今日頭條
官方微信
官方抖音
資訊頻道登高望遠(yuǎn),工業(yè)互聯(lián)網(wǎng)為中國(guó)企業(yè)帶來(lái)了彎道超車的巨大機(jī)遇,同時(shí)也在數(shù)據(jù)管理和系統(tǒng)保護(hù)領(lǐng)域提出了種種挑戰(zhàn)。隨著工業(yè)互聯(lián)網(wǎng)相關(guān)技術(shù)的進(jìn)一步發(fā)展,如何更有效保護(hù)和管理自身系統(tǒng)、應(yīng)用和數(shù)據(jù)成為了每家企業(yè)必須要解決的首要問(wèn)題。
中國(guó)企業(yè)無(wú)論“走出去”,還是在國(guó)內(nèi),都必須確保自身的系統(tǒng)保護(hù)和數(shù)據(jù)管理符合相關(guān)規(guī)定,數(shù)據(jù)保護(hù)合規(guī)成為了企業(yè)生存發(fā)展的必備條件之一。
法規(guī)出臺(tái)國(guó)內(nèi)國(guó)外步伐一致
隨著數(shù)據(jù)泄露事件頻發(fā),自去年起,全球多個(gè)國(guó)家陸續(xù)推出了數(shù)據(jù)隱私和保護(hù)相關(guān)條例,例如歐盟推出的《通用數(shù)據(jù)保護(hù)條例》(GDPR)即將于今年5月正式生效,中國(guó)銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)銷售專區(qū)錄音錄像管理暫行規(guī)定》和保監(jiān)會(huì)《保險(xiǎn)銷售行為可回溯管理暫行辦法》也已經(jīng)落地實(shí)行。
數(shù)字化轉(zhuǎn)型非結(jié)構(gòu)化數(shù)據(jù)管理成難題
在工業(yè)互聯(lián)網(wǎng)時(shí)代,企業(yè)必須完成數(shù)字化轉(zhuǎn)型。伴隨著數(shù)字化程度的不斷提升,企業(yè)將產(chǎn)生大量數(shù)據(jù),尤其是非結(jié)構(gòu)化數(shù)據(jù),呈現(xiàn)爆發(fā)式增長(zhǎng)。
據(jù)IDC預(yù)測(cè),全球數(shù)據(jù)每年的增長(zhǎng)速度約為40%,到2020年存儲(chǔ)數(shù)據(jù)量將達(dá)到40ZB,比2015年增長(zhǎng)近4倍,其中非結(jié)構(gòu)化數(shù)據(jù)占存儲(chǔ)總?cè)萘康?0%以上。這對(duì)企業(yè)數(shù)據(jù)資產(chǎn)的管理提出了更高的要求。管理非結(jié)構(gòu)化數(shù)據(jù)需要建立相應(yīng)的管理理念,并通過(guò)具有針對(duì)性的數(shù)據(jù)歸檔技術(shù)進(jìn)行去重壓縮,實(shí)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)的利用價(jià)值。
OT+IT安全問(wèn)題是關(guān)鍵
確保工業(yè)互聯(lián)網(wǎng)安全,首先需要確保企業(yè)的安全。工業(yè)互聯(lián)網(wǎng)以“人--機(jī)--物”全面互聯(lián),極大地?cái)U(kuò)展了網(wǎng)絡(luò)空間的邊界和功能,也打破了工業(yè)控制系統(tǒng)傳統(tǒng)的封閉格局,使得系統(tǒng)安全問(wèn)題大量暴露出來(lái),線上線下安全風(fēng)險(xiǎn)交織放大。由于工業(yè)網(wǎng)絡(luò)(OT)與IT網(wǎng)絡(luò)已經(jīng)一體化,原本傳統(tǒng)工業(yè)網(wǎng)絡(luò)中沒(méi)有的黑客和病毒問(wèn)題,現(xiàn)在全部都會(huì)出現(xiàn)。比如2017年勒索病毒爆發(fā),已經(jīng)影響了全球大批的政府機(jī)構(gòu)和服務(wù)企業(yè),造成許多制造企業(yè)出現(xiàn)生產(chǎn)不穩(wěn)定、反復(fù)重啟等問(wèn)題。
