Өгөгдлийн аюулгүй байдлын функцтэй машинууд
Дижитал эрин үед "машин" гэдэг нэр томьёо нь зөвхөн механик төхөөрөмжийг хэлэхээ больсон. Машинууд нь одоо үйлдвэрүүдийн үйлдвэрлэлийн машинууд, дэлгүүрүүдийн кассын машинууд (POS), АТМ, серверүүдээс эхлээд Эд зүйлсийн интернет (IoT) дээр суурилсан ухаалаг машинууд хүртэл олон төрлийн төхөөрөмж, системийг хамардаг. Эдгээр орчин үеийн машинууд бүгд өгөгдөл боловсруулах, тохиргоог хадгалах, сүлжээгээр мэдээлэл илгээх замаар ажилладаг. Энэ бол өгөгдлийн аюулгүй байдал чухал хүчин зүйл болдог газар юм: хангалттай аюулгүй байдлын функцгүйгээр машинууд нь үйл ажиллагааны тасалдалд өртөмтгий төдийгүй компаниуд болон үйлчлүүлэгчдэд хохирох өгөгдлийн алдагдлыг нөхөх гарц болж чаддаг.
Машин дээрх өгөгдлийн аюулгүй байдал яагаад хамгийн чухал хэрэгцээ вэ
Дижитал шилжилт нь машинуудыг улам бүр холбогдоход хүргэж байна. Үйлдвэрийн машинуудыг ERP системтэй нэгтгэсэн, кассын машинууд төлбөрийн гарцуудтай холбогдсон бөгөөд IoT мэдрэгчүүд нь үйлдвэрлэлийн өгөгдлийг шинжилгээнд зориулж үүлэн технологи руу илгээдэг. Энэхүү холболт нь үр ашгийг нэмэгдүүлэхээс гадна халдлагын гадаргууг өргөжүүлдэг. Халдагчид аюулгүй байдлын эмзэг байдлыг ашиглан хэрэглэгчийн мэдээллийг хулгайлах, үйлдвэрлэлийн гарцыг өөрчлөх, системийг ransomware ашиглан барьцаанд авах эсвэл компанийн нэр хүндийг гутаах боломжтой.
Цаашилбал, өгөгдөл хамгаалах журам улам бүр чанга болж байна. Төрөл бүрийн улс орнууд өгөгдлийн нууцлал, аюулгүй байдлын талаарх журамтай байдаг. Үйлчлүүлэгчийн үнэмлэх, картын дугаар эсвэл биометрийн өгөгдөл гэх мэт хувийн мэдээллийг боловсруулдаг машин ашигладаг байгууллагууд найдвартай хамгаалалтыг хэрэгжүүлэх шаардлагатай байдаг. Энэ нь өгөгдлийн аюулгүй байдал нь сонголт биш, харин орчин үеийн машины дизайны гол хэсэг болсон гэсэн үг юм.
Машинуудаар түгээмэл боловсруулагддаг өгөгдлийн төрлүүд
Аюулгүй байдлын ямар функцууд шаардлагатайг ойлгохын тулд өгөгдлийн машинууд байнга боловсруулдаг төрлүүдийг таних нь чухал юм.
1. Үйл ажиллагааны өгөгдөл: үйлдвэрлэлийн параметрүүд, машины хурд, температур, даралт, засвар үйлчилгээний бүртгэл болон гүйцэтгэл.
2. Бизнесийн өгөгдөл: бараа материалын нөөц, борлуулалтын гүйлгээ, үйлдвэрлэлийн үзүүлэлт, эд ангийн эвдрэлийн тайлан.
3. Харилцагчийн мэдээлэл: нэр, хаяг, утасны дугаар, имэйл хаяг, худалдан авалтын түүх.
4. Мэдрэмтгий мэдээлэл: төлбөрийн мэдээлэл, эрүүл мэндийн мэдээлэл, эсвэл биометрийн мэдээлэл (жишээ нь хурууны хээнд суурилсан хандалт).
5. Итгэмжлэл: хэрэглэгчийн нэр, нууц үг, хандалтын токен, дижитал гэрчилгээ, шифрлэлтийн түлхүүр.
