优先考虑关键网络的电气安全和网络安全

设施经理和控制工程师需要更多地了解信息技术(IT)方面的事情。确保电气的安全性和可靠性至关重要,不应忽视。

通过安东尼Ciccozzi 2022年9月3日
为了解决潜在的漏洞,关键行业需要电力系统工程和网络安全方面的专业知识。礼貌:伊顿

学习目标

  • 信息技术(IT)和操作技术(OT)系统正在融合,这增加了系统的网络安全风险。
  • 电气安全经常被忽视,这对于没有接受过什么该做什么不该做的培训的IT人员来说是危险的。
  • IT和OT人员应精通锁定/标记(LOTO),个人防护装备(PPE)等。

电气安全洞见

  • 信息技术(IT)和操作技术(OT)的融合已经成为一个热门话题,但电气安全和安保并没有得到足够的高层关注。
  • 工程师,无论他们是IT还是OT,都需要跟上国家消防协会(NFPA)的规范和标准,其中包括电气安全。
  • 为了解决潜在的漏洞,关键行业需要电力系统工程方面的专业知识而且网络安全的需求比以往任何时候都大。

网络安全通常与数据和信息技术(IT)人员有关,但随着关键环境中设备连通性和电气化的增加,IT和运营技术(OT)团队的传统职责正在稳步融合。这意味着设施经理和控制工程师需要更多地了解网络和系统管理,而IT团队必须更多地了解所使用的技术类型和正常运行时间要求。

在定义的责任时管理OT网络安全对于组织来说,确保电气安全和可靠性不是一种疏忽是很重要的,并且定义了管理OT网络安全的责任。工程师可以更好地保护自己和他们的设施。

伊顿图1

为了解决潜在的漏洞,关键行业需要电力系统工程和网络安全方面的专业知识。礼貌:伊顿

1.为什么OT网络安全是一个重要的话题?

当应用程序非常关键时,如医院、机场或工业控制系统,支持的电气基础设施自动成为关键任务。这意味着应采取网络安全措施,以防止电力系统中断,从而影响这些关键应用程序的正常运行时间。

这也意味着,除了设施的技术、连接系统、关键流程和网络安全风险外,聘请完全了解电气安全规范和标准的人员或值得信赖的第三方也很重要。

2.确保OT安全有什么电气安全风险?

OT网络监控并确保运行关键流程的建筑和设施基础设施的安全,包括电机控制、配电和保护、火灾探测系统等。当这些系统和组件联网进行监控、数据收集和洞察时,它们可以形成网络犯罪分子可以访问的攻击面。

IT安全专业人员如果没有完成处理电气设备的适当培训或通过设施安全简报,就没有必要的准备工作,无法在保护这些环境时做出明智的决定。

与当今尖端的IT网络不同,OT系统通常包含一个传统和现代设备的混合。在过去,OT设备被切断或“气隙”与所有通信网络,以最大限度地减少脆弱性。如今,运营技术需要连接到更广泛的通信网络,以支持更明智、实时的决策。这意味着网络安全专业人员可能需要打开通电的电气外壳来捕获网络流量或更新固件,这就需要高度重视电气安全规范和标准。

3.哪些守则和标准与电气安全有关?

与任何带电设备交互都是高风险的,需要全面了解美国国家消防协会(NFPA)在以下文件中概述的电气安全规范和标准:

  • NFPA 70:国家电气规范(NEC) -提供安装要求
  • NFPA 70E-2021 -涵盖了工作场所电气安全的主题
  • NFPA 70B -涵盖电气设备维护。

NFPA 70E包括安全工作规范要求,通过减少暴露于主要电气危险(包括电击、触电、电弧闪光和电弧爆炸)来保护人员。这些要求依赖于正确的安装(按照NEC)和维护(按照NFPA 70B执行)。

NFPA 70B还涵盖了安全访问和评估许多常见OT技术的关键要求,如电机控制、自动转换开关等。该准则就以下主题提供了指导:

  • 所需个人防护装备(PPE)
  • 安全/风险评估
  • 安全仪表系统
  • 锁定/标记(LOTO)和安全工作程序
  • 受控设备的常见故障模式。

电气行业的新人必须参加(至少)为期三周的培训计划,并通过伊顿的多次现场演示测试,然后才能在经验丰富的专业人员的监督下使用带电设备。在维护专业人员准备好自己安全地在带电设备上或周围工作之前,通常需要一年以上的现场培训和支持。同样严格的培训流程和电气安全承诺也应适用于负责确保OT网络和系统安全的专业人员。

4.为什么合格的工人如此重要?

