基于 IEC 62443 工业网络清静建设的两个原则-其他-鸿运国际

基于 IEC 62443 工业网络清静建设的两个原则

有用的网络security治理对任何公司而言都是重中之重。有诸多网络security治理标准和指南可供参考。本文将从一些权威准则和标准出发，先容可以借鉴的详细要领，指导公司为工业控制系统 (ICS) 建设security壁垒。在搭建网络时接纳深度防御步伐，选择值得信托的供应商并应用 “security始于设计” 解决计划，都有助于简化ICS网络security决议历程。
网络security治理系统的要害要素
IEC 62443 标准是一系列完善的工业标准，旨在为ICS系统security提供全方位包管。为相识网络security治理系统 (CSMS) 的要害要素，我们可以深入研究这一标准。不过，虽然该标准为种种现场应用的资产所有者、供应链治理者和产品开发团队提供了大宗信息，想要从中提炼出切实可行的行动计划用于企业 ICS 网络security治理系统建设却并非易事。以下是我们从 IEC 62443 中总结出的 CSMS 安排要点。
鸿运国际·(中国)手机版登录入口

从 IEC 62443 标准中可以看出，资产所有者、系统集成商和产品供应商在网络security治理系统中施展要害作用（见图1）。IEC 62443 标准特殊强调，资产所有者应凭证公司的危害遭受度剖析、构建、监控、提升网络security治理系统抵御危害的能力。别的，IEC 62443 标准建议随产品生命周期一直提升security包管，从而将解决计划提供商和系统集成商提供的产品和系统的security品级维持在公司可接受的规模内。

鸿运国际·(中国)手机版登录入口

凭证上述两条基来源则，建议接纳下列详细行动：
? 搭建网络时接纳深度防御步伐。
? 选择有一连产品security危害治理和维护的“security始于设计” 解决计划供应商，解决计划应包括售后效劳和完善的security响应流程。
遵照这两条原则有助于�；ぷ氨该馐躶ecurity误差的影响，资助您更好地治理security危害。
构建深度防御网络
ICS 常见的security短板之一即是使用扁平网络，纵然没有须要也允许网络上的所有装备相互通讯。扁平网络结构意味着网络上的信息无法受到严酷控制，威胁容易扩散且影响通讯质量。
资产治理者可以借用深度防御这一基来源则来搭建网络。深度防御指的是安排多级或多层防御来阻止入侵者前进。同理，深度防御网络被分成多个区域和线路，再凭证每个区域或线路可能泛起的危害划分security品级。
产security品级
深度防御战略的要点之一是为各网络区域和所涉装备制订提防步伐。IEC 62443 标准先容了可用于区域、线路、信道和装备的security品级。首先应研究特定装备，随后凭证它在系统中的位置判断security品级 (SL)。装备可被划分至四个security品级。IEC 62443 标准还提到了 “security品级0”，但这一品级很少被用于危害评估。
? security品级1 (SL1) - 无意袒露
? security品级2 (SL2) - 借助较少资源发动的有意攻击
? security品级3 (SL3) - 借助中等资源发动的有意攻击
? security品级4 (SL4) - 借助大宗资源发动的有意攻击
平衡危害与本钱
确定了某个区域所需的security品级后，需要剖析该区域内的装备是否知足响应的security级别。如未知足，就有须要接纳对策，资助装备抵达所需的security品级。这些对策可以是如防火墙一样的手艺性计划，也可以是战略和流程等治理层面的计划，或者像给门上锁一样，接纳物理要领。
需要注重的是，并不是每个区域、线路或装备都需要抵达 4 级security。资产所有者或系统集成商需要举行详细危害剖析，确定系统中每个区域和线路的适当危害品级�；痪浠八�，资产所有者和系统集成商需要思量危害和本钱的内在平衡。
选择security加固型组件装备
security品级的看法也适用于构建系统的组件装备上。事实上，IEC 62443-4-2 标准特意为以下四种类型的组件装备明确了security要求：
1.软件应用
2.嵌入式装备
3.主机装备
4.网络装备
关于每一种类型的组件，IEC 62443-4-2 标准还明确了七个基本要求：
1.识别和认证
2.使用控制
3.系统完整性
4.数据保密性
5.数据流限制
6.实时响应突发事务
7.资源可用性
现在，Bureau Veritas 和 ISA Secure 等实验室可以对产品举行认证，确保它们切合 IEC 62443-4-2 的要求。这些实验室可以资助资产所有者简化选择历程。您需要做的就是确定所需的security品级，并选择知足该要求的认证产品。

这种在组件层面的security包管也称为加固，也属于深度防御战略，可为系统再增添一层�；�。

选择有一连产品security危害治理和维护的

“security始于设计” 解决计划供应商

除了选择security加固装备，资产所有者还需要注重供应链的详细治理行动。事实上，售后支持和误差应对与装备的设计和制造同样主要。这是由于构建网络security治理系统的组件通常由差别供应商提供。若是一个供应商的装备保存security隐患，那么您的其他装备甚至整个系统都有可能遭到破损。因此，除了要注重装备层面的security性，您还需要选择可以在整个产品生命周期中包管security性的供应商，确保他们可以提供售后支持、质量控制、性能验证和误差响应等效劳。
换言之，“security始于设计” 理念需要贯串整个产品生命周期。IEC 62443 标准甚至专门体例了一个特定小节——IEC62443-4-1，提出明确要求，确保“security始于设计”理念贯串装备从制造、维护到停用整个生命周期，其中包括提供补丁治理、政策、流程、已知误差security通告等须要支持。与 IEC62443-4-2标准的产品认证类似，也有途径证实解决计划提供商遵照优异的security治理做法，并遵照IEC62443-4-1标准中的详细要求，切实简化了资产所有者的决议历程。
别的，选择值得信托的供应商有助于确保您的供应链在新的威胁和误差泛起时也能获得�；�。由于这些供应商会起劲�；て洳访馐躶ecurity误差影响，并通过专门的响应团队资助客户治理这些危害。Moxa 就建设了网络security响应团队 (CSRT) 来效劳客户。