同时考虑到公共安全视频监控网络的特殊性,针对前端视频监控设备,充分参考等级保护2.0物联网安全扩展要求的内容,从感知终端、传输层、平台层不同层次上实施不同的安全机制,形成多视角,立体化的安全体系。

最后结合行业相关规范,在满足等级保护2.0标准要求的基础上,按照“严控边界、纵深防御、主动监测、全面审计”的要求建立整个视频传输网络的纵深防御体系,保障全网安全的可知、可管、可防、可控和合规,建立全程可控的视频监控网络安全环境。

三、典型案例

1. 咸宁市大数据中心电子政务视频共享平台建设项目

咸宁市政务服务和大数据管理局依托电子政务外网搭建市级电子政务视频共享平台,通过安全边界实现对社会类视频监控资源的汇聚和安全共享,同时在保障安全可控的前提下,逐步丰富接入视频数据类型,为不同部门提供可视化的政务服务管理。本次项目方案的设计满足平台上各类的业务应用、视频整合标准及规范,同时安全设计符合国家等级保护三级建设要求,满足各项安全需求。方案从前端接入安全、互联安全、等保合规安全建设三个方向建立全面的安全防护体系。并针对公共安全视频平台各层架构上的安全隐患分别实施相应的措施。

2. 长沙市开福区雪亮工程采购项目

长沙市开福区雪亮工程建设中涉及政府部门、重点行业、社会公众的公共安全视频监控资源整合,各视频图像信息共享平台分别部署在电子政务外网与视频专网上,不同网络上各平台需要互联互通。项目中视频图像信息共享平台设计按照等保三级要求,在电子政务外网内建立完善的信息安全防护技术手段和措施,建设公安视频专网与电子政务外网安全接入系统,保证整个公共视频监控平台安全、可控、可用。

四、方案价值

绿盟科技已发布等级保护2.0系列解决方案,相关咨询请拨打热线:400-818-6868或联系绿盟科技各分公司、办事处的相关人员。

因为医疗卫生和网络安全这两个行业的相似性,经常被安全行业的从业人士拿来对比。此次全球突发的新冠疫情,也给了网络安全行业许多可以借鉴、反思的素材。不仅仅只有安全事件的发生,整个赛博空间在任何时间、任意角落都有可能是对抗的一线。作为专业、可信赖的安全供应商,我们需要深谙攻防之道,需要从技术角度进行前瞻性的研究,还需要明确安全趋势,更需要为帮助客户构建安全能力打磨我们的产品与服务,不断完善我们的理念与实践。这是《安全+》通过四个栏目设置想要表达出的含义,也是读者阅读时可选择的方向和文章内容承载的价值。

疫情改变了世界,改变了我们的生活。当疫情防控成为常态,我们该如何适应“新生活”?戴口罩出行已成“新时尚”,远程办公的“夙愿”得以实现,电影大片定档遥遥无期,出游计划无限延迟……在当前的生活方式下,重新思考,继续出发,本期《绿盟+》与你分享疫情时代的绿盟人生活。

电子版内刊获取渠道

在线阅读

【绿盟科技官网】-【关于绿盟】-【企业刊物】(适配移动端阅读)

【微信科技官微】-【绿盟精选】-【企业刊物】

随着科技进步和社会发展,视频监控作为实时监控管理、主动预警、震慑犯罪及为事件后期取证的重要手段,广泛应用于平安城市、天网工程、雪亮工程、交通治理、智慧城市等多个重要领域。

按照《中华人民共和国网络安全法》第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

2019年12月1日,网络安全等级保护2.0国家标准正式实施。网络安全等级保护2.0标准是网络安全的一次重大升级,保护对象范围在传统系统的基础上扩大到了云计算、工业控制系统、物联网等场景。同时网络安全等级保护条例(征求意见稿)规定在中华人民共和国境内建设、运营、维护、使用网络,都必须开展网络安全等级保护工作以及监督管理。

公共安全视频监控网络作为维护公共安全的重要设施,其视频数据传输的主干网和视频监控系统的安全防护设施应根据实际情况参照信息系统安全等级保护三级或以上标准进行建设。

一、业务挑战

视频监控网络作为典型的物联网系统几乎占据了物联网大半比重,整个网络均是有24小时全天在线的终端组成,普遍都存在各种安全问题,如弱口令、系统后门和远程代码可执行漏洞等。这些处于完全开放或半开放状态的视频监控系统,极易造成敏感数据泄露、设备被用于恶意控制等危害,给公共视频安全造成重大影响。

二、方案架构

绿盟科技依托国家网络安全等级保护法律、法规和标准体系,持续致力于等级保护综合防御能力研究和安全体系建设。针对公共安全视频监控的建设,首先通过“一个中心”管理下的安全通信网络、安全区域边界、安全计算环境以及安全管理体系的建设,总体规划满足不低于等级三级的网络安全纵深防御体系。