Эдгээр төрлийн өгөгдөл бүр хадгалагдах үед (өгөгдөл амарч байх үед) болон илгээгдэх үед (өгөгдөл дамжин өнгөрөх үед) өөр өөр хамгаалалт шаарддаг.
Орчин үеийн машинууд дээр байх ёстой өгөгдлийн аюулгүй байдлын онцлогууд
Орчин үеийн машинууд, ялангуяа сүлжээнд холбогдсон, чухал мэдээллийг боловсруулдаг машинуудад байх ёстой өгөгдлийн аюулгүй байдлын онцлогуудыг доор харуулав.
1. Өгөгдлийн шифрлэлт (Амрах болон дамжуулах үед)
Шифрлэлт нь өгөгдлийн аюулгүй байдлын үндэс суурь юм. Машинууд SSD, eMMC эсвэл санах ойн карт зэрэг дотоод медиад хадгалагдсан өгөгдлийг шифрлэх шаардлагатай. Энэ нь төхөөрөмж хулгайлагдсан эсвэл хадгалалт устсан тохиолдолд өгөгдлийг уншихаас сэргийлдэг. Цаашилбал, харилцаа холбооны шифрлэлт - жишээлбэл, TLS-ээр дамжуулан - өгөгдлийг сервер, үүлэн технологи эсвэл сүлжээнд байгаа бусад төхөөрөмж рүү илгээх үед чагнахаас сэргийлдэг.
Сайн шифрлэлт нь аюулгүй түлхүүрийн менежментийг шаарддаг. Шифрлэлтийн түлхүүрүүдийг энгийн текст хэлбэрээр санамсаргүй байдлаар хадгалах ёсгүй.
2. Дүрд суурилсан баталгаажуулалт ба хандалтын хяналт (RBAC)
Операторууд, техникчид, хянагч нар, тэр ч байтугай борлуулагчид гэх мэт олон талын ашигладаг машинууд нь хатуу хандалтын хяналтыг шаарддаг. Дүрд суурилсан хандалтын хяналт (RBAC) нь үүрэгт суурилсан үйлдлүүдийг хязгаарладаг. Операторууд зөвхөн үйл ажиллагааны чиг үүргийг гүйцэтгэж, техникчид тохируулга хийж, админууд системийн тохиргоонд хандах боломжтой.
Баталгаажуулалтыг давхарласан байх шаардлагатай, жишээлбэл:
– хүчтэй нууц үг болон тогтмол өөрчлөх бодлого,
– алсын зайнаас хандах олон хүчин зүйлийн баталгаажуулалт (MFA)-г дэмжих,
– шаардлагатай бол корпорацийн лавлах үйлчилгээтэй нэгтгэх.
3. Ачаалах болон програм хангамжийн бүрэн бүтэн байдлыг аюулгүй байлгах
Орчин үеийн машинууд руу чиглэсэн олон халдлага нь илрүүлэхэд хэцүү бөгөөд удаан хугацаанд үргэлжилж болзошгүй тул програм хангамжийг онилдог. Аюулгүй ачаалалт нь машин зөвхөн үйлдвэрлэгч эсвэл эрх бүхий дотоод талын криптографийн гарын үсэгтэй хууль ёсны програм хангамжийг ажиллуулахыг баталгаажуулдаг. Хэрэв програм хангамж өөрчлөгдсөн бол систем ачаалахаас татгалзах эсвэл сэргээх горимд орно.
Аюулгүй ачаалахаас гадна бүрэн бүтэн байдлыг шалгах механизм нь системд зөвшөөрөлгүй өөрчлөлтийг илрүүлэхэд тусалдаг.
4. Аюулгүй шинэчлэлт
Шинэчлэх боломжгүй машинууд аюулгүй байдлын үүднээс хурдан хуучирдаг. Тиймээс firmware болон програм хангамжийн шинэчлэлтийн функцууд нь дараахь зүйлийг хийх ёстой.
- шифрлэгдсэн сувгуудыг ашиглах;
– шинэчлэлтийн багцын дижитал гарын үсгийг баталгаажуулах,
– шинэчлэлт амжилтгүй болсон тохиолдолд буцаах механизмтай,
– үйлдвэрлэлийг тасалдуулахгүйн тулд шинэчлэлтийн хуваарийг дэмждэг.
