网络安全指引

2004年4月,两组网络安全和自动化系统专家发布了超过260页的工业控制系统安全指南。ISA-SP99标准委员会发布了关于制造和控制系统安全的几份技术报告中的前两份,以及美国国家标准与技术研究院(NIST)过程控制安全需求论坛的问题。

通过霍莉·比姆,接口技术公司 二四年六月一日

2004年4月,两组网络安全和自动化系统专家发布了超过260页的工业控制系统安全指南。ISA-SP99标准委员会发布了几份关于制造和控制系统安全的技术报告中的前两份,国家标准与技术研究所(NIST)过程控制安全需求论坛发布了工业控制系统的系统保护概况(SPP-ICS)。

isa(仪表、系统和自动化协会)成立了SP99委员会,专门解决工业系统安全面临的日益增长的威胁。

“SP99的目的是解决制造和控制系统的安全需求。虽然信息系统技术和控制系统之间存在许多相似之处,但在技术和术语方面的差异值得仔细注意。SP99委员会专注于开发材料,以帮助组织制定全面的安全计划,”罗克韦尔自动化的SP99主席Bryan Singer说。SP99的成员代表了各种各样的控制系统供应商、最终用户、系统集成商、顾问和网络安全供应商。

委员会发布的前两份技术报告是“制造和控制系统的安全技术”(ISA-TR99.00.01-2004),也称为TR1,以及“将电子安全集成到制造和控制系统环境中”(ISA-TR99.00.02-2004),也称为TR2。

TR1描述了目前可用于制造和控制系统环境的电子安全技术。研究了六个类别的28种技术。类别包括认证和授权;过滤/屏蔽/访问控制;加密和数据验证;审核、测量、监视和检测工具;以及计算机软件和物理安全控制。每项技术都根据七个方面进行评估:该技术解决的安全漏洞、典型部署、已知问题和弱点、在制造和控制系统环境中的使用评估、未来方向、建议和指导、信息来源和参考材料。

TR1并不推荐一种技术优于另一种技术,但提供了使用这些技术的指导,以及在开发站点或企业自动化安全程序时要考虑的信息。TR1可以作为想要学习安全技术的控制工程师的入门读物,也可以作为IT人员了解在实时环境中部署传统安全方法的局限性的资源。“我们的目的是武装控制工程师,让他们了解安全产品所需的基本信息。TR1工作组主席Eric Byres说:“我们还想告知IT专业人员使用他们的工具的注意事项,例如为什么他们不能假设基于微软windows的控制系统携带最新的补丁。”

TR2对创建完整安全程序所需的方法和组件进行了更全面的讨论。在TR2中,SP99引入了安全生命周期(见图表)。这类似于IEC 61508标准中为管理安全相关系统而开发的方法。TR2为生命周期的每个步骤提供了具体的指导和参考。

除了安全生命周期步骤之外,TR2还详细介绍了组成全面安全程序的特定元素,并包括许多有用的模板和示例。本文提供了一个模板,用于完成对公司制造系统的全面筛选清单,其中包括工业网络部分风险分析的逐步程序,以及公司工业网络政策和程序文件的示例。

根据TR2工作组主席Bob Webb的说法,“安全最重要的方面是认识到大多数控制系统是新组件和遗留组件的组合。没有单一的步骤可以使系统安全。相反,你需要经历一个过程,这就是我们在TR2中提供的。我们还强调控制系统的敏感性,控制工程师必须不断考虑每种对策对整个系统响应的影响。”

作为ISA-SP99对当前系统安全的补充,NIST工作的主要目标是为未来的过程控制系统定义一组精确的通用信息安全需求。NIST过程控制安全需求论坛(PCSRF)由来自政府、学术界和私营部门的450名成员组成(许多成员也活跃于ISA-SP99)。

PCSRF工业控制系统系统保护配置文件(SPP-ICS)是专为自动化系统定制的ISO/IEC 15408通用标准的扩展。通用标准被广泛用于确保政府运作的安全,如美国联邦航空局,但这是一个自动化的新概念。SPP-ICS是一个基线文档,它在独立于实现的级别上陈述了必要的工业安全需求。它将用于创建特定系统和组件的安全规范,例如水处理系统或变电站。

“系统集成商和最终用户可以应用SPP-ICS来指定购买新系统的安全功能要求,而供应商可以使用它来证明他们的产品符合这些安全要求。”NIST sps - ics项目经理Keith Stouffer说:“我们来自制造和过程控制各个领域的成员的参与,也将帮助供应商为在他们的产品中开发这些安全功能创建一个商业案例。”

ISA和NIST都预期他们的努力将演变成IEC/ISO标准。

ISA报告“制造和控制系统的安全技术”(ISA- tr99.00.01 -2004)和“将电子安全集成到制造和控制系统环境”(ISA- tr99.00.02 -2004)可致电ISA(919) 549-8411或访问www.isa.org。ISA会员每份报告的价格为99美元,非会员为109美元。

NIST SPP-ICS文档可在PCSRF网站上免费获得:(Microsoft Word版本)https://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.doc

(PDF版)https://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.pdf

作者信息
Holly Beum是Interface Technologies的总裁,这是一家专门从事金融和制造业自动化领域高可用性系统安全的咨询公司;

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

面向工程师的新产品
搜索系统集成商,发现您所在行业的新创新
Avanceon

Exton,美国
太平洋蓝色工程公司

美国长滩
ONYX工程有限公司

温莎,
委托解决方案集团(原EN Engineering)

美国总部
Hallam-ICS

曼斯菲尔德美国