今日頭條
官方微信
官方抖音
資訊頻道登高望遠,工業互聯網為中國企業帶來了彎道超車的巨大機遇,同時也在數據管理和系統保護領域提出了種種挑戰。隨著工業互聯網相關技術的進一步發展,如何更有效保護和管理自身系統、應用和數據成為了每家企業必須要解決的首要問題。
中國企業無論“走出去”,還是在國內,都必須確保自身的系統保護和數據管理符合相關規定,數據保護合規成為了企業生存發展的必備條件之一。
法規出臺國內國外步伐一致
隨著數據泄露事件頻發,自去年起,全球多個國家陸續推出了數據隱私和保護相關條例,例如歐盟推出的《通用數據保護條例》(GDPR)即將于今年5月正式生效,中國銀監會《銀行業金融機構銷售專區錄音錄像管理暫行規定》和保監會《保險銷售行為可回溯管理暫行辦法》也已經落地實行。
數字化轉型非結構化數據管理成難題
在工業互聯網時代,企業必須完成數字化轉型。伴隨著數字化程度的不斷提升,企業將產生大量數據,尤其是非結構化數據,呈現爆發式增長。
據IDC預測,全球數據每年的增長速度約為40%,到2020年存儲數據量將達到40ZB,比2015年增長近4倍,其中非結構化數據占存儲總容量的80%以上。這對企業數據資產的管理提出了更高的要求。管理非結構化數據需要建立相應的管理理念,并通過具有針對性的數據歸檔技術進行去重壓縮,實現非結構化數據的利用價值。
OT+IT安全問題是關鍵
確保工業互聯網安全,首先需要確保企業的安全。工業互聯網以“人--機--物”全面互聯,極大地擴展了網絡空間的邊界和功能,也打破了工業控制系統傳統的封閉格局,使得系統安全問題大量暴露出來,線上線下安全風險交織放大。由于工業網絡(OT)與IT網絡已經一體化,原本傳統工業網絡中沒有的黑客和病毒問題,現在全部都會出現。比如2017年勒索病毒爆發,已經影響了全球大批的政府機構和服務企業,造成許多制造企業出現生產不穩定、反復重啟等問題。
工信部在2017年明確提出,建立工業互聯網全產業鏈數據安全管理體系,加強數據收集、存儲、處理、轉移、刪除等環節的安全防護能力。建立工業數據分級分類的管理制度,明確數據的留存、數據泄露通報等要求,加強工業互聯網數據安全監督檢查。在OT與IT融合趨勢下,如何確保企業的數據安全,進而支持企業生產的穩定運行,成為工業互聯網普及的關鍵問題之一。
當前,互聯網、大數據、人工智能等技術正加速同實體經濟深度融合,工業互聯網被認為是制造業轉型升級的重點。
通過系統構建網絡、平臺、安全三大功能體系,打造人、機、物全面互聯的新型網絡基礎設施,形成智能化發展的新興業態和應用模式,是中國制造2025、互聯網+協同制造戰略布局的重要內容。
常見的工控機保護解決方案
一、免費的Ghost方案
此方案在很多用戶中得到應用,最大的優點就是免費,適用于小規模、對工控停機時間不太敏感的用戶群體。不過有句話目前很流行,是這樣說的:免費的東西往往是最貴的
但是這種方案有先天的不足:
1、Ghost方案有產品的兼容列表,超出列表的操作系統是不支持的。換句話,不兼容的操作系統就沒辦法去做鏡像。
2、Ghost需要關機制作鏡像,在制作操作系統鏡像時,需要將目標工控機關機后操作,這會影響到生產。
3、Ghost在異構硬件平臺,無法恢復鏡像。例如將系統從一個型號的硬件遷移至另一個型號的硬件平臺上。
4、最重要的一個,沒技術支持。有問題自己處理,處理不了,就等著被處理。
二、磁盤陳列技術
在工控領域,為了防止系統宕機,在磁盤保護技術上,使用Raid-1技術做磁盤鏡像來保證系統安全,將宕機風險降至最低。
