安全仪表系统的可持续网络安全架构

当一个组织开始一个安全仪表系统(SIS)项目时，涉众必须做出的第一个决策之一是架构的选择。

在国际网络安全标准(如国际电化学委员会(IEC) 62443 (ANSI/ISA 62443系列标准)和/或当地建议)的约束下，使用接口或集成SIS体系结构可以交付成功的加固系统。例如流程工业自动化技术用户协会(NAMUR)指南。了解每个体系结构背后的独特好处和考虑因素，对于做出最佳服务于组织需求的明智决策至关重要。

理解标准

网络安全标准为分离安全关键组件和非安全关键组件提供了指导方针。根据ISA准则，安全关键资产必须在逻辑上或物理上与非安全关键资产分离的区域。

NAMUR在工作表NA 163“SIS的安全风险评估”中提供了一套类似的指南。该指南定义了三个逻辑区域——核心SIS、扩展SIS和控制系统体系结构(NAMUR称为“外围设备”)——它们必须在物理上或逻辑上分离(图1)。

元件、传感器及最终元件)。扩展的SIS包含不需要执行安全功能的安全系统组件(如工程工作站)。外围设备是组件和系统，如基本过程控制系统(BPCS)，它们不是直接或间接地分配给SIS，但它们可以在安全功能的上下文中使用。安全功能可能包括来自BPCS的重新请求或人机界面中安全功能的可视化。

两种标准都没有定义所需的体系结构。用户必须决定如何最好地构建SIS网络，并确保最终设计在BPCS和SIS之间提供充分的逻辑和物理分离。这通常给组织留下三种构建SIS网络的选择:

• 一个完全独立于BPCS的独立SIS
• 通过工业协议(通常是Modbus)连接到BPCS的接口SIS
• 集成SIS与BPCS互连，但充分隔离以满足网络安全标准。

有些人可能会声称单独的SIS比任何其他SIS部署类型都更安全。但是，只要预先定义并在安全系统设计、实现和维护期间实施，列出的所有体系结构都可以提供加固的安全态势。虽然很重要，但SIS体系结构只是为安全系统定义安全性的一个方面。

最大化深度防护

保护SIS需要一种深入防御的方法。随着网络攻击每年都在增加，对关键安全资产只提供一层保护是不够的。网络管理员正在使用多层安全——反病毒、用户管理、多因素认证、入侵检测/预防、白名单、防火墙等等——以确保未经授权的用户面临一个不可逾越的进入障碍。纵深防御策略的目标是增加访问控制保护机制。这是通过增加相互补充的保护层来实现的。

纵深防御-分离系统

保护SIS最常见的方法之一是将系统完全分离，在核心SIS功能和BPCS之间创建一个“气隙”(图2)。这种方法的好处似乎是显而易见的。如果SIS与其他系统隔离，则默认对其进行了入侵加固。

然而，即使是独立的系统也不能免受网络攻击。用户最终将需要外部访问系统的任务，如提取事件记录以进行事件分析、绕过、覆盖、验证测试记录或执行配置更改和应用安全更新。通常用于实现这些更新的USB驱动器不容易保护。

外部媒体依赖是为什么分离的SIS仍然需要额外的保护层(如用于保护BPCS的保护层)的主要原因之一。适当的系统加固让用户管理两组独立的深度防御体系结构。这就有可能增加工作时间，延长停机时间，并增加防护层出现漏洞的区域。

深度防御-接口系统

接口系统的功能类似于分离系统，因为与安全相关的功能在物理上与非安全相关的功能是分离的(图3)。BPCS元素和核心SIS功能使用工业开放协议的工程链接进行连接。通常，防火墙或其他安全硬件和软件会限制BPCS和SIS之间的流量。

由于核心SIS和扩展SIS在物理上与外围设备分离，接口系统提供充分的保护，以满足ISA和NAMUR标准。然而，就像在独立的系统中一样，SIS的硬件和软件需要得到保护。用户必须确保核心SIS不会因与扩展SIS的连接而受损。

