到 2025 年,30% 的 G2000 制造商将在其产品中融入互联技术以提高可靠性。通过互联技术获取的各类业务信息有助于延长运行时间,并能使供应链更为稳定。
—— 《2022 年世界 IT/OT 融合预测报告》,IDC
面对全球供应链持续受挫的困境,工业企业极力寻求稳定业务之法,力求保持竞争优势。而要实现工业弹性运营,接受新技术是最高效的方法之一。为了收集、传输数据并最终将数据转化为有意义的信息,企业正努力部署创新网络技术,加快数字化进程。然而,互联设备也给企业主带来了新的网络安全风险,需要依托组件级安全功能来降低这些风险。
随着产品频繁应用新技术,更多资产连入网络,联网组件发挥着越来越重要的作用。因此,必须开发满足这些新需求的组件。于是制造公司纷纷承担起生产这类组件的责任,为可靠安全的互联世界贡献各自的力量。工业企业要想连接更多设备、提高服务量,必须确保安全连接设备,遵循各项法规标准,从而保证数据的可访问性、完整性和安全性。
IEC 62443 标准速览
目前有多项针对工业控制系统安全框架的标准。其中最广为人知、在工业企业中普及度最高的是 IEC 62443 标准。
IEC 62443 标准从网络不同组成部分出发,按照安全实施工业自动化和控制系统 (IACS) 的流程提供指导。此外,该标准还为自动控制工程师、履行不同职责的网络运维人员提供操作指南。
如今,系统集成商 (SI) 通常要求组件供应商提供的设备需符合 IEC 62443 的子标准。
采用 IEC 62443 标准
加强网络安全
明确策略和安全管理体系
工业企业应在风险评估的基础上建立安全配置策略和安全管理体系。Felipe Sabino Costa 在其撰写的白皮书《采用 IEC 62443 标准的实用方法》中提到:“评估应摸清资产与运营的相关性,确定各项流程中存在哪些主要的运营或安全风险,以及应该采取哪些风险缓释措施。”在确定了策略和安全管理体系后,应部署可视化软件,帮助资产所有者获取安全态势的最新信息。
IACS 网络深度防御网络安全方案
深度防御框架建议将网络系统划分为多个区域和线路,从而将风险降到企业可以接受的水平。每个区域和线路将根据重要性分配安全等级,网络运维人员必须确保遵守每一等级的要求。通过为工业自动化量身定制的工业安全路由器、VPN 和远程访问解决方案形成物理或逻辑隔离,便能实现深度防御。此外,访问控制列表 (ACL) 等功能也可以将网络分区,达到一定的安全水平。如果资产所有者或系统集成商希望降低风险,特别是保护关键基础设施免受恶意攻击,工业入侵检测/防御系统 (IDS/IPS) 也是可行方案。
内置安全功能加固设备
网络设备的内置安全功能与深度防御框架和安全管理体系相辅相成。内置安全功能的模块对资产所有者和系统集成商大有裨益,是使他们的系统达到预期安全水平的有力保障。下面我们将总结与 IEC 62443-4-2 标准有关的要求。
IEC 62443-4-2 标准
对自动化行业的要求
IEC 62443 标准包含若干子标准,涉及到承担不同职责的人员。由于系统集成商越来越多地要求组件供应商遵守 IEC 62443-4-2 子标准的要求,因此该子标准的重要性日益提升。组件要求源于该标准的基础要求,包括账号、验证和授权管理、密码验证、公钥认证、登录验证、数据完整性和保密性,以及确保资源可用性的备份功能。
如果组件供应商遵循 IEC 62443-4-2 子标准的各项准则,将能极大帮助网络运维人员提高网络防护等级,免受网络攻击。尽管组件供应商必须为其设备添加某些功能,以便适应工业互联网的部署需求,但妥善利用这些功能是网络运维人员的责任。此外,网络运维人员必须确保获得网络访问权限的每个人都熟悉 IEC 62443-4-2 子标准规定的最佳流程和相关准则。
遵守 IEC 62443-4-2 子标准的每条准则将产生诸多积极影响,对增强网络安全性大为有益。相反,如不遵循这些准则,可能会导致网络安全性降低,极易遭受恶意攻击。
Moxa 解决方案
为了加强组件级安全防护,Moxa 推出了全球首批通过 IEC 62443-4-2 认证的以太网交换机之一的 EDS-4000/G4000 系列。该系列按照 IEC 62443-4-1 软件开发生命周期准则开发。Moxa 工业联网设备产品组合丰富,助力每一个客户以最合适的设备增强网络安全。欢迎点击了解详细解决方案。