Аюулгүй шинэчлэлтүүд нь мөн тодорхой бодлого шаарддаг: шинэчлэлтийг хэзээ хийх, хэн батлах, хэрэгжүүлэхээс өмнө хэрхэн турших.
5. Бүртгэл, аудитын мөр болон хяналт шинжилгээ
Системийн үйл ажиллагааг бүртгэх чадвар нь ослоос урьдчилан сэргийлэх, мөрдөн шалгахад чухал ач холбогдолтой. Машинууд дараахь зүйлийг агуулсан байх ёстой.
– хэрэглэгчийн хандалтын бүртгэлүүд (нэвтрэх үед, хаанаас),
- тохиргооны өөрчлөлтийн бүртгэл,
– баталгаажуулалтын алдааны бүртгэл,
– зөвшөөрөлгүй нэвтрэх оролдлого эсвэл програм хангамжийн өөрчлөлт зэрэг аюулгүй байдлын үйл явдлууд.
Аудитын мөрүүд нь компаниудад нийцлийг харуулах, ослын хариу арга хэмжээг хурдасгахад тусалдаг. Хамгийн тохиромжтой нь логуудыг халдагчид амархан устгахаас сэргийлэхийн тулд төвлөрсөн сервер (SIEM эсвэл лог сервер) руу илгээдэг.
6. Сүлжээний сегментчилэл ба дотоод галт хана
Үйлдвэр эсвэл оффисын сүлжээнд холбогдсон машинуудын харилцаа холбоог хязгаарлах шаардлагатай. Сүлжээний сегментчилэл нь үйлдвэрлэлийн машинууд нь зочин зөөврийн компьютер гэх мэт нийтлэг төхөөрөмжүүдтэй нэг сүлжээнд байхгүй байхыг баталгаажуулдаг. Дотоод галт хана эсвэл хандалтын хяналтын дүрмүүд (ACLs) нь ашиглаж болох портууд болон протоколуудыг хязгаарлаж, хажуугийн халдлагын боломжийг багасгадаг.
Аж үйлдвэрийн орчинд "тэг итгэлцэл" гэсэн ойлголт өргөн хэрэглэгдэж эхэлж байна: холболт бүрийг баталгаажуулах ёстой бөгөөд ямар ч төхөөрөмж дотоод сүлжээнд холбогдсон гээд автоматаар итгэмжлэгддэггүй.
7. Бие махбодийн хамгаалалт ба өөрчлөлтийн эсрэг
Өгөгдлийн аюулгүй байдал нь үргэлж сүлжээтэй холбоотой байдаггүй. Биет хандалтаас болж олон осол гардаг. Олон нийтийн газар эсвэл үйлдвэрлэлийн талбайд байрладаг машинууд дараах шинж чанаруудыг шаарддаг:
- самбарын түгжээ,
– бүрхүүл нээх мэдрэгч (хөндлөнгийн унтраалга),
– залилан илэрсэн үед шифрлэлтийн түлхүүрүүдийг устгах эсвэл системийг түгжих,
– USB портууд идэвхгүй эсвэл хязгаарлагдмал байна.
Хадгалах сан эсвэл дибаг хийх портууд руу шууд хандах замаар өгөгдөл хулгайлахаас урьдчилан сэргийлэхийн тулд физик хамгаалалт чухал юм.
8. Чухал үйл явцын тусгаарлалт ба элсэрхэг орчин
Олон үйлчилгээ ажиллуулдаг машинууд - жишээлбэл, хэрэглэгчийн интерфэйс, харилцаа холбооны модулиуд, орон нутгийн мэдээллийн сангийн үйлчилгээ - процессын тусгаарлалтыг ашиглах ёстой. Орчин үеийн үйлдлийн системд энэ нь контейнер, sandboxing эсвэл хамгийн бага эрхийн хязгаарлалтыг агуулж болно. Зорилго нь нэг бүрэлдэхүүн хэсэг эвдэрсэн тохиолдолд халдагч бүхэл системийн хяналтыг амархан авахаас урьдчилан сэргийлэх явдал юм.
