0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

自动化系统的网络安全

伺服与运动控制 来源:控制工程中文版 2023-02-28 10:10 次阅读

网络安全风险在各个行业都很常见,尤其是在自动化系统中。意识到共同的挑战,并在解决方案上进行合作,是确保当前和未来关键资产安全的有效方式。

近20年来,保护自动化系统(尤其是关键基础设施中的自动化系统)免受网络攻击,一直是当务之急。很多行业协会和组织已经制定了相关标准、实践和指南。一些国家的政府机构和国家实验室,也制定了相关的框架、指南和法规。

传统的自动化公司已经对其产品和服务进行了重组,以更加关注安全性。新的公司则提供技术和服务来满足预期需求。尽管进行了所有这些活动和投资,但很多专家表示,距离确保这些关键系统的安全,我们还有很长的路要走。到底是什么阻碍了我们?

问题的答案,与具体情况一样多。但是,它们仍有一些共同主题。许多资产所有者发现,如果没有具体和紧迫风险的证据,很难定义改变其安全实践的商业案例。可用的指南集,看起来庞大、令人困惑且可能相互矛盾,其他人可能难以从中进行选择。许多中、小型公司根本没有必要的员工或专业知识,来充分满足对网络安全计划的需求。

01

通用标准还是行业特定标准?

其中一个更有趣的讨论主题是:标准和指南应该是广泛而通用的,还是应针对特定行业量身定制。多年来,它一直在工业网络安全界引起激烈的争论。基于行业相似性多于差异性的现状,应制定适用于各个行业的标准和实践,这一主张已经引发了一系列回应,具体取决于个人的观点。这里有一个与 Kübler-Ross 模型的有趣类比,也被称为“悲伤阶段”,它描述了与创伤相关的情绪状态的不同阶段(图 1)。

9677ca22-b119-11ed-bfe3-dac502259ad0.png

▲图 1:对共同标准和实践的回应。

虽然这个模型可能并不完全适合这种情况,但它确实提供了一个背景和步骤,使讨论超越了特定指南的适用性问题,转向降低网络风险需求。目标必须是从可用的指导和实际案例中获取最大价值,而不是仅仅因为这些信息来自不同行业就被忽视。

02

类似的风险和后果

行业之间当然存在差异,但与潜在网络攻击或缺陷相关的风险却相当相似。风险,通常被定义为威胁、脆弱性和后果的函数,还有对可能性的估计。为了全面评估行业和公司之间的相似性,有必要研究每个因素。

对工业系统的威胁有多种形式,从直接攻击到利用这些系统的特性及其通过互联网的可用性或可访问性而进行的非特定攻击。虽然许多资产所有者认为,他们并不是什么知名的公司,没人会攻击他们,但当互联网上出现恶意软件时,他们很容易成为附带受害人。最近勒索软件攻击的案例,就非常清楚地说明了这一点。发布此软件的人可能并没有考虑个人目标,而只是寻找可以利用的漏洞,来加密数据并要求为其付费。

计算风险的另外一个主要因素是脆弱性。正是在这里,我们看到了不同应用之间最大程度的共性。几乎所有基于计算机或自动化系统的行业都使用来自相同主流供应商的产品。近年来,主要供应商的数量有所减少,它们基本上都使用相同的商用现成技术来生产数据库、操作系统和网络设备等组件。这就造成了单一技术,因此自动化解决方案固有的漏洞对所有用户来讲往往都是共同的。

漏洞缓解,要求资产所有者尽快更新或修补其已安装的系统。在修补不可行甚至不可能的情况下,通常需要采用补偿性对策或控制措施来缓解漏洞。案例包括使用各种隔离方法,直至将系统与网络断开连接。工业防火墙和单向网关等产品可实现此功能。

96a22646-b119-11ed-bfe3-dac502259ad0.png

▲图 2:美国国家标准与技术研究院网络安全框架 (NISTCSF)已被广泛接受为表征有效网络安全响应的通用框架。

在威胁计算中,最重要的组成部分也许是系统受损的潜在后果。这些后果可能远远超过自动化系统停机,甚至会导致无法查看或控制受控过程。在某些情况下,如果没有自动化,就很难或不可能安全地操作这些过程,这样就会依赖自动化安全系统,将其移至安全状态或实现安全停机。正如最近的事件所表明的那样,即使是安全系统本身也容易受到网络攻击。

