确保制造资产在云端安全|千尘机器人之家-机器人行业专业门户平台

使用正确的基于云的安全工具，制造商可以锁定和封锁工厂车间设备以防潜在黑客攻击

网络安全恐怖故事比比皆是，足以提供制造数据安全主管经常做噩梦。好像 Stuxnet 和“想哭”勒索软件案例的故事还不够，最近在包括《华尔街日报》在内的几家出版物上都有报道称，澳大利亚的黑客窃取了包括 F-35 在内的备受瞩目的国防设备资产的敏感数据联合攻击战斗机 (JSF)。在绝大多数情况下，人为错误（例如未遵循适当的网络安全协议和使用易于猜测的密码）似乎是罪魁祸首。这使得银行、电力基础设施、航空航天/国防和制造业中的数据容易受到不断增长的网络威胁的攻击。

提高网络安全的最佳方法之一是勤奋地应用软件补丁。在声名狼藉的由于 Equifax 漏洞，该公司未能对其网络安全系统中使用的开源程序 Apache Struts 应用关键补丁。这使黑客能够渗透到 Equifax 的数据库中，窃取美国多达 1.43 亿人的信息，英国和加拿大的人数更多。

像这样的坏消息可以让云软件和基于云的业务运营成为可能一个坏名声。事实上，云网络安全实践与仅用于本地安装的网络安全实践并无太大区别，但在连接到 Internet 的云上，黑客有更多机会从未上锁的门潜入。

确保工厂安全

电网、金融机构和零售商都曾遭受过网络攻击。制造业务并未报告很多重大入侵，但根据 9 月份发布的一项研究，多达一半的中小型企业 (SMB) 将在物联网上支付赎金s (IoT) 设备回收其数据。

网络安全系统（包括基于其 MindSphere 操作系统构建的云工具）使 Siemens PLM Software 能够密切关注全球网络威胁。图片由 Siemens AG 提供

安全运营中心 (SOC) 即服务供应商 Arctic Wolf Networks Inc.（加利福尼亚州桑尼维尔）的研究指出，13% 的中小型企业经历过基于物联网的攻击，然而，许多人仍未采取适当的安全措施。该研究与 Survey Sampling International 合作进行，发现大多数 SMB 不具备针对勒索软件、高级持续性威胁 (APT) 和零日攻击（如 Stuxnet）的高级检测和响应能力。

安全专家和制造业专家一致认为，保护云数据的步骤反映了那些为非云、本地数据的用户提供服务。

“人们错误地认为云中的数据是安全的，但实际上它的安全程度取决于您的设置，”Arctic Wolf Networks 的 Brian NeSmith 说联合创始人兼首席执行官。 “这意味着实施防火墙、监控可疑活动并控制对敏感数据的访问。

“责任不在云服务提供商，而在公司的 IT 团队，以保护任何基于云的数据， ”内史密斯继续说道。 “受监管行业的公司往往认为合规就是安全。合规性是评估控制的一种方式，但绝对不是安全性。”

Brian NeSmith，北极Wolf Networks CEO

本地系统的好处是用户拥有更大的他说，控制可以访问数据的网络。 “对于基于云的数据，任何有互联网连接的人都可以尝试访问数据。勤奋的安全控制和流程是关键，无论数据是在云端还是本地。例如，如果您无意中提供了对内部网络的访问权限，那么发现该漏洞的任何人都可能会访问您的数据，无论数据是在云端还是本地。”

理想情况下，制造商应该有一个NeSmith 表示，安全运营中心 (SOC) 正在全天候收集、分析和调查潜在的网络安全威胁。 “SOC 应该配备全职安全专家。让 IT 部门作为兼职工作是不够的。

“事后证明，几乎所有主要黑客攻击都是可以预防的，”NeSmith 继续说道。 “Equifax 有一个他们未能安装的安全补丁。 Target 有警报，但它们被系统的噪音所淹没项目。网络安全并不容易，许多公司错误地认为有效的网络安全意味着购买正确的产品。安全与产品无关，而与您的安全操作的有效性有关。”

