皮爾磁:IEC 62443—工業信息安全標準
http://www.sharifulalam.com 2021-11-03 13:47 來源:皮爾磁
IT技術的發展改變著各行各業,自動化也不例外,生產設備的聯網程度和使用以太網等標準協議進行數據物理傳輸的幾率大大增加,OPC UA 之類的標準化協議允許通過IT系統訪問控制器,使得數據通信變得更加開放。
在自動化領域,“安全防護”一詞主要指的是保護設備或機器免受外部未經授權的訪問,以及保護敏感數據免受內部損壞、丟失和未經授權的訪問。它從工廠大門的訪問控制開始,一直延伸到針對黑客攻擊的防御措施。德國IT安全專家Ralph Langner認為,造成破壞的并不總是“壞人”。許多安全違規發生在無意之中,例如同事和員工操作錯誤等。
工業信息安全vs IT信息安全
工業信息安全和IT信息安全的目標都是要保護網絡的保密性、完整性和可用性。只是各個目標的優先級會有所不同。
IT信息安全實現目標優先級
- 保密性
- 完整性
- 可用性
IT信息安全,為了保護用戶信息安全,防止信息盜取事件的發生,故將保密性放在首位,可用性排在最后。
工業信息安全實現目標優先級
- 可用性
- 完整性
- 保密性
工業信息安全實現目標優先級的順序則正好相反。首要考慮的是所有部件的可用性,完整性排在第二位,保密性通常是最后考慮。
因為工業數據都是原始格式,需要有關使用環境進行分析才能獲取其價值。而系統的可用性則直接影響到企業生產,生產線停機或者誤動作都可能導致巨大的經濟損失,甚至人員生命危險。即使工業控制系統的保護被突破后,仍必須保證生產過程的安全,盡可能降低對人員、環境和資產的損失。
實時性是工業信息安全和IT信息安全的另一大區別。IT網絡系統能夠接受任務在1秒或數秒內完成,而工業控制系統的要求響應時間大多在毫秒級別。
此外,工業信息安全還要必須保證持續的可操作性及穩定的系統訪問、系統性能。
因此傳統的信息安全技術不能簡單的應用到工業自動化領域。
IEC 62443——工業信息安全方面的國際標準
IEC62443《工業通信網絡-網絡和系統安全》作為一個國際標準,全面涵蓋了自動化領域的信息安全問題,為工廠運營商和設備制造商有效實施安全防護提供了方向性指導。
IEC62443標準分為四個部分,12個文檔:
- 第一部分描述了信息安全的通用方面,如術語、概念、模型、縮略語、符合性度量。
- 第二部分主要針對用戶的信息安全程序,主要包括整改信息安全系統的管理、人員和程序設計方面,是用戶建立其信息安全程序時需要考慮的。
- 第三部分主要針對系統集成商保護系統所需的技術性信息安全要求。它主要是系統集成商在把系統組裝到一起時需要處理的內容。包括將整體工業自動化控制系統設計分配到各個區域和通道的方法,以及信息安全保障等級的定義和要求。
- 第四部分主要針對制造商提供的單個部件的技術性信息安全要求。包括系統的硬件、軟件和信息部分,以及當開發或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。
在工業自動化領域,“安全”一詞指的是設備的功能安全,意思是保護人員和環境不受來自機器的可預見威脅的傷害,剩余風險或多或少總是存在的,只是剩余風險不能超過可接受的水平。通過使用安全繼電器和安全開關等部件,以確保機器處于安全的狀態,即使出現出問題時,也不會對人、機器和環境造成危害。
工業信息安全的威脅來源
隨著IT技術的融入,設備還面臨著來自網絡世界的威脅,工業信息安全的威脅來源主要來自以下三個方面:
1、外部攻擊
- 惡意網絡攻擊
- 工業間諜活動
- 勒索病毒
2、內部攻擊
- 通過U盤等植入惡意軟件
- 通過騙取員工信任等方式,將其作為自愿的工具
3、無意的違規
- 設備配置錯誤或者操作失誤
安全策略的實施
在安全防護策略方面,硬件相關的主要有如下幾類措施:
1. 防火墻
實施安全策略的一種措施是通過專用設備對網絡進行保護。盡管路由器和交換機可以支持安全機制,但防火墻仍然扮演著重要的角色。這里涉及的是軟件解決方案或設備(硬件和軟件的組合),它們基于單獨定義的規則監視整個數據流量并具有深度包檢查或入侵檢測等功能。防火墻的配置通常比較復雜,需要具備豐富的IT 知識,而這恰恰是生產部門所欠缺的。
2. 區域和通道
按“區域和通道”對網絡進行劃分,比如將管理網絡和生產網絡分開。如果需要,網絡也可以被分段為單個的制造單元,首先將具有相同安全要求的設備劃入同一區域,然后使用防火墻或安全路由器將這些區域相互隔離,這樣就可以確保只有獲得相應授權的設備才能通過區域之間的線路(通道)發送和接收信息。
3. 深度防御
該原則的基礎是總是在入侵者的路徑上設置新的和不同的障礙。網絡的區域和通道相當于城堡的大門,由防火墻和安全路由器等不同安全機制的安全設備作為城墻和其他障礙,組成多層次的深度防御“工事”。
4. 補丁管理
及時更新及打補丁可有效降低系統遭受最新的網絡威脅的風險。此外,不僅要考慮制造商發布的補丁和更新,還要考慮第三方軟件(如Office應用程序、PDF閱讀器)。
Pilz的工業信息安全解決方案
皮爾磁對工業信息安全領域也非常關注,推出了一系列的產品,如操作模式選擇和訪問授權系統PITmode fusion、模塊化安全門系統、PNOZmulti 2小型控制器、防火墻工業安全網橋等,可以根據用戶的實際需求,提供全面的安全解決方案,即包括機械安全需求,又涵蓋信息數據安全需求,同時還可以為員工根據不同的角色定義不一樣的權限。確保員工不會受到機器可能帶來的危險傷害,機器也不會受到操作人員失誤(無心之過)和操縱(有意為之)的影響。
- PITmode fusion可以幫助您保護設備和機器免受未經授權的訪問,并防止因不當使用造成設備損壞。除了使用PITreader控制訪問權限,您還可以使用PITmode fusion選擇功能安全的操作模式。將安全和防護功能統一在單一系統中。
- 如果外部攻擊者能夠侵入您的控制網絡并操縱控制系統,那么即使您的設備和機器采用最安全的訪問控制也將無濟于事。SecurityBridge是Pilz開發的一種行業標準防火墻,即插即用的設計,通過特定于應用的預設置輕松投入使用,保護控制器數據不被篡改。它監控PC機和控制器之間的數據流量,并報告未經授權的控制項目更改。通過這種方式,保護下游控制器免受基于網絡的攻擊和未經授權的訪問。
編輯精選