尽管这些后果的细节因行业而异,但它们的性质即使不同,通常也是相似的:从损失产品或服务,到爆炸、释放有毒材料直至设备损坏。也许最常见的基于潜在后果的行业分组,是所谓的关键基础设施组成部门。

基于上述分析,不同行业面临的风险似乎比人们想象的更相似,这反过来又会让人们得出结论:更多的跨行业共享可能是有益的。

03

自动化系统的共同挑战

还有很多因素经常限制为工业系统创建有效的网络安全计划。这在很多行业应用中都很常见。

标准的复杂性:通常行业标准都是使用非常精确的结构和术语来编写的,以允许创建合适的一致性规范。对于那些不是该主题专家的人来说,这种语言晦涩难懂。不幸的是,这意味着对那些试图在实际情况中应用这些文件的人来讲,这些文件令人生畏,甚至难以理解。这反过来会影响接受和采用程度。很明显单凭标准本身,不足以促进采用经过验证的有效做法。

缺乏实际案例:尽管标准通常记录已被接受的工程实践,但它们也是收集案例研究和用例的起点。案例研究描述特定应用的方法和结果;而用例则侧重于主题的特定方面。在这两种情况下,重要的是要识别和描述构成有效响应基础的共同原则和基本概念,而不管所涉及的是哪个行业。

不幸的是在自动化系统中,通常很难找到实用且具有代表性的案例研究。资产所有者可能不愿分享他们认为是专有或其它敏感的信息,或者他们可能只是没有时间和资源来准备和发布此类文件。最常见的情况是供应商发布案例研究,其中大部分识别信息被编辑,但这些可能被视为特定产品和解决方案的隐晦广告。

需要工作流程指导:有一种特定类型的指南,似乎有特别高的需求。资产所有者和其它希望建立有效网络安全计划的人,非常希望了解他们的同行是如何将此类计划整合到正常工作流程中的。有充分的证据和经验表明,使用项目来实现网络安全的方法,长期来看是不可持续的。就像其它安全策略一样,网络安全必须成为正常流程和程序的一个组成部分。

多重能力:还有一个问题是需要哪些技能或能力来充分应对网络安全风险。显而易见的需求包括:管理和保护信息,以及信息所在的系统和网络方面的专业知识。但在处理自动化系统时,这些还不够。还必须彻底了解受控过程以及用于影响控制的策略和逻辑。这种专业知识只能从自动化和类似的工程专业中获得。信息、系统和网络安全与工程专业知识的结合,是全面解决问题所必需的。

到目前为止,风险的威胁和脆弱性对每个企业来说基本相同,虽然详细后果可能有所不同,但对于被认为是关键基础设施一部分的部门,潜在影响非常相似。那些试图有效应对网络风险的人所面临的挑战也大致相同。此外,通过更多地分享实践和经验,也可以更有效地应对绝大部分挑战。

04

应对措施的要素

鉴于行业之间存在如此多的共性,很明显,更多的合作将有助于解决改善操作系统网络安全的需求。这种合作应包括几个基本的要素:

背景信息:首先,必须有共同背景信息,用其来确定响应的组成部分,并建立彼此之间的关系。

概念和术语:必须有一套共同的概念和术语,跨行业和跨专业的有效协作和合作才有可能。尽管对于自动化行业中的功能元素以及网络和安全专业中的系统元素已经存在,但当各专业必须协同工作时,有时会遇到困难。随着他们彼此之间变得更熟悉,这种情况正在改善。

规范性要求:只有对期望的未来状态有清晰明确的描述,才能做出有效的响应。通常,这以一组规范性要求和相关补充指南的形式出现。重要的是,这些要求仅限于定义要做什么,而不对如何实现做出假设或断言。