云 + 强大的安全性

使用西门子解决方案的制造商可以利用协议和强化网络安全硬件的组合，例如Siemens Scalance 和 Ruggedcom 产品线，以及新的云产品。西门子还运营其网络安全运营中心，在发生网络攻击时提供 24/7 全天候数据安全监控和补救协助（请参阅“避免不可避免的黑客攻击”，制造工程，2017 年 10 月）。

及其MindSphere云软件，可以监控支持 Siemens PLM Software 的机器全球范围内的停机时间和安全或安保问题。图片由 Siemens AG 提供

Siemens PLM Software（德克萨斯州普莱诺）工厂安全服务主管 Henning Rudoff 表示，借助 Siemens Plant Security Services，可以及早发现威胁和恶意软件、分析漏洞并采取适当的安全措施。他补充说，持续监控为工厂运营商提供了安全透明度。

与传统的现场部署相比，对于不受法律或内部限制约束的本地解决方案的客户，基于云的网络安全软件可以提供更轻松的部署和更好的操作选项，根据鲁道夫的说法。 “西门子提供基于其物联网操作系统 MindSphere 的网络安全软件，以帮助客户同时实施数字化和安全，”他说。

工业运营商通常应从评估开始，以确定其安全需求的基线和当前状态，例如，基于 IEC 62443，Rudoff 广告看到了。 “所需的安全措施可以是组织性的，例如培训员工以提高意识，也可以是技术性的，例如实施网络分段或加固自动化设备。

“除了保护概念之外，具有高级需求的客户还应该部署检测和补救概念，”他继续说道。 “例如，可以通过帮助客户监控系统行为的安全信息和事件管理 [SIEM] 系统来实现检测 [例如，网络上的新设备或失败的登录事件]。如果发生安全事件，建议进行取证分析；它回答了两个问题——如何使系统恢复正常行为，以及如何预防未来的事件？”

为防止入侵，西门子强烈建议制造商尽快并始终应用产品更新使用最新的产品版本。有关产品更新的信息，请访问用户可以在 /technologies/articles/2017/11---november/42q2-768x327.jpg" width="" height="" />Cloud 订阅西门子工业安全 RSS 源制造执行系统 (MES) 开发人员 42Q 等基于软件工具的软件工具实际上可以增强而不是削弱安全性。图片由 42Q 提供

“制造商每天都在处理敏感数据：可追溯性数据、保修信息、设备历史记录，尤其是产品的工程规格都是高度机密的。将数据信任到基于云的系统需要尽职调查，以确保提供商已采取适当的步骤来保护数据，”Ramaswami 说。他建议用户寻找关键的网络安全功能例如：

一种多层安全方法，包括应用程序代码、数据中心内的物理防御和防火墙处的逻辑屏障，以及持续的活动监控和恶意软件扫描。李>
与执行安全测试的第三方签订合同，并向客户提供报告。
AICPA（美国注册会计师协会）的 SOC 2 等认证，要求公司建立并遵循严格的信息安全政策和程序。

制造运营的基于云的数据的安全性如何？ “当制造数据存储在云端时，安全性通常会得到增强而不是降低，”Ramaswami 说。 “这是因为云供应商投入了大量资源来确保他们的系统尽可能安全，并不断更新以应对潜在威胁。虽然每天在基于云的系统上发生数十次黑客攻击尝试，但迄今为止，制造商使用的系统还没有出现重大安全漏洞。”

有一种普遍的误解，认为基于云的数据不是根据 R，与本地服务器一样安全阿马斯瓦米。 “事实是，大多数本地系统都远远达不到最好的云提供商部署的安全性。事实上，我亲眼看到过贴在便利贴上的所谓“安全”系统的密码，旁边是运行应用程序的服务器机架。高级云提供商的安全架构几乎不可能在本地解决方案中复制，”Ramaswami 补充道。 “例如，42Q 使用的云存储系统旨在实现 99.999999999% 的耐用性和给定年份高达 99.99% 的对象可用性；由于该系统成本高昂，几乎每个 IT 组织都无法承受。要在本地环境中部署此类工具，不仅需要对基础设施进行大量投资，还需要大型团队来管理它们。”

