什么是工业互联网安全自适应防护模型
工业互联网安全自适应防护模型由6个步骤组成,分别为信息感知、数据汇集、转化分析、网络融合、认知预测、响应/决策,简称为PC4R模型。
第1步是信息感知(Perception)。需要实现对工业网络中工业现场关键物理量(压力、摩擦、振动、温度、电流等)的数字化感知和存储,以及对各类资产的发现,为工业现场异常分析、预防性健康监测分析提供物理信息来源。
第2步是数据汇集(Connection)。需要对CNC/PLC、DNC、SCADA、MES、ERP等工业控制系统及应用系统运行时产生的关键工业数据进行汇集。该过程不是简单的数据采集,而是产品全生命周期的各类要素信息的同步采集、管理、存储与查询,为后续过程提供控制信息来源。在网络方面,进行全网流量的被动监听和存储,为工业互联网企业建立安全数据仓库。
第3步是转化分析(Conversion)。这一步的工作包括数据特征提取、筛选、分类、优先级排序和可读性处理等,实现从数据到信息的转化过程,使得数据转化为信息。信息主要包括内容和情景两方面,内容指工业互联网中的设备信号处理结果、监控传输特性、性能曲线、健康状况、报警信息、DNC及SCADA网络流量等;情景指设备的运行工况、维护保养记录、人员操作指令、人员访问状态、生产任务目标和行业销售机理等。该过程针对单个设备或单个网络进行纵向数据分析,计算相对简单。
第4步是网络融合(Cyber)。该过程是将工业互联网中的设备集群、企业跨域运维及经营活动进行关联,将机理、环境、群体、操作和外部威胁情报有机结合,基于大数据进行横向分析和多维分析,并利用群体经验预测单个设备的安全情况。该过程还需要建立虚拟网络与实体系统的相互映射,并实现综合模型的应用。当然,也可以根据历史状况和当前状态的差异来发现网络及工业控制系统的异常。
第5步是认知预测(Cognition)。该过程在网络层的基础上,加入人的职责。人将对企业工业互联网的规律、异常、目标、态势和背景等完成认知,确定安全基线,结合大数据可视化平台,发现看不见的威胁,预测黑客攻击。
第6步是响应/决策(Response)。根据认知预测的结果,一旦完成了对事件的识别、确认优先级排序后,将开始人员在回路的决策、部署、优化和响应,从而实现其安全价值。响应/决策过程还需要启动相关响应策略,如隔离受损系统或账户,使其无法访问其他系统,从而遏制威胁。人员还可以在决策之后,形成团队。同时,一旦受损系统或账户得以遏制,便可利用持续监控收集来的数据确定事件的根本原因和所有违规行为。
工业互联网打通了商业网络与工业网络的边界,给工业企业带来了设备、网络、控制、应用、数据和人员等多方面的安全挑战。同时,工业互联网也给工业企业应对安全问题带来新的动力。
工业互联网企业应基于数据驱动的核心理念构建PC4R模型,形成联动的机制,通过内外部大数据、威胁情报等安全防御技术,利用用户本身、专业安全服务机构的力量,进行预测、防护、检测、响应,并根据不断出现的新的威胁形式,完善应对策略,协同防御,共同打造安全的工业互联网。