制定控制系统标准

工业安全领域国际标准的变化正在帮助运营商持续采购和管理控制系统安全专业知识。了解这些变化以及如何将其应用于您的情况，对于发展公司的运营技术(OT)安全态势非常有用。

保护基础设施和服务不受干扰的需求是一个关键的优先事项，特别是考虑到工业环境中普遍存在的连接性。为了建立OT弹性，资产所有者通常会聘请专业顾问。这些OT安全研究人员、测试人员、认证小组和顾问可以一起工作，以实现全面的风险缓解策略。

近一年前，随着IEC 62443的批准，工业运营商和供应商有了更好的方法来更有效地投资于此类安全专业知识。从那时起，该国际工业控制标准的更新被发布，以推动系统集成工作向前发展。

以下是关于IEC 62443-2-4的一些常见问题，以及基于与标准机构和希望提高操作安全性的运营商合作经验的观点:

哪些关键基础设施发生了变化，我将如何从中受益?

现有标准IEC 62443侧重于工业自动化和控制系统安全(IACS)。新章节第2-4部分(IEC 62443-2-4)增加了IACS服务提供商的安全程序要求。通过本标准中确定的规范，操作人员可以更好地阐明他们需要在哪些工作领域进行工业自动化和控制系统安全改进。有了这些标准，组织在寻求关键基础设施安全专业知识时，可以潜在地避免“一次性”成本或投标中的变化。

具体来说，IEC 62443-2-4为集成和维护活动定义了一组标准的安全服务(功能)，从而允许资产所有者选择最适合其站点的安全服务(功能)。因此，他们可以向他们的集成商和维护承包商询问标准需求。供应商可以围绕这些标准活动定制他们的服务，而不是专门为每个客户定制他们的服务。

IEC 62443是网络安全标准吗?

IEC 62443标准是专门针对工业自动化控制系统的，它是OT系统，而不是IT系统。通过强化OT环境，可以最大限度地降低控制系统未经授权访问、操作设备错误命令、设备私有数据读写等风险。

IEC 62443-2-4规定了什么样的系统或设备?

IEC 62443-2-4规定了用于安装(集成)和维护工业控制系统及其组件的过程和活动。这些组件可以包括工作站、控制器和网络设备。

这适用于我的组织吗?这个标准对谁有影响?

任何运行关键服务的人都可能需要加强安全性，以防止攻击、事故和民族国家事件造成的破坏。IEC 62443提供了帮助关键基础设施安全的标准化，IEC 62443-2-4为集成商和维护承包商提供了具体指导。具体来说，IEC 62443-2-4是为执行工业自动化控制系统安全工作的集成商和维护承包商编写的。它也适用于那些选择自己进行集成和维护的资产所有者。

运营商应该如何处理这个标准?

运营商应该首先审查这个标准——要么自己审查，要么最好与知识渊博的人一起审查——并使用它来为自己的关键基础设施安全计划选择需求。随后，他们应该在定义的类别中实施安全加固工作，以执行他们的新政策。

遵循这一标准的下一步是什么?

虽然IEC 62443-2-4通过定义和标准化集成和维护功能，为解决关键基础设施安全问题提供了“什么”，但您的组织仍然需要确定“如何以及为什么”来定义您自己的安全计划。这包括适用于您特定需求的这些功能的子集。

例如，IEC 62443-2-4定义了关键基础设施安全类别，包括体系结构和人员配备，并为每个类别提供了详细的要求，例如网络设备的管理和数据保护。但是，它没有定义如何设置网络设备或允许谁访问。它也没有定义选择用于数据保护的密码的类型和强度。

最初的标准工作可以很快开始。然而，满足客户需求的标准的适当部分的实现跨越了长期的时间范围。专业的专业知识可以为更强大的安全态势带来深入的知识、纪律和最佳实践。IEC 62443-2-4旨在明确集成商和维护领域。

随着运营环境中连接性的普遍增加，保护公司的基础设施和服务不受干扰是一个重要的优先事项。标准可以帮助区分哪些工作类型和专业领域可以从事，以改善公司的运营安全态势。

Nate Kube于2006年创立Wurldtech Security Technologies，担任公司首席技术官，负责战略联盟、技术和思想领导。本内容最初出现在ISSSource．由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

在线额外

-查看下面链接的Kube和ISSSource的其他故事。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。