IEC 62443 给你滴水不漏的网络防御力
2010年10月,震网(Stuxnet)蠕虫病毒席卷全球工业界,在短时间内威胁到了众多企业的正常运行。全球超过45000个网络被感染,伊朗、印尼、美国等多地均不能幸免。其中,以伊朗遭到的攻击最为严重,该病毒已经造成伊朗核电站推迟发电。
网络病毒的威力已不可同日而语,以前只要重装计算机、损失一些来不及备份的档案就可以解决,现在失去的不只是金钱,小至硬设备受损,大至在国际市场上的企业形象的重创,甚至是大量人员伤亡。许多企业的网络安全系统不堪一击,但是决策者犹不自知,因此让工厂成为黑客眼中待宰的肥羊。近期研究证实,35% 的工业网络故障事件由网络攻击引发,这对工业构成巨大威胁。企业必须妥善保管自己至关重要且极其敏感的业务数据,还要确保其工业控制系统免受干扰,让生产过程能够不因为被中断并连续性和安全性。
为什么制造业也要考虑信息安全?
德国莱茵TÜV大中华区工业服务部总经理赵斌表示,与传统意义上的安全威胁不同,工业物联网带来的安全威胁除了有持续演变发展的特性,它的来源相当多元,如:软件缺陷等技术方面的危险、犯罪集团、黑客等人为因素的危险。这些威胁都会危害系统的机密性、完整性及功能的有效性。为了防范于未然,企业应对网络威胁进行分析:
第一, 要识别该企业面临哪些威胁
第二, 分析这些威胁对业务构成哪些风险
第三, 研发如何预防和解决这些风险的措施
哪些设备系统需要考虑信息安全?
现代的制造业是由先进的技术、硬件、软件交融而成的生命体,牵一发而动全身,用传统的方法,只防护设备本身(例:底层硬件组件、操作系统或应用程序),是无法保护系统的机密性、完整性及功能有效性的。除了基本的物理隔离和保护设施,网络信息安全产品和系统方案也是制造业亟需重视的地方。从产品开发起(零件、产品和系统开发期),小至需求规格、设计、研发,大至系统实施、运营和维护阶段,都需要请教第三方认证机构,善用他们在测试与认证这方面广泛的资源与深厚的经验,有效保护智慧工厂,并让它在功能安全和信息安全方面更加完善。
哪些信息安全标准可以帮助工厂更安全?
若想充分保护采用物联网技术的智慧工厂,必须在符合工业网络信息安全的相关标准和产品功能安全的前提之下,确保产品性能的可靠性,能达到如此标准的企业才能够既保护自己的信息系统,又能充分利用物联网的优势。
信息安全相关的自动化解决方案必须在功能上是安全的(即功能安全)。在工业功能安全这方面,则要确保产品要够可靠和安全,才能合乎相关标准(如IEC 61508、 IEC 61511、 ISO 13489-1) 所规定的安全等级要求,如安全完整性等级(SIL)、性能等级(PL)等等,而且产品必须适用于安全相关的应用程序,才能充分保护人类和环境。
在工业信息安全领域,最主要确保的是,根据安全生命周期以及功能要求考虑国际通用标准IEC 62443和ISASecureTM系列标准的要求,企业能够按照安全等级要求(安全等级SL1-SL4)有效保护未经许可的操纵和干扰。主要相关信息安全标准有 IEC 62443-3-3(系统的安全要求和级别)、IEC 62443-4-1(产品开发标准)、IEC 62443-4-2(工业控制系统组件的技术安全要求)及ISASecure EDSA系列标准。
如何设计符合信息安全的产品,并完成评估?
工业传感器、工业通讯网络、控制单元的处理器等等工业用控制系统和设备都面临着严苛的挑战,其设计人员既要用最小的空间来部署这些系统和硬件,还要让系统功耗降到最低,同时在安全标准上也要严谨遵守国际安全标准,这样才能长期保证工业企业的产品和系统的可靠性。赵斌表示,无论对功能安全还是信息安全,测试与认证机构都必须严格按照国际安全标准进行测试和认证,例如:开发产品和系统的时候必须防范网络威胁,这套技术必须符合国际安全标准的具体要求,并且通过智能与自动化的工具去测试。
除了技术上部署的挑战,赵斌强调,如何改变决策者的认知和观念也是一大挑战。把国际领先的工业安全标准引入中国市场时,由于国内大部分工业企业对工业信息安全框架及标准认知仍不够完整,认知上的不足很有可能会造成企业不了解工业安全产品和系统对自身的重要性和紧迫性,在安全措施的布署上速度会是一个格外令人担忧的环节,毕竟网络攻击是24小时不停歇,若想有效防卫自己的企业,速度会是最关键的一环之一。因此作为第三方测试及认证机构,除了在技术上要协助企业和工厂测试技术设计、产品开发及系统安全的功能以外,还需要对企业的管理和操作人员进行心理建设和信息安全观念的培训,提升他们对工业安全的认知。
德国莱茵TÜV已将测试认证服务范围拓展至工业自动化与控制网络安全标准IEC 62443的领域,是ISASecure EDSA认证机构认可的EDSA CRT 实验室,通过德国莱茵TÜV 测试,一次可以同时获得欧洲和北美的信息安全认证。服务范围包括人员资格的培训、资格鉴定、产品的功能和信息安全认证,也包括全生命周期的功能安全和信息安全的管理系统评估。
新闻中工控网络安全事件层出不穷,无论是病毒的种类或是攻击手法都日趋成熟且复杂,对工业企业所造成的损失也像滚雪球一样,规模一次比一次大,这绝对是我们绝对要正视的问题,第三方认证机构必须时刻关注工业相关的信息安全和功能安全标准,才能抵御持续变化升级的网络攻击。
相关文章:
质者:
赵斌
德国莱茵TÜV大中华区工业服务总经理 | 是德国以外全球第一个取得功能安全技术审核员资格的专家,也是IT 产品、音视频产品、实验室设备、控制产品的技术审核员及签证官。同时也是中国功能安全标准委员会的成员。
关注我们
4008831300 / 8009993668
888@tuv.com
莱茵技术监护(深圳)有限公司厦门分公司,莱茵TÜV是一家国际领先的技术服务供应商。自1872年成立以来,我们一直为解决人类、环境和科技互动过程中出现的挑战,提供安全的、可持续的解决方案。作为一个独立、公正和专业的机构,我们长期致力于营造一个同时符合人类和环境需要的美好未来。
热门分享