推荐实践:要求(即使附有支持或解释性的理由)也是是不够的,因为它们经常以允许定义一致性标准的形式使用广义或通用术语。推荐的做法是遵循这些要求,并使用更适合特定环境的术语来重新定义。因此,可能存在基于单一标准的多种实践,每种实践都针对特定场景。

案例研究和用例:对于系统集成商和资产所有者来说,这可能是最有用的资源,因为它们描述了在先前的工况下哪些是有效的,哪些是无效的。

在创建、审查和共享上述资源时,所有相关专业和利益相关者都必须参与其中。供应商必须与系统集成商、资产所有者和服务提供商密切合作,以应对生命周期各个阶段的活动:从规范和开发到实施、运营和支持。利用所有相关和受影响专业的专业知识也很重要。例如,自动化系统的风险评估,必须包括熟悉底层流程和可能后果的工程师和运行人员的输入。

上述大部分内容已经存在,尽管来源不唯一。这可能会导致需求信息的人缺乏意识和理解。需要更多的合作才能将各个部分组合在一起,并提供全方位的必要指导。此外,还需要提高对现成资源的认识和了解。

美国国家标准与技术研究院网络安全框架 (NIST CSF) 已推出数年。尽管它是美国推出的,但它也反映了世界其它地区的贡献,并已被广泛接受为表征有效网络安全响应的一般框架。此外,NIST 还发布了符合制造业目标和行业最佳实践的网络安全框架制造配置文件的实施指南。

一些组织以各种形式处理了工业网络安全概念、模型和术语;然而,ISA 和 IEC 联合开发了可以说是该领域最全面的标准集。ISA/IEC 62443 标准不是针对某个行业,而是基于活动、资产和后果标准的组合来定义其范围(图 3)。

96bea942-b119-11ed-bfe3-dac502259ad0.png

▲ISA/IEC 62443 范围标准。

ISA/IEC 62443标准的优势在于:这些标准不受特定行业或部门的约束或限制。虽然最初是针对过程工业开发的,但它们已成功应用于轨道交通和采矿等行业。开发这些应用最常见的方法,涉及在相关行业背景下解释概念和要求,并将这种解释用作更集中的推荐实践的基础。

网络安全风险在各个行业都很常见,尤其是在自动化系统中。对这种风险的有效应对应当是建立在多学科知识基础上的。意识到挑战,并在解决方案上进行合作,是确保当前和未来关键资产安全的有效方式。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • ISA
    ISA
    +关注

    关注

    0

    文章

    55

    浏览量

    43719
  • 自动化系统
    +关注

    关注

    3

    文章

    254

    浏览量

    29636
  • IEC
    IEC
    +关注

    关注

    2

    文章

    199

    浏览量

    28858

原文标题:自动化系统的网络安全: 通用标准 vs. 特定标准?

文章出处:【微信号:伺服与运动控制,微信公众号:伺服与运动控制】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    隧道安全监测自动化系统解决方案

    一、背景在现代交通网络中,隧道作为连接不同区域的重要通道,其安全性与运营效率直接关系到整个交通系统的稳定与顺畅。随着科技的飞速发展,隧道安全监测自动
    的头像 发表于 09-09 14:46 290次阅读
    隧道<b class='flag-5'>安全</b>监测<b class='flag-5'>自动化</b><b class='flag-5'>系统</b>解决方案

    网络安全技术商CrowdStrike与英伟达合作

    Falcon网络安全平台帮助开发人员安全地利用开源基础模型,加速人工智能的创新。同时双方还将开发针对特定行业的定制网络安全解决方案。 业界认为将NVIDIA加速计算和生成式人工智能
    的头像 发表于 08-28 16:30 1240次阅读

    机械自动化和电气自动化区别是什么

    机械自动化和电气自动化是现代工业生产中两个重要的领域,它们在许多方面有着密切的联系,但也存在一些明显的区别。 一、基本概念 机械自动化 机械自动化是指利用机械设备、传感器、控制
    的头像 发表于 07-01 09:33 3670次阅读

    机械自动化自动化的一种吗

    引言 自动化技术是指利用控制装置对生产过程进行控制,以实现生产过程的自动化。机械自动化自动化技术的一种,它主要涉及到使用机械设备和控制系统
    的头像 发表于 07-01 09:32 1539次阅读

