今日頭條
官方微信
官方抖音
資訊頻道
更高級別的信息安全
近期看到某大學(xué)遭受境外網(wǎng)絡(luò)攻擊調(diào)查報(bào)告的新聞,在工業(yè)4.0的今天,我們來聊聊工業(yè)信息安全。
生產(chǎn)設(shè)施中的安全事件
工業(yè)信息安全受到關(guān)注是2010年惡性蠕蟲病毒Stuxnet在伊朗爆發(fā),攻擊目標(biāo)從常規(guī)的IT系統(tǒng)和網(wǎng)絡(luò),轉(zhuǎn)變?yōu)楣I(yè)用的可編程邏輯控制器(PLC),這是首個(gè)專門以工業(yè)控制系統(tǒng)為攻擊目標(biāo),并能造成大規(guī)模真實(shí)物理損壞的新型病毒,打開了虛擬空間癱毀物理世界的大門。伊朗的核設(shè)施遭受此病毒的打擊,導(dǎo)致1000多臺離心機(jī)癱瘓,伊朗的核計(jì)劃也延期數(shù)年,攻擊者比美國“戰(zhàn)斧”導(dǎo)彈更靈巧地取得了“戰(zhàn)果”。
隨著物聯(lián)網(wǎng)解決方案中 IT 和 OT 的逐步融合,以前孤立的生產(chǎn)環(huán)境開始互聯(lián),封閉的制造系統(tǒng)逐步開放,防止黑客攻擊不再局限于傳統(tǒng) IT。尤其是在工業(yè)網(wǎng)絡(luò)安全方面,對工業(yè)公司的網(wǎng)絡(luò)攻擊呈指數(shù)級增長,在工業(yè)生產(chǎn)中需要安全保護(hù)免受攻擊的主要是工廠設(shè)備。“自動(dòng)化控制器經(jīng)常掛在網(wǎng)絡(luò)上,任何知道網(wǎng)絡(luò)地址(即 IP)的人都可以輕松操作,” Phoenix Contact的安全專家 Boris Waldeck 回顧道:“有 IP 搜索引擎可以讓我在網(wǎng)絡(luò)上找到可公開訪問的控制器。”
物聯(lián)網(wǎng)和工業(yè) 4.0 為犯罪活動(dòng)創(chuàng)造了新的動(dòng)機(jī)和入侵途徑,這種形式的犯罪有多種形式:工業(yè)間諜活動(dòng)、數(shù)據(jù)盜竊以及通過癱瘓產(chǎn)線來敲詐勒索等。
IEC 62443-工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)-提高信息安全水平
針對工業(yè)信息安全,目前公認(rèn)的標(biāo)準(zhǔn)是IEC 62443系列標(biāo)準(zhǔn),該標(biāo)準(zhǔn)系統(tǒng)地將工業(yè)信息安全這個(gè)龐大復(fù)雜的問題,針對用戶、系統(tǒng)集成商和產(chǎn)品供應(yīng)商的不同層次進(jìn)行分解,兼顧ISO 27001、IEC 62351等多個(gè)行業(yè)或地區(qū)標(biāo)準(zhǔn)形成了一個(gè)完備的標(biāo)準(zhǔn)體系。它橫向地從產(chǎn)品、系統(tǒng)、管理、技術(shù)、流程等多個(gè)角度提供了工業(yè)信息安全的指導(dǎo),同時(shí)高屋建瓴地針對工業(yè)信息安全的諸多問題提供了通用的應(yīng)對策略,是現(xiàn)代工業(yè)信息安全標(biāo)準(zhǔn)的不二之選。
安全始于每一個(gè)控制
鑒于工業(yè)中日益增長的威脅場景,使用本已安全的控制技術(shù)將極為有效。對于用戶而言,這不僅使整個(gè)系統(tǒng)更精簡而且還節(jié)省了成本和時(shí)間。與一般的ISO/IEC標(biāo)準(zhǔn)不同的是,若想取得IEC 62443-4-2與IEC 62443-3-3的證書,必須先通過IEC 62443 -4-1的認(rèn)證,也就是說對產(chǎn)品供應(yīng)商而言,必須先確保機(jī)構(gòu)內(nèi)產(chǎn)品開發(fā)流程的安全,才能申請產(chǎn)品安全認(rèn)證。
符合 IEC 62443-4-1 ML3 和 IEC 62443-4-2 SL2 的 TüV 認(rèn)證網(wǎng)絡(luò)攻擊防護(hù)
Phoenix Contact是第一家獲得符合IEC 62443-4-1 ML3 Full Process Profile和IEC 62443-4-2 SL2的控制器 (PLC) 認(rèn)證的公司,安全開發(fā)生命周期已完全應(yīng)用于開發(fā) PLCnext 控制平臺。
AXC F 1152、AXC F 2152 和 AXC 3152 的 PLCnext Control 產(chǎn)品已通過 TüV SüD 認(rèn)證。通過激活安全配置文件,用戶可以訪問更全面的安全級別2 (SL2) 功能,是自動(dòng)化行業(yè)市場上第一款具有 IEC 62443-4-2 SL2 認(rèn)證的 PLC!
