网络安全标准针对流程工业的关键基础设施

国际仪器用户协会(WIB)发布了全面的网络安全标准,以保护关键工业计算机系统免受网络攻击。

2010年11月16日

国际仪器使用者协会代表工业自动化行业全球制造商的国际组织宣布了供应商过程控制领域安全要求文件的第二版-这是第一个国际标准,概述了一组侧重于工业自动化和控制系统供应商网络安全最佳实践的具体要求。

“我们今天很高兴地宣布我们的网络安全标准的第二版,”DSM过程控制能力经理兼WIB主席Alex van Delft表示。“这是提高我们关键制造和生产系统可靠性的重要一步,并为最终用户提供了沟通他们对过程自动化、控制和安全系统安全性的期望的能力。”

随着工业网络越来越多地连接到充满敌意的IT世界,恶意软件的频率和复杂性呈指数级增长,工业利益相关者现在必须采取行动保护他们的关键系统。无论是像Stuxnet这样的针对性攻击,还是意外中断,单个网络事件都可能造成数百万美元的收入损失,危及员工和公共安全,并可能破坏国家关键基础设施。

壳牌项目与技术公司EMEA控制和自动化系统战略与开发经理Peter Kwaspen表示:“我们日益连接的生产系统每天都面临着越来越大的威胁,我们必须尽一切努力确保安全可靠的运营环境。”“这份文件提供了我们需要的通用语言,以向供应商传达我们对安全的期望,并提供了共同努力的框架,以帮助改善我们关键系统的整体安全状况。”

在壳牌、BP、沙特阿美、陶氏、杜邦、Laborelec、Wintershall等大公司和数十个其他终端用户以及英维思、Sensus等领先供应商和多个政府机构的领导下,该小组花了两年时间制定了要求,并试点了一个认证计划,以确保一个功能强大、可扩展且最终有价值的结果。

GDF Suez集团网络安全顾问Jos ming表示:“文件中概述的安全要求经过了50多个全球利益相关者一年的评论和修订,并在过去八个月里接受了全面的试点认证计划。”“我们现在已经根据最终用户的需求制定了一个真正实用的网络安全标准,现在取决于我们——最终用户——利用这一努力,并坚持要求我们的供应商获得认证。”

WIB工厂安全工作组的成员已经开始在其采购流程中实施这些要求,世界各地的其他成员也在响应这一呼吁。PACO EMEA控制和自动化系统团队负责人Ted Angevaare表示:“从2011年1月1日起,壳牌要求所有在壳牌过程控制环境中部署系统的供应商遵守WIB标准。“这些要求将成为采购语言的标准部分,为我们节省大量的时间和精力。”

工业过程控制和自动化系统的主要供应商也开始将这些需求集成到他们的组织中。“采用WIB的安全要求确保英维思拥有一套可衡量的实践,以实施更安全、更安全的关键基础设施。英维思运营管理公司控制系统网络安全项目经理Ernie Rakaczky表示:“这些要求不仅提供了当前的措施,而且使我们能够继续改进和适应不断变化的安全环境。”“从我们的角度来看,这个项目是一个重大转变,不仅关注战术,而且将应对作战变化的战略要素落实到位。”

工业产品生命周期各个阶段的网络安全

WIB标准旨在满足最终用户(系统所有者/运营商)的需求,并反映了石油和天然气、电力、智能电网、运输、制药和化工等行业的独特要求。目标是解决网络安全最佳实践问题,并在工业系统生命周期的各个阶段分配责任:组织实践、产品开发、测试、调试、维护和支持。

国家网络犯罪基础设施(NICC)项目经理Auke Huistra表示:“安全不是一次性的应用,而是一个过程,每个利益相关者都必须做出贡献,以实现运营可靠性的重大改进。”WIB要求的设计以这一原则为核心,我们鼓励荷兰的关键基础设施利益相关者将这些要求整合到他们的网络安全计划中。”

这些要求还旨在解决与行业利益相关者相关的广泛网络安全主题;从供应商内部安全策略、过程和治理的高级需求,到有关访问、身份验证、数据保护、默认密码保护和补丁管理的特定需求。当供应商的解决方案符合这组需求时,WIB认为该解决方案是过程控制域安全兼容的。

这些要求被进一步分解为3个层次,旨在反映全球供应商的不同起点,并提供一个可扩展的框架来计划随着时间的推移进行改进。在该计划中,有金、银和铜级别,每一个级别都由一组需求组成,这些需求被设计用来验证适用的政策和实践是否到位,是否被供应商启用和实践。

成功的全球合作

从一开始,行业领导者就认识到,鉴于工业网络安全的全球性,任何将网络安全最佳实践标准化的努力都需要来自世界不同行业和不同地区的利益相关者的合作。鉴于其独立性和成员组成,WIB协会是指导标准创建的理想渠道。此外,该倡议还需要反映和纳入国际上正在发生的重要网络安全活动。咨询了许多政府机构、行业工作组和标准团体,以确保和谐。例如,主要的行业标准,如ISA SP99, NIST 800-53, nistr 7628,以及各种国际政府法规,如NERC/CIP,在适当的地方进行了审查和合并或扩展,以确保可测试性。WIB执行委员会已经开始将WIB PCD要求引入CEN/CENELEC和IEC国际标准框架。

下载该标准的副本。

www.wib.nl

www.wib.nl download.html

www.isssource.com/wib

彼得·韦兰德编辑,pwelander@cfemedia.com

参观控制工程工厂安全与保安频道

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

面向工程师的新产品
搜索产品并发现您所在行业的新创新