Ramaswami 指出，Equifax 不使用外部云提供商，而是建立和管理自己的基础设施e 和应用程序。 “根据目前公开的信息，似乎 Equifax 可以做更多的工作来保护数据安全——黑客攻击发生在 5 月，”他观察到，“而针对被利用漏洞的补丁早在两个多月前就已经可用了！这是为什么公司应该关注实时监控数据和网络安全的高质量云服务提供商的一个例子。

“云中没有安全的灵丹妙药；它需要一家在其 DNA 中具有安全性的公司，并且每天都在关注细节，”Ramaswami 继续说道。他指出，42Q 的安全性包括数据中心内的物理防御和防火墙处的逻辑屏障、编码和密码强度标准、持续活动监控和恶意软件扫描以及第三方测试。

Maching Data from the云

适用于 Android 或 iOS 设备和 Windows 桌面的 MachiningCloud 应用程序可以快速为机械师提供云端的关键工具和工件夹具信息。图片由 MachiningCloud Inc. 提供。根据云的支持者的说法，在大多数情况下，如果采取常见的网络安全步骤或措施并遵守规则，数据在云中会得到妥善保管。

“良好的安全实践是好的MachiningCloud Inc.（加利福尼亚州卡马里奥和瑞士斯坦斯）的云布道者 Chuck Mathews 说：“无论计算和存储的物理位置如何，内部部署还是基于云，”Chuck Mathews 说。“我们的前 10 名包括：

使软件、BIOS 和固件保持最新，
使防病毒和恶意软件检测保持最新，
备份重要信息，
使用强密码，而不是默认密码或帐户名，
在可用时启用双因素身份验证，
不共享帐户或密码，
共享信息前三思，
在无线网络上使用加密，
保持对计算机安全原则的认识，并且，
将访问权限和角色限制在需要知道的范围内。

“一般来说，基于云的数据比本地数据更安全，”Mathews 表示赞同。 “云公司聘请安全专家并负有提供高级别安全性的受托责任；这就是他们所做的。一般车间的员工通常不具备这种专业知识。”

MachiningCloud 是 CNC 切削刀具和工件夹具产品数据的独立提供商，为机械师和制造商提供基于云的加工数据检索。

“我们大多数美国人每周都在使用基于云的服务，”马修斯补充道。 “上网冲浪、发送电子邮件、预订飞机或酒店、银行业务、支付账单——所有这些都近在咫尺基于ud的服务。然而，基于云的系统在 CAD/CAM 中的使用非常有限；大多数 CAD/CAM 软件都是基于桌面的，只能访问云服务以获取许可、软件更新或参考数据/库。”

许多广为人知的黑客事件都是异常事件，这些事件本可以通过网络轻松避免根据马修斯的说法，适当的网络安全措施。 “但是，一些基于云的服务，例如单点登录 [相对于双重身份验证登录]，确实存在固有的安全风险，在高度安全的情况下应该避免，”他说。

Cloud Tech Not for Everyone

在某些情况下，基于云的数据可能不适合某些应用程序，包括 CAD/CAM 或高响应应用程序，并且在某些运营技术 (OT) 中发现在工厂车间实现近乎实时的自动化。

“普遍的共识是，仅云计算的网络安全措施永远不会足够强大，无法完全消除网络对关键基础设施的威胁，”嵌入式系统 PC 和自动化硬件开发商 ADL Embedded Solutions（圣地亚哥）工程总监兼产品经理 JC Ramirez 说。 “因此，趋势是让网络威胁安全硬件/软件解决方案更接近这些关键资产。这与工业 IoT/IIoT 中类似的趋势相似，新范例如 Fog 和 Mist 计算使云计算更接近结构的边缘，原因有多种，与强大的工业系统控制有关，但也将网络威胁安全性提高到高价值工业资产。”

Ramirez 指出，工业和基础设施资产的网络安全使用了许多多年来在 IT 系统中常见的相同网络安全措施。 “关键的区别在于，对关键基础设施和设备的威胁可能会对人员、公共安全或高价值资产产生重大的现实影响。出于这个原因，最好的网络安全措施应该依赖于基于团队的方法，不仅包括 IT 人员，还至少包括控制工程师、操作员、现场管理代表和现场物理安全人员。”他补充说，美国国家标准与技术研究院 (NIST) 出版物 800-82“工业控制系统 (ICS) 安全指南”是一个很好的参考。