工信部在2017年明確提出,建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系,加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)的安全防護(hù)能力。建立工業(yè)數(shù)據(jù)分級(jí)分類的管理制度,明確數(shù)據(jù)的留存、數(shù)據(jù)泄露通報(bào)等要求,加強(qiáng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)督檢查。在OT與IT融合趨勢(shì)下,如何確保企業(yè)的數(shù)據(jù)安全,進(jìn)而支持企業(yè)生產(chǎn)的穩(wěn)定運(yùn)行,成為工業(yè)互聯(lián)網(wǎng)普及的關(guān)鍵問(wèn)題之一。
當(dāng)前,互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)正加速同實(shí)體經(jīng)濟(jì)深度融合,工業(yè)互聯(lián)網(wǎng)被認(rèn)為是制造業(yè)轉(zhuǎn)型升級(jí)的重點(diǎn)。
通過(guò)系統(tǒng)構(gòu)建網(wǎng)絡(luò)、平臺(tái)、安全三大功能體系,打造人、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施,形成智能化發(fā)展的新興業(yè)態(tài)和應(yīng)用模式,是中國(guó)制造2025、互聯(lián)網(wǎng)+協(xié)同制造戰(zhàn)略布局的重要內(nèi)容。
常見的工控機(jī)保護(hù)解決方案
一、免費(fèi)的Ghost方案
此方案在很多用戶中得到應(yīng)用,最大的優(yōu)點(diǎn)就是免費(fèi),適用于小規(guī)模、對(duì)工控停機(jī)時(shí)間不太敏感的用戶群體。不過(guò)有句話目前很流行,是這樣說(shuō)的:免費(fèi)的東西往往是最貴的
但是這種方案有先天的不足:
1、Ghost方案有產(chǎn)品的兼容列表,超出列表的操作系統(tǒng)是不支持的。換句話,不兼容的操作系統(tǒng)就沒(méi)辦法去做鏡像。
2、Ghost需要關(guān)機(jī)制作鏡像,在制作操作系統(tǒng)鏡像時(shí),需要將目標(biāo)工控機(jī)關(guān)機(jī)后操作,這會(huì)影響到生產(chǎn)。
3、Ghost在異構(gòu)硬件平臺(tái),無(wú)法恢復(fù)鏡像。例如將系統(tǒng)從一個(gè)型號(hào)的硬件遷移至另一個(gè)型號(hào)的硬件平臺(tái)上。
4、最重要的一個(gè),沒(méi)技術(shù)支持。有問(wèn)題自己處理,處理不了,就等著被處理。
二、磁盤陳列技術(shù)
在工控領(lǐng)域,為了防止系統(tǒng)宕機(jī),在磁盤保護(hù)技術(shù)上,使用Raid-1技術(shù)做磁盤鏡像來(lái)保證系統(tǒng)安全,將宕機(jī)風(fēng)險(xiǎn)降至最低。
先聊聊優(yōu)點(diǎn):這種技術(shù)的使用,將系統(tǒng)宕機(jī)的機(jī)率降到了最低狀態(tài),Raid組中的任何一塊磁盤壞了,系統(tǒng)都可以正常運(yùn)行,除非所有磁盤都損壞。為什么說(shuō)任何一塊出問(wèn)題呢,因?yàn)楣た貦C(jī)本來(lái)體積就小,兩塊盤組一個(gè)Raid-1是最常用的方式。
缺點(diǎn)也很明顯,包括成本和系統(tǒng)宕機(jī)風(fēng)險(xiǎn)兩方面
1、成本方面,每臺(tái)都要增加一塊硬盤,如果有成百上千的工控機(jī),那么整體成本投入金額就會(huì)很大了。再者,硬盤本身是消耗品,也自己的生命周期,超過(guò)生命周期就要定期的替換了,這方面的成本也很高。
2、再說(shuō)宕機(jī)風(fēng)險(xiǎn),一臺(tái)工控的Raid-1組發(fā)生兩塊硬盤同時(shí)損壞的可能性很低,但是還是有概率的。萬(wàn)一不幸中獎(jiǎng),后果可能很嚴(yán)重。
3、Raid方式的保護(hù)方案,同樣適用于對(duì)宕機(jī)時(shí)間特別敏感的用戶使用。例如一些特定的監(jiān)控及數(shù)據(jù)采集工控類應(yīng)用等。
三、冷備機(jī)
冷備機(jī)是最有效的解決方案之一,能夠在線上工控機(jī)宕機(jī)后,快速更換后達(dá)到生產(chǎn)中斷最小化的目標(biāo)。但是此方案也有不足。
