更高級別的信息安全
近期看到某大學遭受境外網絡攻擊調查報告的新聞,在工業4.0的今天,我們來聊聊工業信息安全。
生產設施中的安全事件
工業信息安全受到關注是2010年惡性蠕蟲病毒Stuxnet在伊朗爆發,攻擊目標從常規的IT系統和網絡,轉變為工業用的可編程邏輯控制器(PLC),這是首個專門以工業控制系統為攻擊目標,并能造成大規模真實物理損壞的新型病毒,打開了虛擬空間癱毀物理世界的大門。伊朗的核設施遭受此病毒的打擊,導致1000多臺離心機癱瘓,伊朗的核計劃也延期數年,攻擊者比美國“戰斧”導彈更靈巧地取得了“戰果”。
隨著物聯網解決方案中 IT 和 OT 的逐步融合,以前孤立的生產環境開始互聯,封閉的制造系統逐步開放,防止黑客攻擊不再局限于傳統 IT。尤其是在工業網絡安全方面,對工業公司的網絡攻擊呈指數級增長,在工業生產中需要安全保護免受攻擊的主要是工廠設備?!白詣踊刂破鹘洺煸诰W絡上,任何知道網絡地址(即 IP)的人都可以輕松操作,” Phoenix Contact的安全專家 Boris Waldeck 回顧道:“有 IP 搜索引擎可以讓我在網絡上找到可公開訪問的控制器?!?/span>
物聯網和工業 4.0 為犯罪活動創造了新的動機和入侵途徑,這種形式的犯罪有多種形式:工業間諜活動、數據盜竊以及通過癱瘓產線來敲詐勒索等。
IEC 62443-工業網絡安全標準-提高信息安全水平
針對工業信息安全,目前公認的標準是IEC 62443系列標準,該標準系統地將工業信息安全這個龐大復雜的問題,針對用戶、系統集成商和產品供應商的不同層次進行分解,兼顧ISO 27001、IEC 62351等多個行業或地區標準形成了一個完備的標準體系。它橫向地從產品、系統、管理、技術、流程等多個角度提供了工業信息安全的指導,同時高屋建瓴地針對工業信息安全的諸多問題提供了通用的應對策略,是現代工業信息安全標準的不二之選。
安全始于每一個控制
鑒于工業中日益增長的威脅場景,使用本已安全的控制技術將極為有效。對于用戶而言,這不僅使整個系統更精簡而且還節省了成本和時間。與一般的ISO/IEC標準不同的是,若想取得IEC 62443-4-2與IEC 62443-3-3的證書,必須先通過IEC 62443 -4-1的認證,也就是說對產品供應商而言,必須先確保機構內產品開發流程的安全,才能申請產品安全認證。
符合 IEC 62443-4-1 ML3 和 IEC 62443-4-2 SL2 的 TüV 認證網絡攻擊防護
Phoenix Contact是第一家獲得符合IEC 62443-4-1 ML3 Full Process Profile和IEC 62443-4-2 SL2的控制器 (PLC) 認證的公司,安全開發生命周期已完全應用于開發 PLCnext 控制平臺。
AXC F 1152、AXC F 2152 和 AXC 3152 的 PLCnext Control 產品已通過 TüV SüD 認證。通過激活安全配置文件,用戶可以訪問更全面的安全級別2 (SL2) 功能,是自動化行業市場上第一款具有 IEC 62443-4-2 SL2 認證的 PLC!
在開發的早期階段就關注了所謂的“安全設計”,并應用了符合 IEC 62443-4-1 的安全開發過程?!肮I自動化系統的 IT 安全”標準系列的第 4-1 部分定義了安全開發過程,重點是早在概念階段就識別和消除潛在的安全漏洞,這是我們達到成熟度級別3 (ML3) 的地方,它代表整個組織內流程的可重復性和可驗證性。其次是產品的功能范圍,我們的開放式控制平臺是自動化行業中第一個根據 IEC 62443-4-2 安全級別2 (SL2) 的要求集成安全“出廠”的平臺,SL3 也可以通過當前的 SL2 狀態來實現。對我們來說,SL4級別沒有意義,因為我們想要一個集成安全的PLC,而不是一個可以做一點PLC的安全概念。
決定產品的安全強度--成熟等級(Maturity Level)與安全級別(Security Level)
IEC62443-4-1:安全的產品開發生命周期要求
成熟度等級 | 類別 | 描述 |
ML1 | Initial | 產品供應商通常以臨時且未記錄(或未完全記錄)的方式執行產品開發,項目之間的一致性和流程的可重復性可能無法實現。 |
ML2 | Managed | 產品供應商有能力根據書面政策開發產品(包括目標)。執行該過程的人員具有專業知識。 |
ML3 | Defined (Practiced) | 執行過一次以上ML2的服務流程,并可證明此服務對于服務提供商來說是可重復的??梢愿鶕霞s與資產擁有者的工作說明文件,為各個項目量身定制個性化服務。 |
ML4 | Improved | 服務提供商使用適當的處理程序評估指標來確保服務有效性,并不斷改進提升服務,例如,更好的處理效率或更高級別的系統安全。 |
IEC 62443-4-2:IACS 組件的技術安全要求
安全等級(Security Level) | 描述 |
SL1 | 可防護偶然或巧合侵犯的能力 |
SL2 | 防護使用簡單手段、低資源、通用技能和低動機的故意侵犯能力 |
SL3 | 防護使用一定資源、IACS 特定技能和中等動機的復雜手段故意侵犯的能力 |
SL4 | 防護使用擴展資源、IACS 特定技能和高積極性的復雜手段故意侵犯的能力 |
此認證的客戶受益點
– 安全級別分類和清晰描述的部署場景構成了可靠和整體安全解決方案的重要基礎。
– 借助預裝的安全配置文件,只需單擊一下即可獲得2級安全認證。
– 高級信息安全功能可實現IT和OT之間的最佳交互。
– 借助預裝的功能,更容易實施具有安全性的自動化解方案,例如:防火墻、VPN 加密通信、用戶和軟件組件授權、日志記錄、備份和恢復,以及設備和更新管理。
– 在線的綜合安全信息中心,詳細解釋安全措施和使用案例。
– 借助 IEC 62443-4-2 組件要求合規性清單,快速識別系統相關的SL2安全功能。
– 出廠預裝的安全系統可以減少對額外昂貴安全系統的需求,并簡化整體系統設計。
– 與其他根據360度安全概念開發的菲尼克斯電氣產品具有良好的交互性。
結語
如今,OT 系統的安全性已不再局限于關鍵基礎設施的運行。因此,未來網絡安全將不再是大公司獨有的問題,也會影響到中小型企業。出廠時已經符合安全標準并經過認證的系統使實施變得容易 - 并且系統更加安全。