    工业自动化和控制系统网络安全的关系

    一、工业自动化和控制系统概述 1.1 工业自动化的概念 工业自动化是指利用计算机、通信和控制技术,实现工业生产过程中的自动化控制和管理。它主
    的头像 发表于 06-16 14:25 629次阅读

    工业控制系统面临的网络安全威胁有哪些

    ,随着技术的发展,工业控制系统也面临着越来越多的网络安全威胁。本文将详细介绍工业控制系统面临的网络安全威胁,并提出相应的防护措施。 恶意软件攻击 恶意软件攻击是工业控制
    的头像 发表于 06-16 11:43 1356次阅读

    使用具有集成安全功能的网络安全 PLC 实现高速工业自动化

    作者:Jeff Shepard 从汽车生产到食品加工,无论什么样的工厂,都需要既灵活又高速,而且兼具集成式安全和高网络安全水平的机器控制。在这些环境中,网络通信和安全实现必须具有灵活性
    的头像 发表于 05-05 14:43 569次阅读
    使用具有集成<b class='flag-5'>安全</b>功能的<b class='flag-5'>网络安全</b> PLC 实现高速工业<b class='flag-5'>自动化</b>

    水利闸门自动化控制系统简介及构成

    成都国科自动化ZK4000系列闸门自动化控制系统,采用了计算机、光纤网络通讯和现场总线、现地控制单元、传感器、测控软件等多种现代技术,可实
    的头像 发表于 02-27 14:24 1185次阅读
    水利闸门<b class='flag-5'>自动化</b>控制<b class='flag-5'>系统</b>简介及构成

    工业自动化系统设计

    工业自动化系统设计是一项涉及多个领域和技术的综合性任务。它旨在通过自动化设备和系统的集成,提高生产效率、降低能耗、确保产品质量和增强企业竞争力。 一、工业
    的头像 发表于 02-02 17:00 713次阅读
    工业<b class='flag-5'>自动化</b><b class='flag-5'>系统</b>设计

    联网自动驾驶机器人的网络安全

    联网自动驾驶机器人的网络安全
    的头像 发表于 12-26 10:37 355次阅读
    联网<b class='flag-5'>自动</b>驾驶机器人的<b class='flag-5'>网络安全</b>

    网络安全测试工具有哪些类型

    工具可以分为以下几大类型: 漏洞扫描器 漏洞扫描器是一类常见的网络安全测试工具,用于检测系统网络和应用程序中存在的各种漏洞和安全风险。这些工具通过
    的头像 发表于 12-25 15:00 1205次阅读

    电力监控系统网络安全监测装置介绍

    国家电网针对电力监控系统安全、可靠的要求,专门下文要求加快建设电力监控系统网络安全管理平台,及早实现网络空间的实时监控和闭环管理。因此,监测装置是电力调度
    的头像 发表于 12-14 09:49 5520次阅读
    电力监控<b class='flag-5'>系统</b><b class='flag-5'>网络安全</b>监测装置介绍

    电科网安:以新一代网络安全矩阵,护航数智转型发展

    在“树立动态综合防护理念,应对网络安全风险挑战”专题论坛上,电科网安专家在《新一代网络安全矩阵,护航数智转型发展》主题演讲中指出,在数智升级背景下,要通过
    的头像 发表于 12-11 17:00 1259次阅读

    自动化仪表和自动化控制系统的应用

    在企业生产过程中,要想使其达到最佳的生产效率,就需要对自动化仪表和自动化控制技术进行合理的应用。在自动化控制系统的应用中,要对其进行合理的设计和配置,使其能够发挥出最大的作用。首先,要
    的头像 发表于 12-08 10:11 957次阅读

    通过网络化方法提高制造自动化系统的能源效率

    电子发烧友网站提供《通过网络化方法提高制造自动化系统的能源效率.pdf》资料免费下载
    发表于 11-27 11:51 0次下载
    通过<b class='flag-5'>网络化</b>方法提高制造<b class='flag-5'>自动化</b><b class='flag-5'>系统</b>的能源效率