面對(duì)全球供應(yīng)鏈持續(xù)受挫的困境，工業(yè)企業(yè)極力尋求穩(wěn)定業(yè)務(wù)之法，力求保持競爭優(yōu)勢。而要實(shí)現(xiàn)工業(yè)彈性運(yùn)營，接受新技術(shù)是最高效的方法之一。為了收集、傳輸數(shù)據(jù)并最終將數(shù)據(jù)轉(zhuǎn)化為有意義的信息，企業(yè)正努力部署創(chuàng)新網(wǎng)絡(luò)技術(shù)，加快數(shù)字化進(jìn)程。然而，互聯(lián)設(shè)備也給企業(yè)主帶來了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，需要依托組件級(jí)安全功能來降低這些風(fēng)險(xiǎn)。根據(jù) IDC 的《2022 年世界 IT/OT 融合預(yù)測報(bào)告》*，到 2025 年，30% 的 G2000 制造商將在其產(chǎn)品中融入互聯(lián)技術(shù)以提高可靠性。通過互聯(lián)技術(shù)獲取的各類業(yè)務(wù)信息有助于延長運(yùn)行時(shí)間，并能使供應(yīng)鏈更為穩(wěn)定。

　　隨著產(chǎn)品頻繁應(yīng)用新技術(shù)，更多資產(chǎn)連入網(wǎng)絡(luò)，聯(lián)網(wǎng)組件發(fā)揮著越來越重要的作用。因此，必須開發(fā)滿足這些新需求的組件。于是制造公司紛紛承擔(dān)起生產(chǎn)這類組件的責(zé)任，為可靠安全的互聯(lián)世界貢獻(xiàn)各自的力量。工業(yè)企業(yè)要想連接更多設(shè)備、提高服務(wù)量，必須確保安全連接設(shè)備，遵循各項(xiàng)法規(guī)標(biāo)準(zhǔn)，從而保證數(shù)據(jù)的可訪問性、完整性和安全性。

　　IEC 62443 標(biāo)準(zhǔn)速覽

　　目前有多項(xiàng)針對(duì)工業(yè)控制系統(tǒng)安全框架的標(biāo)準(zhǔn)。其中最廣為人知、在工業(yè)企業(yè)中普及度最高的是 IEC 62443 標(biāo)準(zhǔn)。IEC 62443 標(biāo)準(zhǔn)從網(wǎng)絡(luò)不同組成部分出發(fā)，按照安全實(shí)施工業(yè)自動(dòng)化和控制系統(tǒng) (IACS) 的流程提供指導(dǎo)。此外，該標(biāo)準(zhǔn)還為自動(dòng)控制工程師、履行不同職責(zé)的網(wǎng)絡(luò)運(yùn)維人員提供操作指南。如今，系統(tǒng)集成商 (SI) 通常要求組件供應(yīng)商提供的設(shè)備需符合 IEC 62443 的子標(biāo)準(zhǔn)。下圖呈現(xiàn)了該標(biāo)準(zhǔn)的體系結(jié)構(gòu)以及在每個(gè)階段確保網(wǎng)絡(luò)安全運(yùn)行的人員應(yīng)承擔(dān)的職責(zé)。

　　采用 IEC 62443 標(biāo)準(zhǔn)加強(qiáng)網(wǎng)絡(luò)安全

　　明確策略和安全管理體系

　　工業(yè)企業(yè)應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上建立安全配置策略和安全管理體系。Felipe Sabino Costa 在其撰寫的白皮書《采用 IEC 62443 標(biāo)準(zhǔn)的實(shí)用方法》中提到：“評(píng)估應(yīng)摸清資產(chǎn)與運(yùn)營的相關(guān)性，確定各項(xiàng)流程中存在哪些主要的運(yùn)營或安全風(fēng)險(xiǎn)，以及應(yīng)該采取哪些風(fēng)險(xiǎn)緩釋措施?！痹诖_定了策略和安全管理體系后，應(yīng)部署可視化軟件，幫助資產(chǎn)所有者獲取安全態(tài)勢的最新信息。

　　IACS 網(wǎng)絡(luò)深度防御網(wǎng)絡(luò)安全方案

　　工業(yè)企業(yè)應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上建立安全配置策略和安全管理體系。Felipe Sabino Costa 在其撰寫的白皮書《采用 IEC 62443 標(biāo)準(zhǔn)的實(shí)用方法》中提到：“評(píng)估應(yīng)摸清資產(chǎn)與運(yùn)營的相關(guān)性，確定各項(xiàng)流程中存在哪些主要的運(yùn)營或安全風(fēng)險(xiǎn)，以及應(yīng)該采取哪些風(fēng)險(xiǎn)緩釋措施?！痹诖_定了策略和安全管理體系后，應(yīng)部署可視化軟件，幫助資產(chǎn)所有者獲取安全態(tài)勢的最新信息。