先聊聊優點:這種技術的使用,將系統宕機的機率降到了最低狀態,Raid組中的任何一塊磁盤壞了,系統都可以正常運行,除非所有磁盤都損壞。為什么說任何一塊出問題呢,因為工控機本來體積就小,兩塊盤組一個Raid-1是最常用的方式。
缺點也很明顯,包括成本和系統宕機風險兩方面
1、成本方面,每臺都要增加一塊硬盤,如果有成百上千的工控機,那么整體成本投入金額就會很大了。再者,硬盤本身是消耗品,也自己的生命周期,超過生命周期就要定期的替換了,這方面的成本也很高。
2、再說宕機風險,一臺工控的Raid-1組發生兩塊硬盤同時損壞的可能性很低,但是還是有概率的。萬一不幸中獎,后果可能很嚴重。
3、Raid方式的保護方案,同樣適用于對宕機時間特別敏感的用戶使用。例如一些特定的監控及數據采集工控類應用等。
三、冷備機
冷備機是最有效的解決方案之一,能夠在線上工控機宕機后,快速更換后達到生產中斷最小化的目標。但是此方案也有不足。
首先是代價高,用戶需要單獨購買冷備機,這對于用戶來說可能是一筆不小的投資。
其次是靈活性差,冷備機的應用程序的配置可能與宕機的工控機參數不匹配。需要時間來調整工控機的工作參數以達到與生產相匹配。另外還有存在風險,例如參數配置錯誤導致生產的產品不合格。
冷備機方案,只適用于小面積使用。例如特別重要的工控系統,每年需要有99.99%的運行時間保證的。
四、磁盤克隆
所謂磁盤克隆就是將現工控機的磁盤使用工具軟件克隆到另一個磁盤上,當出現磁盤損壞時快速更換磁盤以達到將RTO時間盡量縮短的目標。磁盤克隆雖然可減小RTO值,但是需要對源工控機關機才可以進行克隆,同樣會影響生產。同樣,磁盤克隆技術不能異構環境中使用。例如將現在磁盤在其它硬件平臺上使用。
理想的工控機保護解決方案
一、工控機需要備份什么
關于這個話題,理想的解決方案是所有的數據盡在備份中。如果一定要區分,那么一定是可用的系統優于實體數據。就像我們前面提到的,可用的系統才是工控機最重要的。
所以,在對工控機的備份方案中,要將整個磁盤都置于備份計劃中。所謂整個磁盤,除我們日常所見的類似C盤、D盤等卷外,還應該包含系統的MBR。所以磁盤鏡像技術是最適合工控機的備份方案。以下所有話題均在使用磁盤鏡像備份的基礎上進行。
二、一體化在線熱備份方式
為了保障生產不中斷,所提供的備份方案應該使用在線備份方式,既不停機在線備份。這種備份方式最大化的降低工控機的停機時間,不影響現在生產任務。
三、多種備份機制
可提供熱備份、冷備份兩種備份機制,在不可預期的環境中,可備份所有的兼容或不兼容的所有業務系統。包含Windows、Linux、Unix等。
四、系統快速恢復
當系統出現宕機事件后,需要快速的恢復系統到可工作狀態,無論是操作系統、應用程序、或者是硬件所引起的宕機。
操作系統或者應用程序引起的宕機時,快速使用可引導媒體進入工控機,然后將已存在的備份存檔恢復至當前工控機。這樣的恢復可將業務連續性保持最高狀態,有效降低RTO時間。
由硬件引發的宕機,分兩種情況。一種情況是非存儲設備,例如內存、主板等硬件損壞。這種情況下只需要更換新的硬件既可,但這需要用戶的足夠可用的備件。另一種情況是存儲設備損壞,例如磁盤損壞。此類情況只需要更換新的磁盤后,使用可引導媒體將原備份存檔恢復至新的磁盤。
五、異機還原與系統遷移
工控機的軟、硬件也是有生命周期的,在生命周期結束后有能力將現有工控機的系統整體遷移至新的硬件平臺。降低遷移的時間、資金成本。同時,對于損壞的工控機,有能力將現有系統通過異機還原能力,遷移至新的硬件平臺,保障業務連續性最大化,RTO參數最小化。
來源:計算機網絡與信息安全
北京市公安局海淀分局備案號:11010802023656號