David Mattes从西雅图来时喜欢谈论当“不可阻抗力”(Denver Broncos犯罪)遇上“不可移动对象”(Seawks西雅图防御)时会发生什么超级碗XLVIII案例 结果是海鹰队取胜工业网络案例结果稍有不同
互联网消息多传(约750亿台设备到2020年可连通互联网),连通性成为不可阻抗的力量不可移动对象继承系统 Mattes说等这些事相冲突 大事从中产生 大问题和大难
Mattes是Asguard网络的创始人和CEO,Asguard网络公司是波音公司从业公司,Mattes被要求解决网络安全问题上星期他讨论挑战自动化大会2014芝加哥通过全企业网络连接波音777制造线
斜率Boeing制造作业Mattes说,它拥有感应器、HMIs、电机驱动器等需要连接企业网络的“temidous数”。但没有好方法连接设备到企业网络而不是接近IT,解决泛型问题, 我想让自动化集团 自己的沙盒, 并满足企业
Mattes及其团队开发并随后通过Asguard商业化的网络以ISA10015.01架构为基础(见图表),利用共享网络基础设施,但从网络分离综合控制系统设备他们想通过限制连接到绝对最小值来最小化攻击面
为了实现这一点,他们创建了工程师和IT职责划分模型Mattes解释操作组能保留网络配置控制自动化在IT方面大有进展, IT在管理制造安全方面没有进步
Mattes说,全组织内这种分治架构有几个好处保留网络配置控制表示不需配置修改,可自定义修改配置,集中私网生命周期管理,分片网络更易操作维护
架构还使IT提供安全私有网络服务,将控制委托业务用户和集团从组织上讲,它提供清晰的责任线,与其他解决方案相比降低总拥有成本,减少网络攻击面并提供更强健控制系统网络
卫士简单Connect网络架构建构思想,即必须有比传统解决办法更好的方法-即有直接连接但安全性强的可弹性性连VLANs和防火墙都不理想安全性Mattes解释VLAN其实只是另一个周边安全模型Mattes补充道, 防火墙是一个大的第一步, 但它不为数据提供完整性保护“你必须确信你正在获取的数据与你所想的完全相同。并难动态调整策略 允许远程访问
简单Connect连接共享网络 使用各种连接选项ISA系统只使用安全协议相互通信安全边界上没有可见度, 设备给人的印象是 彼此直接聊天, Mattes解释
受约束连通模式 即使攻击者能渗透网络 能力小得多 向系统上其他资产传播攻击
开发波音网络架构后,Mattes率先通过启动Asguard网络实现解决方案商业化Mattes表示:「我真想做点能解决产业问题的东西,
