关于工业网络安全有效性的六个答案

虽然网络安全被提及的频率更高，但它并不经常涉及基础设施或工业自动化控制系统的安全。这种趋势正在改变吗?运营技术(OT)应用的网络安全应在何处以及如何解决?

1.工业自动化的网络安全如何?

全球制造企业对工业网络安全或OT网络安全等学科的兴趣正在增长。这里提到的信息技术(IT)网络安全是显而易见的——想想加密货币和谷歌和Facebook等大公司。然而，有趣的是，OT领域的引用越来越多(例如，参见欧洲NIS指令或俄罗斯FSTEC立法)。在IT环境中，问题主要与数据机密性有关。对于自动化来说，缺乏网络安全会严重影响生产工厂的可用性。

2.应该向谁讲话OT网络安全风险与防护?

有很多困惑。每个人都在谈论网络安全，但只有少数解决方案涉及自动化系统。人们常常错误地认为OT问题应该由It部门处理，但实际上，这两种环境在方法上是不同的。考虑一个工厂操作员的例子，他必须激活一个紧急程序，而PC屏幕被锁定，等待多因素身份验证(MFA)代码。在这个简单的例子中，网络安全影响安全。因此，有必要首先询问谁可以进入该区域以及如何处理它。OT网络安全无法绕过自动化所需的深度知识。这就是为什么许多公司都内部化了一个专门的OT安全部门。

3.最有效的OT安全解决方案是什么?

国际参考标准是ISA/IEC 62443，它定义了解决该问题的方法。这个标准是由一个研究小组创建的ISA(国际自动化学会)，后来由IEC(国际电工委员会)监管框架仍在审查中，但IEC 62443系列自动化和控制系统网络安全标准的纵深防御方法是OT领域最知名和全球公认的网络安全标准。因此，从风险评估开始，IEC 62443旨在开发一个网络安全管理系统(CSMS)，这是一个网络安全程序系统，包括与OT安全相关的安全政策和责任，如访问或补丁管理。

4.制造公司如何接管OT网络的问题?

IEC 62443方法是系统的:明确的过程导致具体的结果。在没有上游策略的情况下评估系统是没有意义的。IEC将起点定义为业务原理。使用基本原理作为工具，以确定OT系统中影响公司的潜在关键问题，如停产或产品污染。通过商业原理，人们可以量化网络攻击后果的严重性。

进行高级别风险评估(HLRA)也很有用，这对于分割网络基础设施和估计如果网络攻击成功会发生什么是必要的。与前一阶段定义的严重性参数相关，HLRA通过隔离单个领域并对潜在漏洞执行深入分析来帮助公司节省资源。HLRA之后是低级风险评估(LLRA)，也称为详细分析，其中，在用于检测网络信息(架构、软件、协议和现有漏洞)的软件的帮助下，可以执行网络扫描和漏洞分析。

5.在技术方面，最具体的OT自动化安全最佳实践是什么?

从分段开始，这意味着只有严格必要的流量才必须在第6层和第5层(包含组件和plc的最低层段)流通。如果没有在防火墙或OPC UA的帮助下进行分段(OPC基金会统一架构)协议，网络流量可能到达生产工厂最偏远的角落。因此，网络映射必须始终更新并始终清晰。最后，市场上的许多设备都可以帮助网络安全，包括托管交换机、下一代Wi-Fi接入点、异常检测软件、VPN服务器和云。

6.从网络安全的角度来看，什么时候才可能“安全”?

从来没有。任何安装都无法避免网络安全风险。从这些方面来看，这听起来可能令人震惊，但重点是需要持续执行大量维护活动，以随着时间的推移维护安全的基础设施。只有通过定期审计，通过重复进一步的漏洞分析，并通过不断的人员培训，才有可能确保OT保护将持续一段时间。

诺阿Latini研究和特殊项目总监兼ICS网络安全经理在咨询．由副主编克里斯·瓦夫拉编辑，控制工程， CFE媒体与技术，cvavra@cfemedia.com．

更多的答案

关键词:网络安全、运营技术(OT)

有很多谈论网络安全，但人们不知道该怎么做。

IEC 62443有帮助公司开发网络安全管理系统(CSMS)，这是一个网络安全程序系统。

这是不可能的要做到真正的安全，但持续的维护可以将风险降到最低。

考虑一下这个

你需要什么?怎样做才能确保OT保护在你的工厂持续?

原始内容可以在www.industrialcybersecuritypulse.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。