和许多信息技术(IT)领域的人一样,我发现技术以令人流鼻血的速度在我们眼前变化。技术来来往往。有些技术很快就会被取代,而有些技术似乎会长期存在。对我们来说,保持与时俱进并了解新技术是很重要的。
在每个转变我的事业支持专家在全球银行股票交易网络,网络和安全培训,然后虚拟化数据中心设计工程师我花了一些时间思考我的角色和我如何最好的贡献,通常的方式不仅仅局限于角色的标题。作为Avid solutions信息解决方案团队的一员,我想是我的努力成就了今天的我。在这一点上,我想问的是我应该学习的下一件事,它把我带到了工业控制系统(ICSs)的世界。
我是ICS新来的。但是,与普遍的看法相反,成为新人并不意味着在一个新行业没有生产力。这是我整个职业生涯中最忙的一次,我以一种我意想不到的方式享受着它。我坚信,在这个角色中,我可以帮助我们客户的业务IT组织更好地理解和支持运营技术(OT)的设计和需求。工业领域的客户需要一名IT和OT组织之间的翻译。
从业务IT方面来看,我看到许多IT组织对试图运行自己的网络和服务器的个人或团体做出了反应。IT部门经常认为他们是事实上的专家,应该拥有服务器操作的所有方面。有时是it团队缺乏信任:他们担心自己没有亲自构建的新服务器没有得到适当的保护,或者将成为一个未托管的临时流氓设备,直到它成为一个问题为止,人们就会忘记它。
也有一些IT组织对其他人怀有更多的敌意。它们通过攫取资源而存在和运作,主要是出于恐惧或为它们的存在辩护。在这种情况下,IT可能怨恨防火墙团队,反之亦然。私有云虚拟化团队不相信公共云计划,网络安全团队也不相信。
这把OT放在哪里?我在Avid工作的时间很短,很明显OT被误解了。IT部门希望以运行业务网络的方式运行OT网络。IT界的人想知道是否有可能代表OT运行这个网络。就我而言,我认为这完全是一个合理的期望,但我还没有看到它发挥作用。
IT网络是一种相对可用的基础设施。但有一种观点认为,已经构建的高可用性(HA)网络基础设施将发生故障转移,客户机服务器流将继续。我同意,但这是OT质量吗?it管理的网络在很多情况下不符合OT的需求。OT需要网络一直处于连接状态。重新启动路由器来解决问题通常不是一个选项。如果冗余路径之间没有30-250毫秒的故障转移,则网络不够好。在IT和OT之间的共享网络中,员工对ISO文件的大文件传输可能会阻碍OT遥测。当然,必须尽一切努力防止这种情况发生。
对于虚拟化也可以提出类似的论点。IT虚拟化组可以运行OT虚拟机吗?当然,它可以。但首先,重要的是要理解,企业中的it虚拟化的基础是在一个或几个硬件上放置大量的vm,以优化资源共享。如果没有定义保证的正常运行时间、保留的内存和CPU、实时无损伤故障转移、对操作系统更改的保护(包括不打补丁),以及免受恶意业务和Internet网络的攻击,那么OT就无法工作。最后,如果来自控制网络的实时遥测流量下降,将OT的VMs放置在远程IT网络上可能会导致重大问题。
IT安全遵从性在较低的制造级别上也不能直接与OT兼容。这些系统实时运行,收集记录,控制设备,并通过人机界面(HMI)向工程师通报状态。中断这种交通流,即使是意外事故,也会损害财产,更糟的是,还可能伤害操作系统的人员。在实时ICS网络上应用补丁可能会影响数据收集、控制和法规遵从性。有必要让IT部门明白,一个工厂要下线进行维护和修补可能需要一年甚至十年的时间。由于内部OT网络需要在很长一段时间内保持稳定状态,因此重点需要确保只允许从外部安全、授权的访问。
换句话说,对OT来说,更好地解释自己的需求,让其他组倾听是很重要的。
国家科学技术研究所(NIST)有一个优秀的出版它定义了IT和OT之间的核心区别。回顾这篇文章让我联想到一个站在IT和ICS专栏之间的人。这是我的“顿悟”时刻,我发现我可以做出独特的贡献,帮助IT领域的客户停下来,退后一步,看看他们想要做什么。他们经常需要决定是否在他们的范围内尝试并成功地运行OT基础设施,或者是否一个专门的小组最适合做这项工作。如果他们已经在运行OT网络,但工作不顺利,系统集成商可以帮助识别所需的变化,使努力取得成功。
另一个关于NIST 800-82出版物的简短说明:如果你看图5-1到5-5,有一个公共的控制服务器仍然在控制网络附近。在今天的一些设计中,这个特定的服务器已经移到了虚拟化基础设施中。
我的想法是,它的重要性被忽视了,因为作为服务器,它正被转移到企业网络中的it虚拟化中。该对象服务器是用于制造流程的实时遥测收集的第一个对象。考虑一下,如果它在一个最努力的网络和多个路由器和交换机之间移动会发生什么。
让我们来看看IT和OT之间的脱节是如何形成的。
对于那些不了解或不熟悉ICS需求的人来说,OT需求的整个概念与快速变化的企业和消费者技术相比似乎是落后的。熟悉IT网络和企业级安全最佳实践的人会对OT听起来多么疯狂感到不安,至少在我们解释OT为什么是这样以及它不容易在不破坏制造功能的情况下进行更改之前是这样。
首先,他们需要克服直觉反应,提出问题,最重要的是倾听。不倾听可能会导致一种艰难的情况,在这种情况下(就像在一个真实的客户案例中),IT团队认为自己比提供站点需求的人知道得更多。他们没有应用声明的要求,这导致了共享业务/生产网络的流量下降。而且,他们在共享基础设施上错误地定义了vm。IT部门是企业最大努力和共享资源设计方面的专家,但它对ICS不起作用,必须进行大量修改。
所以,我今天分享给所有IT和OT员工的智慧之言是:不要认为你比别人更有知识。听。换句话说,“你变得越安静,你听到的就越多。”
对于我们的客户来说,拥有一个经验丰富的信息解决方案团队作为解决方案集成过程的一部分可能会有意想不到的价值,包括在设计过程的早期澄清任何需求,以及一组有经验的眼睛来识别可能导致最终产品问题的任何潜在问题。
Greg Guilmette是热心的解决方案公司。的注册会员控制系统集成商协会(相)。有关Avid解决方案的更多信息,请访问工业自动化交换.
