面對全球供應鏈持續受挫的困境,工業企業極力尋求穩定業務之法,力求保持競爭優勢。而要實現工業彈性運營,接受新技術是最高效的方法之一。為了收集、傳輸數據并最終將數據轉化為有意義的信息,企業正努力部署創新網絡技術,加快數字化進程。然而,互聯設備也給企業主帶來了新的網絡安全風險,需要依托組件級安全功能來降低這些風險。根據 IDC 的《2022 年世界 IT/OT 融合預測報告》*,到 2025 年,30% 的 G2000 制造商將在其產品中融入互聯技術以提高可靠性。通過互聯技術獲取的各類業務信息有助于延長運行時間,并能使供應鏈更為穩定。
隨著產品頻繁應用新技術,更多資產連入網絡,聯網組件發揮著越來越重要的作用。因此,必須開發滿足這些新需求的組件。于是制造公司紛紛承擔起生產這類組件的責任,為可靠安全的互聯世界貢獻各自的力量。工業企業要想連接更多設備、提高服務量,必須確保安全連接設備,遵循各項法規標準,從而保證數據的可訪問性、完整性和安全性。
IEC 62443 標準速覽
目前有多項針對工業控制系統安全框架的標準。其中最廣為人知、在工業企業中普及度最高的是 IEC 62443 標準。IEC 62443 標準從網絡不同組成部分出發,按照安全實施工業自動化和控制系統 (IACS) 的流程提供指導。此外,該標準還為自動控制工程師、履行不同職責的網絡運維人員提供操作指南。如今,系統集成商 (SI) 通常要求組件供應商提供的設備需符合 IEC 62443 的子標準。下圖呈現了該標準的體系結構以及在每個階段確保網絡安全運行的人員應承擔的職責。
采用 IEC 62443 標準加強網絡安全
明確策略和安全管理體系
工業企業應在風險評估的基礎上建立安全配置策略和安全管理體系。Felipe Sabino Costa 在其撰寫的白皮書《采用 IEC 62443 標準的實用方法》中提到:“評估應摸清資產與運營的相關性,確定各項流程中存在哪些主要的運營或安全風險,以及應該采取哪些風險緩釋措施。”在確定了策略和安全管理體系后,應部署可視化軟件,幫助資產所有者獲取安全態勢的最新信息。
IACS 網絡深度防御網絡安全方案
工業企業應在風險評估的基礎上建立安全配置策略和安全管理體系。Felipe Sabino Costa 在其撰寫的白皮書《采用 IEC 62443 標準的實用方法》中提到:“評估應摸清資產與運營的相關性,確定各項流程中存在哪些主要的運營或安全風險,以及應該采取哪些風險緩釋措施。”在確定了策略和安全管理體系后,應部署可視化軟件,幫助資產所有者獲取安全態勢的最新信息。
IACS 網絡深度防御網絡安全方案
深度防御框架建議將網絡系統劃分為多個區域和線路,從而將風險降到企業可以接受的水平。每個區域和線路將根據重要性分配安全等級,網絡運維人員必須確保遵守每一等級的要求。通過為工業自動化量身定制的工業安全路由器、VPN 和遠程訪問解決方案形成物理或邏輯隔離,便能實現深度防御。此外,訪問控制列表 (ACL) 等功能也可以將網絡分區,達到一定的安全水平。如果資產所有者或系統集成商希望降低風險,特別是保護關鍵基礎設施免受惡意攻擊,工業入侵檢測/防御系統 (IDS/IPS) 也是可行方案。
內置安全功能加固設備
網絡設備的內置安全功能與深度防御框架和安全管理體系相輔相成。內置安全功能的模塊對資產所有者和系統集成商大有裨益,是使他們的系統達到預期安全水平的有力保障。下面我們將總結與 IEC 62443-4-2 標準有關的要求。
IEC 62443-4-2 標準對自動化行業的要求
IEC 62443 標準包含若干子標準,涉及到承擔不同職責的人員。由于系統集成商越來越多地要求組件供應商遵守 IEC 62443-4-2 子標準的要求,因此該子標準的重要性日益提升。組件要求源于該標準的基礎要求,包括賬號、驗證和授權管理、密碼驗證、公鑰認證、登錄驗證、數據完整性和保密性,以及確保資源可用性的備份功能。
如果組件供應商遵循 IEC 62443-4-2 子標準的各項準則,將能極大幫助網絡運維人員提高網絡防護等級,免受網絡攻擊。盡管組件供應商必須為其設備添加某些功能,以便適應工業互聯網的部署需求,但妥善利用這些功能是網絡運維人員的責任。此外,網絡運維人員必須確保獲得網絡訪問權限的每個人都熟悉 IEC 62443-4-2 子標準規定的最佳流程和相關準則。
遵守 IEC 62443-4-2 子標準的每條準則將產生諸多積極影響,對增強網絡安全性大為有益。相反,如不遵循這些準則,可能會導致網絡安全性降低,極易遭受惡意攻擊。
Moxa 解決方案
為了加強組件級安全防護,Moxa 推出了全球首批通過 IEC 62443-4-2 認證的以太網交換機之一的 EDS-4000/G4000 系列。該系列按照 IEC 62443-4-1 軟件開發生命周期準則開發。Moxa 工業聯網設備產品組合豐富,助力每一個客戶以最合適的設備增強網絡安全。
* IDC FutureScape:2022 年世界 IT/OT 融合預測報告,Doc #US47131521,2021 年 10 月