在一些领域中,安全问题可能被忽视。例如在制造业,日志记录应构成所有IT 安全策略的基础。然而,在很多情况下,它却被遗忘了。以下内容能了解zenon 能如何确保达成安全这一重要目标,即如何将安全需求整合进集中日志记录管理系统中。
在IT 领域,日志记录是指在系统中记录与安全相关的进程信息。这包括用户登录和注销、创建新工作站或是访问权限、保存进程、数据访问实例,以及错误消息和状态。简而言之,日志记录意味着记录谁在系统中做什么,什么时候做的。通常记录在日志文件中的数据可以被授权用户可以访问日志文件以分析决策。
在物联网时代,公司的机器、设备、测量仪器和其他生产单元需要在其IT 基础设施上实现数字化和网络化。但是在做以上任务的同时,为它们各自不同的通讯方式而建立一个集中式日志管理系统的目标却往往被置于次要地位。这部分归因于工业部门通常使用的是异构控制系统,以及对系统日志信息作用的相关信息的缺乏。此外,也是基于并非所有在使用的自动化组件内都具有适当的技术接口或配置选项。
尽管存在以上问题和挑战,一个现代化的自动化系统平台(如zenon)仍可为用户的此类日志记录的安全需求提供终极的解决方案和策略。为此要将所有的单元操作系统纳入集中日志战略体系。为此所有相关安全标准——如 ISO 27001 或 IEC 62443 ——必须规定为用户 IT 的整体要求之一。
作为一名IT 安全负责人,首先需要考虑的是可能纳入系统下的数据源的范围。通 常,HMI/SCADA 系 统( 如 zenon supervisor 或zenon operator)可提供用于这类日志记录的信息。
事件列表、操作日志在所有的自动化解决方案中通常可用,并包含与安全相关的信息以及生产数据。例如,包括该类系统用户的登录和注销信息,以及详细描述客户端何时登录到服务器的信息。在最新的 zenon 版本中,用户还可以筛选此类信息。
报警信息列表可以提供各类关键系统状态的特定信息。这些信息可以与实际生产过程相关,也可用于监视IT 的基本组件。在zenon 中就包括有计算机硬件的利用,CPU 的负载,以及应用程序对内存的要求等。用户可有针对性地对一些运维指标进行监控。这意味着,使用集中日志记录系统可以轻松指定和识别与操作状态相关的非典型事件,例如,对生产处于停顿状态时(如夜间停工)发生数据盗窃事件的观测。
zenon 提供了许多方法来监控网络和单个zenon 驱动程序的通讯状态。借助驱动程序的系统变量,和每个驱动程序可用的通讯详细信息,可以保持获得每次通信的所有详细信息。例如,在时间顺序排列的事件列表(CEL)中就记录有应按标准操作的网络各参与方的活动、连接的尝试信息,以及数据包的数量。这样在发生非常情况时,可以通过报警消息列表(AML)或 CEL 模块通知用户和中央安全日志记录系统。
几乎每个自动化解决方案都应包含一个日志记录系统(通常为本地布置),该系统通常仅用于错误诊断。这些日志文件的信息通常很广泛,在集成到中央日志管理系统之前应仔细分析。此类数据源往往可用于对事件进行取证分析,但它不太适合于实时的记录事件。而zenon则提供了含全部功能的日志记录系统,用户可以单独配置所需要的详细信息的级别。通常应将正常操作产生的日志记录保持在较低级别上,以最大限度地减少系统的负担。如果怀疑有安全漏洞,则可根据上述数据源的信息,适当增加日志记录的深度。然后就可以根据这些更广泛的信息进行取证分析。
上述开始运行时,应确定企业可适用系统的数据源,并定义系统关键状态。通常体系内部会广泛存在的可用的应用数据。但是在某些情况下,如果此信息在应用程序中尚未可用,则必须及时添加此类信息。
如果您不想对现存的zenon 应用程序进行根本修改的话,则多项目管理功能可以帮助企业实现跨网络的集成,以达到将单个独立的日志记录集中监视的目标。此功能可以将其他项目的日志记录数据添加到中央日志记录项目中。例如可以将SNMP 客户端集成到zenon 中,该客户端会从IT 设备(例如网卡或路由器)接收SNMP traps 的信息,同时检查其ping 状态,并将此类信息传送到日志记录系统中。这种策略能够集中维护日志实例,并整合一个接口上的所有信息。
作为集成商或系统操作员,将此类信息传输到IT 总部系统的最简单方法是什么?现有IT 环境中使用的哪些接口是有效的?zenon 为此类问题提供了两种技术方案,每种技术方案都是使用了单独的进程网关。这意味着可以轻松地将来自 zenon 应用程序的任何信息集成到中央日志记录系统中。
简单网络管理协议(SNMP)是用于监视和控制网络组件的标准网络协议,例如集中控制室的路由器、服务器、交换机、打印机等。该协议规范会监视设备和监控站点之间的通信。SNMP 规定可以发送的数据包的结构以及通信的过程。该协议可以将任何与网络兼容的设备合并到监控系统中。由于SNMP 的简单、模块化和多样性,现已发展成为大多数管理程序和最终设备支持的标准。
最新8.20 版本还提供 Syslog 的集成,规定了用于在IP 网络中传输日志消息的全局标准。该协议的结构非常简单。Syslog 客户端向收件人发送不多于1024 字节的短信息。此信息能通过 zenon 基于 UDP 的协议进行传输。这使得在集中目录中集成各种日志数据变得非常容易。
相信所有优秀的IT 安全理念都是基于其有效的日志记录,这不仅适用在传统的 IT 环境中,同样也针对数字工厂的建设。为此 zenon 已经提供了用户许多这方面的选项,以帮助您实施此类战略,并在数字工厂环境中最大限度地提高系统的安全性。