　　IACS 網(wǎng)絡(luò)深度防御網(wǎng)絡(luò)安全方案

　　深度防御框架建議將網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)區(qū)域和線路，從而將風(fēng)險(xiǎn)降到企業(yè)可以接受的水平。每個(gè)區(qū)域和線路將根據(jù)重要性分配安全等級(jí)，網(wǎng)絡(luò)運(yùn)維人員必須確保遵守每一等級(jí)的要求。通過為工業(yè)自動(dòng)化量身定制的工業(yè)安全路由器、VPN 和遠(yuǎn)程訪問解決方案形成物理或邏輯隔離，便能實(shí)現(xiàn)深度防御。此外，訪問控制列表 (ACL) 等功能也可以將網(wǎng)絡(luò)分區(qū)，達(dá)到一定的安全水平。如果資產(chǎn)所有者或系統(tǒng)集成商希望降低風(fēng)險(xiǎn)，特別是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受惡意攻擊，工業(yè)入侵檢測/防御系統(tǒng) (IDS/IPS) 也是可行方案。

　　內(nèi)置安全功能加固設(shè)備

　　網(wǎng)絡(luò)設(shè)備的內(nèi)置安全功能與深度防御框架和安全管理體系相輔相成。內(nèi)置安全功能的模塊對(duì)資產(chǎn)所有者和系統(tǒng)集成商大有裨益，是使他們的系統(tǒng)達(dá)到預(yù)期安全水平的有力保障。下面我們將總結(jié)與 IEC 62443-4-2 標(biāo)準(zhǔn)有關(guān)的要求。

　　IEC 62443-4-2 標(biāo)準(zhǔn)對(duì)自動(dòng)化行業(yè)的要求

　　IEC 62443 標(biāo)準(zhǔn)包含若干子標(biāo)準(zhǔn)，涉及到承擔(dān)不同職責(zé)的人員。由于系統(tǒng)集成商越來越多地要求組件供應(yīng)商遵守 IEC 62443-4-2 子標(biāo)準(zhǔn)的要求，因此該子標(biāo)準(zhǔn)的重要性日益提升。組件要求源于該標(biāo)準(zhǔn)的基礎(chǔ)要求，包括賬號(hào)、驗(yàn)證和授權(quán)管理、密碼驗(yàn)證、公鑰認(rèn)證、登錄驗(yàn)證、數(shù)據(jù)完整性和保密性，以及確保資源可用性的備份功能。

　　如果組件供應(yīng)商遵循 IEC 62443-4-2 子標(biāo)準(zhǔn)的各項(xiàng)準(zhǔn)則，將能極大幫助網(wǎng)絡(luò)運(yùn)維人員提高網(wǎng)絡(luò)防護(hù)等級(jí)，免受網(wǎng)絡(luò)攻擊。盡管組件供應(yīng)商必須為其設(shè)備添加某些功能，以便適應(yīng)工業(yè)互聯(lián)網(wǎng)的部署需求，但妥善利用這些功能是網(wǎng)絡(luò)運(yùn)維人員的責(zé)任。此外，網(wǎng)絡(luò)運(yùn)維人員必須確保獲得網(wǎng)絡(luò)訪問權(quán)限的每個(gè)人都熟悉 IEC 62443-4-2 子標(biāo)準(zhǔn)規(guī)定的最佳流程和相關(guān)準(zhǔn)則。

　　遵守 IEC 62443-4-2 子標(biāo)準(zhǔn)的每條準(zhǔn)則將產(chǎn)生諸多積極影響，對(duì)增強(qiáng)網(wǎng)絡(luò)安全性大為有益。相反，如不遵循這些準(zhǔn)則，可能會(huì)導(dǎo)致網(wǎng)絡(luò)安全性降低，極易遭受惡意攻擊。

　　為了加強(qiáng)組件級(jí)安全防護(hù)，Moxa 推出了全球首批通過 IEC 62443-4-2 認(rèn)證的以太網(wǎng)交換機(jī)之一的 EDS-4000/G4000 系列。該系列按照 IEC 62443-4-1 軟件開發(fā)生命周期準(zhǔn)則開發(fā)。Moxa 工業(yè)聯(lián)網(wǎng)設(shè)備產(chǎn)品組合豐富，助力每一個(gè)客戶以最合適的設(shè)備增強(qiáng)網(wǎng)絡(luò)安全。