9. Хувийн мэдээллийг хамгаалах: Өгөгдлийг нуух болон багасгах
Орчин үеийн аюулгүй байдлын зарчмууд өгөгдлийг багасгахыг онцолдог: машинууд зөвхөн зайлшгүй шаардлагатай өгөгдлийг цуглуулдаг. Мэдрэмтгий өгөгдлийг интерфэйс дээр харуулахын тулд далдалж болно (жишээлбэл, зөвхөн картын дугаарын сүүлийн дөрвөн орон). Хувийн мэдээлэл нь мөн тодорхой хадгалах хугацаатай байх ёстой бөгөөд нууцлалын бодлогын дагуу устгагдах ёстой.
Төрөл бүрийн машинууд дээрх хэрэглээний жишээнүүд
1. Кассын машин (POS): гүйлгээний шифрлэлт, төлбөрийн стандартын шаардлага хангасан байдал, кассчин болон хянагчийн хандалтын хяналт, гүйлгээний бүртгэлийг нягт нямбай хийхийг шаарддаг.
2. SCADA-д холбогдсон үйлдвэрлэлийн машинууд/PLC-үүд: сүлжээний сегментчилэл, аюулгүй програм хангамжийн шинэчлэлт, VPN болон MFA-аар дамжуулан алсын зайнаас нэвтрэх хязгаарлалт шаарддаг.
3. IoT машинууд (мэдрэгч, ухаалаг тоолуур): аюулгүй ачаалах, гэрчилгээнд суурилсан төхөөрөмжийн таних тэмдэг, үүлэн технологитой шифрлэгдсэн харилцаа холбоо шаарддаг.
4. АТМ эсвэл нийтийн үйлчилгээний киоск: гажиг илрүүлэхийн тулд хөндлөнгийн оролцооноос хамгаалах, физик хамгаалалт, хадгалалтын шифрлэлт, бодит цагийн хяналт шаарддаг.
Машины өгөгдлийн аюулгүй байдлыг сайжруулахад тулгарч буй бэрхшээлүүд
Машины аюулгүй байдал нь шинэчлэлтийг дэмждэггүй хуучин төхөөрөмжүүд, хязгаарлагдмал тооцооллын нөөц, нөхөөсийг хэцүү болгодог өндөр ажиллах хугацаа, бусад системтэй нарийн төвөгтэй интеграцчлал зэрэг бэрхшээлтэй тулгардаг. Тиймээс аюулгүй байдлын стратеги нь техникийн техник (шифрлэлт, аюулгүй ачаалалт, RBAC)-ийг зохион байгуулалтын журамтай (хандалтын SOP, операторын сургалт, ослын хариу арга хэмжээний төлөвлөгөө) хослуулах ёстой.
Хаах
Өгөгдлийн аюулгүй байдлын функцтэй машин нь зүгээр л "ажилладаг" төхөөрөмж биш, харин мэдээллийг хамгаалах, үйл ажиллагааны найдвартай байдлыг хадгалах зорилготой систем юм. Шифрлэлт, хандалтын хяналт, аюулгүй ачаалах, аюулгүй шинэчлэлт, бүртгэл хөтлөх, сүлжээний сегментчилэл, физик хамгаалалт нь бүгд зайлшгүй шаардлагатай, нэмэлт бүрэлдэхүүн хэсгүүд юм. Машины дизайн, худалдан авалтын процессоос эдгээр функцийг хэрэгжүүлснээр байгууллагууд өгөгдлийн алдагдлын эрсдэлийг бууруулж, халдлагаас үүдэлтэй зогсолтыг багасгаж, улам бүр холбогдсон ертөнцөд хэрэглэгчийн итгэлийг бий болгож чадна.
Хэрэв та хүсвэл би энэ нийтлэлийг тодорхой нөхцөл байдалд тохируулан бичиж болно - жишээлбэл, үйлдвэрийн үйлдвэрлэлийн машин механизм, жижиглэнгийн кассын машин, эсвэл IoT төхөөрөмжүүд гэх мэт - ингэснээр таны хэрэгцээнд илүү хамааралтай болно.