传统上,受过培训的网络安全人员精通机密性、完整性和可用性等系统特征,但他们没有接受过电气安全和系统可靠性操作方面的培训。这个挑战是双向的。例如,电气工程师通常没有接受过网络安全方面的培训,而网络安全人员通常没有接受过电气安全方面的培训。

解决OT网络的网络安全问题需要全面的跨职能考虑,通常不是组织内任何单一学科或实体的责任,导致所有权分散或模糊。

具体实时考虑系统的可用性、性能、安全性等需求。通常,考虑到这些网络中组件的嵌入式性质,典型的IT方法、工具和策略要么无效,要么会破坏系统。使用专为这些资产设计的工具扫描笔记本电脑和工作站系统与扫描控制器和其他嵌入式设备网络是不同的。与这些系统不当交互的影响可能包括设备故障或进程中断,以及转储到网络上的随机数据。

5.确保OT系统安全需要哪些技能?

基本的技术诀窍围绕着在设施的整个生命周期中提高安全性、可靠性和网络安全。安全评估、交互和加固关键电力系统中的设备的能力有助于最大限度地降低人员风险,并降低停机的可能性。

例如,用于评估关键电力系统架构的网络安全的物理过程中的故障可能导致关键应用程序的直接故障。在设计、建造和运行阶段都付出了极大的努力,以确保在关键环境下的持续运行和可靠性。电力基础设施是复杂的,需要高素质的人员来保护它。如果一个人不熟悉电气安全的基本原则,就更有可能发生事故,并可能导致人身伤害和停机。

因此,负责任何操作的OT网络安全的人员的行动项目应包括:

  • 盘点所有连接的硬件、软件和数据流
  • 评估设施OT网络和资产,以评估攻击面并发现已知的漏洞和弱点
  • 了解关键流程以及网络安全流程如何对正常运行时间产生负面影响
  • 评估与生命周期网络安全维护相关的电气安全规范和要求,以支持人员安全、正常运行时间和合规性。

总之,这些任务需要全面了解:

  • OT和ICS应用和流程
  • 电气安全规范和标准
  • 电气可靠性和正常运行时间
  • 工业网络防御
  • 网络安全法规和指导
  • 网络安全评估和漏洞检测
  • 防御技术和方法
  • 生命周期网络安全维护。

6.关于电力系统、电气安全和网络安全还有什么值得一提的吗?

联网系统面临的网络安全风险从未如此之大,因为恶意威胁行为者正在寻求利用系统漏洞。为了解决潜在的漏洞,关键行业需要电力系统工程和网络安全方面的专业知识。其目标是在不危及人员安全或关键流程正常运行时间的情况下,安全地评估、交互和保护关键电力系统网络。这很复杂,需要深入的培训和经验。有时,通过与了解独特操作相关风险的有经验的第三方组织合作,弥合这一关键知识鸿沟是最好的。归根结底,最重要的事情是保护重要的东西:人员、数据和关键流程。

安东尼Ciccozzi首席网络安全工程师在哪里伊顿.由网页内容经理克里斯·瓦夫拉编辑,控制工程, CFE媒体与技术,cvavra@cfemedia.com

在线

查看更多网络安全故事//www.globalelove.com/cybersecurity/工业网络安全脉搏:www.industrialcybersecuritypulse.com

考虑一下这个

贵公司正在采取哪些措施来解决你们工厂的网络安全和电气安全问题?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

相关文章
安东尼Ciccozzi
作者简介:Anthony Ciccozzi是伊顿公司首席网络安全工程师
工程师新产品
搜索产品,发现你所在行业的创新