http://m.casecurityhq.com 2021-11-03 13:47 來(lái)源:皮爾磁
IT技術(shù)的發(fā)展改變著各行各業(yè),自動(dòng)化也不例外,生產(chǎn)設(shè)備的聯(lián)網(wǎng)程度和使用以太網(wǎng)等標(biāo)準(zhǔn)協(xié)議進(jìn)行數(shù)據(jù)物理傳輸?shù)膸茁蚀蟠笤黾?,OPC UA 之類(lèi)的標(biāo)準(zhǔn)化協(xié)議允許通過(guò)IT系統(tǒng)訪問(wèn)控制器,使得數(shù)據(jù)通信變得更加開(kāi)放。
在自動(dòng)化領(lǐng)域,“安全防護(hù)”一詞主要指的是保護(hù)設(shè)備或機(jī)器免受外部未經(jīng)授權(quán)的訪問(wèn),以及保護(hù)敏感數(shù)據(jù)免受內(nèi)部損壞、丟失和未經(jīng)授權(quán)的訪問(wèn)。它從工廠大門(mén)的訪問(wèn)控制開(kāi)始,一直延伸到針對(duì)黑客攻擊的防御措施。德國(guó)IT安全專(zhuān)家Ralph Langner認(rèn)為,造成破壞的并不總是“壞人”。許多安全違規(guī)發(fā)生在無(wú)意之中,例如同事和員工操作錯(cuò)誤等。
工業(yè)信息安全vs IT信息安全
工業(yè)信息安全和IT信息安全的目標(biāo)都是要保護(hù)網(wǎng)絡(luò)的保密性、完整性和可用性。只是各個(gè)目標(biāo)的優(yōu)先級(jí)會(huì)有所不同。
IT信息安全實(shí)現(xiàn)目標(biāo)優(yōu)先級(jí)
IT信息安全,為了保護(hù)用戶(hù)信息安全,防止信息盜取事件的發(fā)生,故將保密性放在首位,可用性排在最后。
工業(yè)信息安全實(shí)現(xiàn)目標(biāo)優(yōu)先級(jí)
工業(yè)信息安全實(shí)現(xiàn)目標(biāo)優(yōu)先級(jí)的順序則正好相反。首要考慮的是所有部件的可用性,完整性排在第二位,保密性通常是最后考慮。
因?yàn)楣I(yè)數(shù)據(jù)都是原始格式,需要有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線(xiàn)停機(jī)或者誤動(dòng)作都可能導(dǎo)致巨大的經(jīng)濟(jì)損失,甚至人員生命危險(xiǎn)。即使工業(yè)控制系統(tǒng)的保護(hù)被突破后,仍必須保證生產(chǎn)過(guò)程的安全,盡可能降低對(duì)人員、環(huán)境和資產(chǎn)的損失。
實(shí)時(shí)性是工業(yè)信息安全和IT信息安全的另一大區(qū)別。IT網(wǎng)絡(luò)系統(tǒng)能夠接受任務(wù)在1秒或數(shù)秒內(nèi)完成,而工業(yè)控制系統(tǒng)的要求響應(yīng)時(shí)間大多在毫秒級(jí)別。
此外,工業(yè)信息安全還要必須保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問(wèn)、系統(tǒng)性能。
因此傳統(tǒng)的信息安全技術(shù)不能簡(jiǎn)單的應(yīng)用到工業(yè)自動(dòng)化領(lǐng)域。
IEC 62443——工業(yè)信息安全方面的國(guó)際標(biāo)準(zhǔn)
IEC62443《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全》作為一個(gè)國(guó)際標(biāo)準(zhǔn),全面涵蓋了自動(dòng)化領(lǐng)域的信息安全問(wèn)題,為工廠運(yùn)營(yíng)商和設(shè)備制造商有效實(shí)施安全防護(hù)提供了方向性指導(dǎo)。
IEC62443標(biāo)準(zhǔn)分為四個(gè)部分,12個(gè)文檔:
