近期看到国内某大学遭受境外网络攻击调查报告的新闻,在工业4.0的今天,我们来聊聊工业信息安全。
NO.1 生产设施中的安全事件 工业信息安全受到关注是2010年恶性蠕虫病毒Stuxnet在伊朗爆发,攻击目标从常规的IT系统和网络,转变为工业用的可编程逻辑控制器(PLC),这是首个专门以工业控制系统为攻击目标,并能造成大规模真实物理损坏的新型病毒,打开了虚拟空间瘫毁物理世界的大门。伊朗的核设施遭受此病毒的打击,导致1000多台离心机瘫痪,伊朗的核计划也延期数年,攻击者比美国“战斧”导弹更灵巧地取得了“战果”。 随着物联网解决方案中 IT 和 OT 的逐步融合,以前孤立的生产环境开始互联,封闭的制造系统逐步开放,防止黑客攻击不再局限于传统 IT。尤其是在工业网络安全方面,对工业公司的网络攻击呈指数级增长,在工业生产中需要安全保护免受攻击的主要是工厂设备。“自动化控制器经常挂在网络上,任何知道网络地址(即 IP)的人都可以轻松操作,” Phoenix Contact的安全专家 Boris Waldeck 回顾道:“有 IP 搜索引擎可以让我在网络上找到可公开访问的控制器。” 物联网和工业 4.0 为犯罪活动创造了新的动机和入侵途径,这种形式的犯罪有多种形式:工业间谍活动、数据盗窃以及通过瘫痪产线来敲诈勒索等。 NO.2 IEC 62443-工业网络安全标准-提高信息安全水平 针对工业信息安全,目前公认的标准是IEC 62443系列标准,该标准系统地将工业信息安全这个庞大复杂的问题,针对用户、系统集成商和产品供应商的不同层次进行分解,兼顾ISO 27001、IEC 62351等多个行业或地区标准形成了一个完备的标准体系。它横向地从产品、系统、管理、技术、流程等多个角度提供了工业信息安全的指导,同时高屋建瓴地针对工业信息安全的诸多问题提供了通用的应对策略,是现代工业信息安全标准的不二之选。 NO.3 安全始于每一个控制 鉴于工业中日益增长的威胁场景,使用本已安全的控制技术将极为有效。对于用户而言,这不仅使整个系统更精简而且还节省了成本和时间。与一般的ISO/IEC标准不同的是,若想取得IEC 62443-4-2与IEC 62443-3-3的证书,必须先通过IEC 62443 -4-1的认证,也就是说对产品供应商而言,必须先确保机构内产品开发流程的安全,才能申请产品安全认证。 NO.4 符合 IEC 62443-4-1 ML3 和 IEC 62443-4-2 SL2 的 TÜV 认证网络攻击防护 Phoenix Contact是第一家获得符合IEC 62443-4-1 ML3 Full Process Profile和IEC 62443-4-2 SL2的控制器 (PLC) 认证的公司,安全开发生命周期已完全应用于开发 PLCnext 控制平台。 AXC F 1152、AXC F 2152 和 AXC 3152 的 PLCnext Control 产品已通过 TÜV SÜD 认证。通过激活安全配置文件,用户可以访问更全面的安全级别2 (SL2) 功能,是自动化行业市场上第一款具有 IEC 62443-4-2 SL2 认证的 PLC! 在开发的早期阶段就关注了所谓的“安全设计”,并应用了符合 IEC 62443-4-1 的安全开发过程。“工业自动化系统的 IT 安全”标准系列的第 4-1 部分定义了安全开发过程,重点是早在概念阶段就识别和消除潜在的安全漏洞,这是我们达到成熟度级别3 (ML3) 的地方,它代表整个组织内流程的可重复性和可验证性。其次是产品的功能范围,我们的开放式控制平台是自动化行业中第一个根据 IEC 62443-4-2 安全级别2 (SL2) 的要求集成安全“出厂”的平台,SL3 也可以通过当前的 SL2 状态来实现。对我们来说,SL4级别没有意义,因为我们想要一个集成安全的PLC,而不是一个可以做一点PLC的安全概念。 NO.5 决定产品的安全强度--成熟等级(Maturity Level)与安全级别(Security Level) IEC62443-4-1:安全的产品开发生命周期要求 成熟度等级 类别 描述 ML1 Initial 产品供应商通常以临时且未记录(或未完全记录)的方式执行产品开发,项目之间的一致性和流程的可重复性可能无法实现。 ML2 Managed 产品供应商有能力根据书面政策开发产品(包括目标)。执行该过程的人员具有专业知识。 ML3 Defined (Practiced) 执行过一次以上ML2的服务流程,并可证明此服务对于服务提供商来说是可重复的。可以根据合约与资产拥有者的工作说明文件,为各个项目量身定制个性化服务。 ML4 Improved 服务提供商使用适当的处理程序评估指标来确保服务有效性,并不断改进提升服务,例如,更好的处理效率或更高级别的系统安全。 IEC 62443-4-2:IACS 组件的技术安全要求 安全等级(Security Level) 描述 SL1 可防护偶然或巧合侵犯的能力 SL2 防护使用简单手段、低资源、通用技能和低动机的故意侵犯能力 SL3 防护使用一定资源、IACS 特定技能和中等动机的复杂手段故意侵犯的能力 SL4 防护使用扩展资源、IACS 特定技能和高积极性的复杂手段故意侵犯的能力 NO.6 此认证的客户受益点 – 安全级别分类和清晰描述的部署场景构成了可靠和整体安全解决方案的重要基础。 – 借助预装的安全配置文件,只需单击一下即可获得2级安全认证。 – 高级信息安全功能可实现IT和OT之间的最佳交互。 – 借助预装的功能,更容易实施具有安全性的自动化解方案,例如:防火墙、VPN 加密通信、用户和软件组件授权、日志记录、备份和恢复,以及设备和更新管理。 – 在线的综合安全信息中心,详细解释安全措施和使用案例。 – 借助 IEC 62443-4-2 组件要求合规性清单,快速识别系统相关的SL2安全功能。 – 出厂预装的安全系统可以减少对额外昂贵安全系统的需求,并简化整体系统设计。 – 与其他根据360度安全概念开发的菲尼克斯电气产品具有良好的交互性。 NO.7 结语 如今,OT 系统的安全性已不再局限于关键基础设施的运行。因此,未来网络安全将不再是大公司独有的问题,也会影响到中小型企业。出厂时已经符合安全标准并经过认证的系统使实施变得容易 - 并且系统更加安全。
经营性网站备案信息
ICP经营许可证
营业执照副本
不良信息举报中心