在全球供應鏈持續中斷的背景下,工業企業正在尋求穩定營運的方法,以保持競爭優勢。實現工業彈性運作最有效的方法之一是擁抱新技術。為了捕獲、傳輸數據並最終將其轉化為有意義的洞察,企業正在實施創新的網路技術,以加快數位化進程。然而,互聯設備也為企業主帶來了新的網路安全風險,因此需要在元件層級部署安全功能來降低這些風險。根據IDC的《2022年全球IT/OT融合預測*》,到2025年,30%的G2000製造商將在其產品中嵌入互聯技術,以提高可靠性。透過這種方式獲得的營運洞察將延長正常運作時間,並支援優化的維護供應鏈。
隨著新技術頻繁嵌入產品,越來越多的資產實現互聯,網路組件正發揮日益重要的作用。因此,必須開發能夠滿足這些新需求的元件。因此,離散製造業肩負起確保連接可靠性和安全性的責任。想要利用連接更多設備所能提供的服務量的工業組織必須確保他們安全地連接設備並符合法規和標準,以確保資料的可存取性、完整性和安全性。
IEC 62443 標準概覽
T許多標準概述了工業控制系統的安全框架。 IEC 62443 標準是工業組織最常被使用且最常採用的標準之一。 IEC 62443 包含一些指南,這些指南定義了在網路不同部分實施電子安全工業自動化和控制系統 (IACS) 的程序。此外,該標準還為執行自動化控制和承擔不同網路職責的人員提供了指南。如今,系統整合商 (SI) 通常要求組件供應商遵守 IEC 62443 標準中與其設備相關的部分。下圖概述了範圍以及在各個階段必須確保網路安全運行的人員的角色和職責。
採用標準增強網路安全
明確的策略與安全管理
工業企業應根據風險評估來制定其安全配置和安全管理系統。 Felipe Sabino Costa 在其白皮書《採用 IEC 62443 標準的實用方法》中指出:「評估應該能夠識別依賴關係,確定這些流程的運作/安全面臨的關鍵風險,以及應對這些風險的措施。」 在確認策略和安全管理系統後,部署視覺化軟體至關重要,以幫助資產所有者獲取有關其安全態勢的最新資訊。
工業自動化與控制系統(IACS)的縱深防禦資安策略
縱深防禦框架建議將系統劃分為區域和管道,這有助於將風險降低到公司可接受的水平。每個區域和管道將根據其重要性分配一個安全級別,網路營運商必須確保遵守該級別。縱深防禦方法可以透過實體或邏輯隔離來實現,例如使用工業安全路由器、VPN 以及專為工業自動化量身定制的遠端存取解決方案。此外,某些網路功能(例如 ACL(存取控制清單))也有助於對網路進行分段,以達到特定的安全等級。如果資產所有者或系統整合商希望降低風險,工業入侵偵測/防禦系統 (IDS/IPS) 也是可行的,尤其是在保護關鍵基礎設施免受惡意攻擊方面。
內建安全功能的強化設備
網路設備的內建安全功能與縱深防禦框架和安全管理系統相呼應。內建安全功能的建置模組對於資產所有者和系統整合商 (SI) 確保其係統達到所需的安全等級非常有幫助。本文稍後將總結 IEC 62443-4-2 標準的相關要求。
IEC 62443-4-2 自動化產業要求
IEC 62443 標準包含多個子章節,涉及不同職責的人員。隨著系統整合商 (SI) 越來越要求遵守 IEC 62443-4-2 子章節(該章節為組件供應商提供了指南),該子章節變得越來越重要。元件要求源自基礎要求,包括帳戶、識別碼和驗證器管理、基於密碼的身份驗證、公鑰身份驗證、使用控制、資料完整性和機密性,以及資源可用性備份。
如果組件供應商遵循 IEC 62443-4-2 子章節中定義的一系列指南,他們將為網路營運商提供最佳機會,保護其網路免受網路攻擊。雖然組件供應商必須為其設備添加某些特性和功能,以使設備適合部署在工業物聯網網路上,但網路營運商有責任在其網路中充分利用這些特性。此外,他們必須確保所有獲得網路存取權限的人員都熟悉 IEC 62443-4-2 小節中概述的最佳程序和指南。
遵守 IEC 62443-4-2 小節中規定的每一項指南通常會帶來許多正面成果,從而大大增強網路安全。然而,不遵循這些指南可能會帶來負面影響,降低網路的安全性,使其容易受到惡意攻擊。
Moxa 解決方案
為了增強元件等級安全性,Moxa 推出了全球首批獲得 IEC 62443-4-2 認證的乙太網路交換器之一——EDS-4000/G4000 系列,該系列交換器遵循 IEC 62443-4-1 軟體開發生命週期指南開發。 Moxa 擁有豐富的工業網路設備產品組合,可協助客戶部署合適的設備,從而增強網路安全。請造訪我們的網站以了解更多資訊。
* IDC FutureScape: Worldwide IT/OT Convergence 2022 Predictions, Doc #US47131521, October 2021.