在開發(fā)的早期階段就關(guān)注了所謂的“安全設(shè)計(jì)”,并應(yīng)用了符合 IEC 62443-4-1 的安全開發(fā)過程。“工業(yè)自動(dòng)化系統(tǒng)的 IT 安全”標(biāo)準(zhǔn)系列的第 4-1 部分定義了安全開發(fā)過程,重點(diǎn)是早在概念階段就識別和消除潛在的安全漏洞,這是我們達(dá)到成熟度級別3 (ML3) 的地方,它代表整個(gè)組織內(nèi)流程的可重復(fù)性和可驗(yàn)證性。其次是產(chǎn)品的功能范圍,我們的開放式控制平臺是自動(dòng)化行業(yè)中第一個(gè)根據(jù) IEC 62443-4-2 安全級別2 (SL2) 的要求集成安全“出廠”的平臺,SL3 也可以通過當(dāng)前的 SL2 狀態(tài)來實(shí)現(xiàn)。對我們來說,SL4級別沒有意義,因?yàn)槲覀兿胍粋€(gè)集成安全的PLC,而不是一個(gè)可以做一點(diǎn)PLC的安全概念。
決定產(chǎn)品的安全強(qiáng)度--成熟等級(Maturity Level)與安全級別(Security Level)
IEC62443-4-1:安全的產(chǎn)品開發(fā)生命周期要求
成熟度等級 | 類別 | 描述 |
ML1 | Initial | 產(chǎn)品供應(yīng)商通常以臨時(shí)且未記錄(或未完全記錄)的方式執(zhí)行產(chǎn)品開發(fā),項(xiàng)目之間的一致性和流程的可重復(fù)性可能無法實(shí)現(xiàn)。 |
ML2 | Managed | 產(chǎn)品供應(yīng)商有能力根據(jù)書面政策開發(fā)產(chǎn)品(包括目標(biāo))。執(zhí)行該過程的人員具有專業(yè)知識。 |
ML3 | Defined (Practiced) | 執(zhí)行過一次以上ML2的服務(wù)流程,并可證明此服務(wù)對于服務(wù)提供商來說是可重復(fù)的。可以根據(jù)合約與資產(chǎn)擁有者的工作說明文件,為各個(gè)項(xiàng)目量身定制個(gè)性化服務(wù)。 |
ML4 | Improved | 服務(wù)提供商使用適當(dāng)?shù)奶幚沓绦蛟u估指標(biāo)來確保服務(wù)有效性,并不斷改進(jìn)提升服務(wù),例如,更好的處理效率或更高級別的系統(tǒng)安全。 |
IEC 62443-4-2:IACS 組件的技術(shù)安全要求
安全等級(Security Level) | 描述 |
SL1 | 可防護(hù)偶然或巧合侵犯的能力 |
SL2 | 防護(hù)使用簡單手段、低資源、通用技能和低動(dòng)機(jī)的故意侵犯能力 |
SL3 | 防護(hù)使用一定資源、IACS 特定技能和中等動(dòng)機(jī)的復(fù)雜手段故意侵犯的能力 |
SL4 | 防護(hù)使用擴(kuò)展資源、IACS 特定技能和高積極性的復(fù)雜手段故意侵犯的能力 |
此認(rèn)證的客戶受益點(diǎn)
– 安全級別分類和清晰描述的部署場景構(gòu)成了可靠和整體安全解決方案的重要基礎(chǔ)。
– 借助預(yù)裝的安全配置文件,只需單擊一下即可獲得2級安全認(rèn)證。
– 高級信息安全功能可實(shí)現(xiàn)IT和OT之間的最佳交互。
– 借助預(yù)裝的功能,更容易實(shí)施具有安全性的自動(dòng)化解方案,例如:防火墻、VPN 加密通信、用戶和軟件組件授權(quán)、日志記錄、備份和恢復(fù),以及設(shè)備和更新管理。
– 在線的綜合安全信息中心,詳細(xì)解釋安全措施和使用案例。
– 借助 IEC 62443-4-2 組件要求合規(guī)性清單,快速識別系統(tǒng)相關(guān)的SL2安全功能。
– 出廠預(yù)裝的安全系統(tǒng)可以減少對額外昂貴安全系統(tǒng)的需求,并簡化整體系統(tǒng)設(shè)計(jì)。
– 與其他根據(jù)360度安全概念開發(fā)的菲尼克斯電氣產(chǎn)品具有良好的交互性。
結(jié)語
如今,OT 系統(tǒng)的安全性已不再局限于關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行。因此,未來網(wǎng)絡(luò)安全將不再是大公司獨(dú)有的問題,也會影響到中小型企業(yè)。出廠時(shí)已經(jīng)符合安全標(biāo)準(zhǔn)并經(jīng)過認(rèn)證的系統(tǒng)使實(shí)施變得容易 - 并且系統(tǒng)更加安全。
北京市公安局海淀分局備案號:11010802023656號