在工業(yè)自動(dòng)化領(lǐng)域,“安全”一詞指的是設(shè)備的功能安全,意思是保護(hù)人員和環(huán)境不受來(lái)自機(jī)器的可預(yù)見(jiàn)威脅的傷害,剩余風(fēng)險(xiǎn)或多或少總是存在的,只是剩余風(fēng)險(xiǎn)不能超過(guò)可接受的水平。通過(guò)使用安全繼電器和安全開(kāi)關(guān)等部件,以確保機(jī)器處于安全的狀態(tài),即使出現(xiàn)出問(wèn)題時(shí),也不會(huì)對(duì)人、機(jī)器和環(huán)境造成危害。
工業(yè)信息安全的威脅來(lái)源
隨著IT技術(shù)的融入,設(shè)備還面臨著來(lái)自網(wǎng)絡(luò)世界的威脅,工業(yè)信息安全的威脅來(lái)源主要來(lái)自以下三個(gè)方面:
1、外部攻擊
2、內(nèi)部攻擊
3、無(wú)意的違規(guī)
安全策略的實(shí)施
在安全防護(hù)策略方面,硬件相關(guān)的主要有如下幾類(lèi)措施:
1. 防火墻
實(shí)施安全策略的一種措施是通過(guò)專(zhuān)用設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。盡管路由器和交換機(jī)可以支持安全機(jī)制,但防火墻仍然扮演著重要的角色。這里涉及的是軟件解決方案或設(shè)備(硬件和軟件的組合),它們基于單獨(dú)定義的規(guī)則監(jiān)視整個(gè)數(shù)據(jù)流量并具有深度包檢查或入侵檢測(cè)等功能。防火墻的配置通常比較復(fù)雜,需要具備豐富的IT 知識(shí),而這恰恰是生產(chǎn)部門(mén)所欠缺的。
2. 區(qū)域和通道
按“區(qū)域和通道”對(duì)網(wǎng)絡(luò)進(jìn)行劃分,比如將管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)分開(kāi)。如果需要,網(wǎng)絡(luò)也可以被分段為單個(gè)的制造單元,首先將具有相同安全要求的設(shè)備劃入同一區(qū)域,然后使用防火墻或安全路由器將這些區(qū)域相互隔離,這樣就可以確保只有獲得相應(yīng)授權(quán)的設(shè)備才能通過(guò)區(qū)域之間的線(xiàn)路(通道)發(fā)送和接收信息。
3. 深度防御
該原則的基礎(chǔ)是總是在入侵者的路徑上設(shè)置新的和不同的障礙。網(wǎng)絡(luò)的區(qū)域和通道相當(dāng)于城堡的大門(mén),由防火墻和安全路由器等不同安全機(jī)制的安全設(shè)備作為城墻和其他障礙,組成多層次的深度防御“工事”。
4. 補(bǔ)丁管理
及時(shí)更新及打補(bǔ)丁可有效降低系統(tǒng)遭受最新的網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)。此外,不僅要考慮制造商發(fā)布的補(bǔ)丁和更新,還要考慮第三方軟件(如Office應(yīng)用程序、PDF閱讀器)。
Pilz的工業(yè)信息安全解決方案
皮爾磁對(duì)工業(yè)信息安全領(lǐng)域也非常關(guān)注,推出了一系列的產(chǎn)品,如操作模式選擇和訪問(wèn)授權(quán)系統(tǒng)PITmode fusion、模塊化安全門(mén)系統(tǒng)、PNOZmulti 2小型控制器、防火墻工業(yè)安全網(wǎng)橋等,可以根據(jù)用戶(hù)的實(shí)際需求,提供全面的安全解決方案,即包括機(jī)械安全需求,又涵蓋信息數(shù)據(jù)安全需求,同時(shí)還可以為員工根據(jù)不同的角色定義不一樣的權(quán)限。確保員工不會(huì)受到機(jī)器可能帶來(lái)的危險(xiǎn)傷害,機(jī)器也不會(huì)受到操作人員失誤(無(wú)心之過(guò))和操縱(有意為之)的影響。