您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)企業(yè)如何創(chuàng)建OT網(wǎng)絡安全計劃
目前,許多工業(yè)企業(yè)正在計劃實施OT(Operation Technology)網(wǎng)絡安全計劃來提升其生產安全態(tài)勢,但情況卻不容樂觀,因為OT網(wǎng)絡中包括一系列與物理生產環(huán)境緊密連接的系統(tǒng)和設備,例如:工業(yè)控制系統(tǒng)、工業(yè)自動化系統(tǒng)、運輸系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等,安全人員往往難以找到一套統(tǒng)一的完整計劃參考標準框架。然而,有一些最佳實踐經(jīng)驗可以作為工業(yè)企業(yè)制定OT網(wǎng)絡安全計劃的基礎。
OT網(wǎng)絡的關注點
OT環(huán)境帶來了異于IT的關注。例如,OT的首要問題是確保數(shù)據(jù)的可用性、完整性和保密性。由于OT的重點是控制和監(jiān)測物理過程和環(huán)境,可用性發(fā)揮著關鍵作用。OT系統(tǒng)必須持續(xù)可用,并能對事件和警報做出實時響應。此外,任何未經(jīng)授權的修改(即數(shù)據(jù)完整性的喪失)都會使控制系統(tǒng)失效,并導致災難的發(fā)生。
此外,使用壽命長、淘汰、健康、安全和環(huán)境問題都是推動OT決策的因素,而這些因素在IT領域并不總是發(fā)揮重要作用。IT的重點按順序分別是保密性、完整性和可用性。這是因為IT強烈強調用戶隱私,使得保密性特別重要。
構建操作技術網(wǎng)絡安全計劃
一個OT網(wǎng)絡安全計劃應該解決所有可能的OT問題,這些問題最終會給企業(yè)帶來風險。如下的安全原則和標準可以作為一個有效的網(wǎng)絡安全計劃的基礎:
● 國際電工委員會(IEC)的IEC 62443系列標準,包括專門為確保ICS安全而制定的標準;
● NIST的CSF,一個專門為減輕組織的網(wǎng)絡安全風險而建立的框架;
● 網(wǎng)絡安全能力成熟度模型(C2M2),一個專門用于指導OT相關網(wǎng)絡安全能力和活動的成熟度模型;
● 普渡企業(yè)參考架構(PERA),在OT行業(yè)大量使用的功能架構;
● NIST特別出版物(SP)800-82,一個OT最佳實踐;
● ICS供應商,他們經(jīng)常發(fā)布白皮書和其他支持資源,可用于建立網(wǎng)絡安全計劃。
在創(chuàng)建和實施有效的OT網(wǎng)絡安全計劃方面,不存在一個一勞永逸或一刀切的方法。應結合使用所列選項來創(chuàng)建一個有效的、有目的的OT網(wǎng)絡安全計劃。像C2M2這樣的成熟度模型是一個很好的起點。C2M2是為OT定制的,提供了OT網(wǎng)絡安全計劃應支持的能力和活動。與其他成熟度模型不同,C2M2還提供了一種衡量網(wǎng)絡安全成熟度能力的方法,從而量化了項目的成熟度。這提供了一個不斷改進的途徑??梢詣?chuàng)建與C2M2網(wǎng)絡安全領域相一致的治理文件,以確保所有能力和活動都得到關注。
此外,以C2M2為基礎建立的網(wǎng)絡安全計劃可以映射到IEC 62443網(wǎng)絡安全控制,以確保實施人員、過程和技術(PPT)控制,進一步豐富C2M2中規(guī)定的活動。這種雙向的方法解決了高層次的能力和低層次的技術控制。例如,在C2M2 v2.1中,在第三方風險管理領域的管理第三方風險目標中,描述了與識別和實施網(wǎng)絡安全要求有關的活動。IEC 62443-2-4提供了指導,在實施時,可以實現(xiàn)C2M2的活動。
結論
對OT基礎設施的攻擊正在增加,企業(yè)必須開始解決OT網(wǎng)絡安全的需求,以減輕和對抗攻擊。應采用有組織、一致、可擴展和標準驅動的方法來制定OT網(wǎng)絡安全計劃。應利用特定的OT標準、框架或成熟度模型建立OT網(wǎng)絡安全計劃。理想情況下,從業(yè)人員應從具有測量方法的特定OT成熟度模型開始。這將有助于組織確定其當前的安全態(tài)勢并計劃未來的改進。此外,從業(yè)人員應采用特定于OT的標準和控制措施,以啟用和實施成熟度模型中的活動。
來源:ISACA