同时考虑到公共安全视频监控网络的特殊性,针对前端视频监控设备,充分参考等级保护2.0物联网安全扩展要求的内容,从感知终端、传输层、平台层不同层次上实施不同的安全机制,形成多视角,立体化的安全体系。

最后结合行业相关规范,在满足等级保护2.0标准要求的基础上,按照“严控边界、纵深防御、主动监测、全面审计”的要求建立整个视频传输网络的纵深防御体系,保障全网安全的可知、可管、可防、可控和合规,建立全程可控的视频监控网络安全环境。

三、典型案例

1. 咸宁市大数据中心电子政务视频共享平台建设项目

咸宁市政务服务和大数据管理局依托电子政务外网搭建市级电子政务视频共享平台,通过安全边界实现对社会类视频监控资源的汇聚和安全共享,同时在保障安全可控的前提下,逐步丰富接入视频数据类型,为不同部门提供可视化的政务服务管理。本次项目方案的设计满足平台上各类的业务应用、视频整合标准及规范,同时安全设计符合国家等级保护三级建设要求,满足各项安全需求。方案从前端接入安全、互联安全、等保合规安全建设三个方向建立全面的安全防护体系。并针对公共安全视频平台各层架构上的安全隐患分别实施相应的措施。

2. 长沙市开福区雪亮工程采购项目

长沙市开福区雪亮工程建设中涉及政府部门、重点行业、社会公众的公共安全视频监控资源整合,各视频图像信息共享平台分别部署在电子政务外网与视频专网上,不同网络上各平台需要互联互通。项目中视频图像信息共享平台设计按照等保三级要求,在电子政务外网内建立完善的信息安全防护技术手段和措施,建设公安视频专网与电子政务外网安全接入系统,保证整个公共视频监控平台安全、可控、可用。

四、方案价值

绿盟科技已发布等级保护2.0系列解决方案,相关咨询请拨打热线:400-818-6868或联系绿盟科技各分公司、办事处的相关人员。

因为医疗卫生和网络安全这两个行业的相似性,经常被安全行业的从业人士拿来对比。此次全球突发的新冠疫情,也给了网络安全行业许多可以借鉴、反思的素材。不仅仅只有安全事件的发生,整个赛博空间在任何时间、任意角落都有可能是对抗的一线。作为专业、可信赖的安全供应商,我们需要深谙攻防之道,需要从技术角度进行前瞻性的研究,还需要明确安全趋势,更需要为帮助客户构建安全能力打磨我们的产品与服务,不断完善我们的理念与实践。这是《安全+》通过四个栏目设置想要表达出的含义,也是读者阅读时可选择的方向和文章内容承载的价值。

疫情改变了世界,改变了我们的生活。当疫情防控成为常态,我们该如何适应“新生活”?戴口罩出行已成“新时尚”,远程办公的“夙愿”得以实现,电影大片定档遥遥无期,出游计划无限延迟……在当前的生活方式下,重新思考,继续出发,本期《绿盟+》与你分享疫情时代的绿盟人生活。

电子版内刊获取渠道

在线阅读

【绿盟科技官网】-【关于绿盟】-【企业刊物】(适配移动端阅读)

【微信科技官微】-【绿盟精选】-【企业刊物】

编者按:

《NIST网络安全框架制造篇》为制造商管理网络安全风险提供了思路,可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。

在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

此篇连载内容为第7节: 能力与制造篇的对应关系

本节分析了实现各子类需求要采取的政策和程序(见第五节)和/或技术方案(见第六节),并列举了小型制造商实现这些需求可能要采取的方案。判断这些方案是否可行主要取决于成本、易用性以及要投入的工作量。表中所列举的可能方案仅为示例,并非全部。关于每个用例的实验室环境中实施的特定方案,我们将在卷2和卷3中介绍。

连载(三)完

 

下期连载内容:第8节 实验室环境概述

第8节将详细介绍位于马里兰州的盖瑟斯堡的国家标准和技术研究所(NIST)总部的实验室环境(即实验室)。该实验室具有联网服务器组成的共享基础设施、评测工具、工业机器人、硬件在环仿真器等技术,为在两个制造系统(过程控制系统(PCS)和协同机器人系统(CRS))上实现《制造篇》提供支持。

本指南第1卷—总体指导的英文原文可从以下地址免费获取:

https://doi.org/10.6028/NIST.IR.8183A-1 

本指南其余两卷为:

NISTIR 8183A第2卷,网络安全框架制造篇低影响性示例实施指南:第2卷—流程型制造系统用例

https://doi.org/10.6028/NIST.IR.8183A-2

NISTIR 8183A第3卷,网络安全框架制造篇低影响性示例实施指南:第3卷—离散型制造系统用例

https://doi.org/10.6028/NIST.IR.8183A-3

 

译者声明

本文由 “安全加”社区小蜜蜂公益翻译组合作完成,免责声明及相关责任由“安全加”社区承担。

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。