为了实现这种保护，接口系统需要在多个系统上复制深度防御的安全层。在某些情况下，必须监视的多个网络安全实例可能会增加维持足够安全性所需的工作负载。最终用户还要确保配置了BPCS和SIS之间的链接，这样系统就不会暴露在风险中。

深度防护——综合系统

工程分离系统的另一个选择是集成SIS(图4)。在这种方法中，SIS集成到BPCS，但是在核心SIS和扩展SIS之间存在逻辑和物理分离。通常，这种分离伴随着使用嵌入式网络安全的开箱即用的专有协议。这消除了许多来自SIS和BPCS之间手工工程连接的安全风险。

集成SIS需要与分离系统相同级别的深度防御保护，但由于一些安全层同时保护BPCS和SIS，集成SIS可以减少用于监视、更新和维护安全层的时间和精力。这种方法提供了超越普通安全层的保护。集成SIS还具有额外的和特定的安全层，旨在保护核心SIS。

通过集成环境消除核心SIS和扩展SIS之间复杂的工程接口可以导致更简单和更快的工厂验收测试(FAT)，帮助项目更快上线并减少返工。

管理入口点

仔细考虑深入防御层对于交付一个网络安全SIS至关重要，但这还不够。为了确保SIS网络的足够安全性，组织还必须限制进入安全关键功能的入口点，并为影响该入口点的任何风险提供缓解措施。

进入SIS的安全关键功能的入口点越多，网络攻击利用安全层中可能存在的漏洞的机会就越多。虽然可以充分防御5个入口点的入侵，但只防御一个入口点要容易得多，资源消耗也少得多。

入口点-接口系统

NAMUR以界面格式为分区SIS体系结构提供了清晰的指导(图1)。在图中，核心SIS、扩展SIS和控制系统体系结构被恰当地隔离在各自的区域中。在三个区域(工程站、BPCS、工厂信息管理系统、资产管理系统等)的架构元素之间的工程连接可以创建到核心SIS的多个潜在连接点。

这些连接点本身并不存在安全风险;假设他们将有足够的深度防御。每扇门都需要加固，这可能会导致需要管理五套或更多的安全硬件和软件。

入口点-集成系统

集成SIS体系结构可以提供限制入口点的设计。最好的集成安全仪表系统的特点是，一个组件充当所有进出安全关键功能的流量的看门人/代理。结果是一个需要防御的入口点，很可能使用保护BPCS的相同的防御深度层和一些更特定于核心SIS的额外保护层。这样的设计可以减少维护和监视，同时提供与其他体系结构相同甚至更高级别的标准SIS分离。

通常有这样一种假设:SIS和BPCS之间的物理分离越多，就意味着内在的安全性越高。然而，在气隙系统的情况下，更多的物理分离可能导致增加维护和监控开销，以确保足够的深度防御。额外的开销限制了气隙对于那些寻求优化性能和生产，同时试图实现网络安全标准的组织的价值。

集成和接口系统可以实现高水平的连接，同时为国防深度网络安全结构的实施提供灵活性。由于这两种体系结构都提供了最高级别的安全性，因此寻求在系统生命周期中维护可防御SIS的实现团队经常发现，对于符合独特组织目标的BPCS和SIS，他们有更多的选择。

塞尔吉奥·迪亚兹和亚历山大Peixoto是DeltaV的产品经理爱默生．由制作编辑克里斯·瓦夫拉编辑，控制工程,《媒体,cvavra@cfemedia.com．

更多的答案

关键词:安全仪表系统，SIS，基本过程控制系统

选择体系结构是安全仪表化系统(SIS)的首要任务。

一个姐姐可以是分离的、接口的或集成的。

一个安全的姐姐使用深度防御来更好地保护系统免受内部和外部威胁。

考虑一下这个

什么类型您使用SIS系统的优点和挑战是什么?