首先是代價(jià)高,用戶需要單獨(dú)購(gòu)買冷備機(jī),這對(duì)于用戶來(lái)說(shuō)可能是一筆不小的投資。
其次是靈活性差,冷備機(jī)的應(yīng)用程序的配置可能與宕機(jī)的工控機(jī)參數(shù)不匹配。需要時(shí)間來(lái)調(diào)整工控機(jī)的工作參數(shù)以達(dá)到與生產(chǎn)相匹配。另外還有存在風(fēng)險(xiǎn),例如參數(shù)配置錯(cuò)誤導(dǎo)致生產(chǎn)的產(chǎn)品不合格。
冷備機(jī)方案,只適用于小面積使用。例如特別重要的工控系統(tǒng),每年需要有99.99%的運(yùn)行時(shí)間保證的。
四、磁盤克隆
所謂磁盤克隆就是將現(xiàn)工控機(jī)的磁盤使用工具軟件克隆到另一個(gè)磁盤上,當(dāng)出現(xiàn)磁盤損壞時(shí)快速更換磁盤以達(dá)到將RTO時(shí)間盡量縮短的目標(biāo)。磁盤克隆雖然可減小RTO值,但是需要對(duì)源工控機(jī)關(guān)機(jī)才可以進(jìn)行克隆,同樣會(huì)影響生產(chǎn)。同樣,磁盤克隆技術(shù)不能異構(gòu)環(huán)境中使用。例如將現(xiàn)在磁盤在其它硬件平臺(tái)上使用。
理想的工控機(jī)保護(hù)解決方案
一、工控機(jī)需要備份什么
關(guān)于這個(gè)話題,理想的解決方案是所有的數(shù)據(jù)盡在備份中。如果一定要區(qū)分,那么一定是可用的系統(tǒng)優(yōu)于實(shí)體數(shù)據(jù)。就像我們前面提到的,可用的系統(tǒng)才是工控機(jī)最重要的。
所以,在對(duì)工控機(jī)的備份方案中,要將整個(gè)磁盤都置于備份計(jì)劃中。所謂整個(gè)磁盤,除我們?nèi)粘K姷念愃艭盤、D盤等卷外,還應(yīng)該包含系統(tǒng)的MBR。所以磁盤鏡像技術(shù)是最適合工控機(jī)的備份方案。以下所有話題均在使用磁盤鏡像備份的基礎(chǔ)上進(jìn)行。
二、一體化在線熱備份方式
為了保障生產(chǎn)不中斷,所提供的備份方案應(yīng)該使用在線備份方式,既不停機(jī)在線備份。這種備份方式最大化的降低工控機(jī)的停機(jī)時(shí)間,不影響現(xiàn)在生產(chǎn)任務(wù)。
三、多種備份機(jī)制
可提供熱備份、冷備份兩種備份機(jī)制,在不可預(yù)期的環(huán)境中,可備份所有的兼容或不兼容的所有業(yè)務(wù)系統(tǒng)。包含Windows、Linux、Unix等。
四、系統(tǒng)快速恢復(fù)
當(dāng)系統(tǒng)出現(xiàn)宕機(jī)事件后,需要快速的恢復(fù)系統(tǒng)到可工作狀態(tài),無(wú)論是操作系統(tǒng)、應(yīng)用程序、或者是硬件所引起的宕機(jī)。
操作系統(tǒng)或者應(yīng)用程序引起的宕機(jī)時(shí),快速使用可引導(dǎo)媒體進(jìn)入工控機(jī),然后將已存在的備份存檔恢復(fù)至當(dāng)前工控機(jī)。這樣的恢復(fù)可將業(yè)務(wù)連續(xù)性保持最高狀態(tài),有效降低RTO時(shí)間。
由硬件引發(fā)的宕機(jī),分兩種情況。一種情況是非存儲(chǔ)設(shè)備,例如內(nèi)存、主板等硬件損壞。這種情況下只需要更換新的硬件既可,但這需要用戶的足夠可用的備件。另一種情況是存儲(chǔ)設(shè)備損壞,例如磁盤損壞。此類情況只需要更換新的磁盤后,使用可引導(dǎo)媒體將原備份存檔恢復(fù)至新的磁盤。
五、異機(jī)還原與系統(tǒng)遷移
工控機(jī)的軟、硬件也是有生命周期的,在生命周期結(jié)束后有能力將現(xiàn)有工控機(jī)的系統(tǒng)整體遷移至新的硬件平臺(tái)。降低遷移的時(shí)間、資金成本。同時(shí),對(duì)于損壞的工控機(jī),有能力將現(xiàn)有系統(tǒng)通過(guò)異機(jī)還原能力,遷移至新的硬件平臺(tái),保障業(yè)務(wù)連續(xù)性最大化,RTO參數(shù)最小化。
來(lái)源:計(jì)算機(jī)網(wǎng)絡(luò)與信息安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)