您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)企業(yè)如何創(chuàng)建OT網(wǎng)絡(luò)安全計(jì)劃
目前,許多工業(yè)企業(yè)正在計(jì)劃實(shí)施OT(Operation Technology)網(wǎng)絡(luò)安全計(jì)劃來提升其生產(chǎn)安全態(tài)勢(shì),但情況卻不容樂觀,因?yàn)镺T網(wǎng)絡(luò)中包括一系列與物理生產(chǎn)環(huán)境緊密連接的系統(tǒng)和設(shè)備,例如:工業(yè)控制系統(tǒng)、工業(yè)自動(dòng)化系統(tǒng)、運(yùn)輸系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)等,安全人員往往難以找到一套統(tǒng)一的完整計(jì)劃參考標(biāo)準(zhǔn)框架。然而,有一些最佳實(shí)踐經(jīng)驗(yàn)可以作為工業(yè)企業(yè)制定OT網(wǎng)絡(luò)安全計(jì)劃的基礎(chǔ)。
OT網(wǎng)絡(luò)的關(guān)注點(diǎn)
OT環(huán)境帶來了異于IT的關(guān)注。例如,OT的首要問題是確保數(shù)據(jù)的可用性、完整性和保密性。由于OT的重點(diǎn)是控制和監(jiān)測(cè)物理過程和環(huán)境,可用性發(fā)揮著關(guān)鍵作用。OT系統(tǒng)必須持續(xù)可用,并能對(duì)事件和警報(bào)做出實(shí)時(shí)響應(yīng)。此外,任何未經(jīng)授權(quán)的修改(即數(shù)據(jù)完整性的喪失)都會(huì)使控制系統(tǒng)失效,并導(dǎo)致災(zāi)難的發(fā)生。
此外,使用壽命長、淘汰、健康、安全和環(huán)境問題都是推動(dòng)OT決策的因素,而這些因素在IT領(lǐng)域并不總是發(fā)揮重要作用。IT的重點(diǎn)按順序分別是保密性、完整性和可用性。這是因?yàn)镮T強(qiáng)烈強(qiáng)調(diào)用戶隱私,使得保密性特別重要。
構(gòu)建操作技術(shù)網(wǎng)絡(luò)安全計(jì)劃
一個(gè)OT網(wǎng)絡(luò)安全計(jì)劃應(yīng)該解決所有可能的OT問題,這些問題最終會(huì)給企業(yè)帶來風(fēng)險(xiǎn)。如下的安全原則和標(biāo)準(zhǔn)可以作為一個(gè)有效的網(wǎng)絡(luò)安全計(jì)劃的基礎(chǔ):
● 國際電工委員會(huì)(IEC)的IEC 62443系列標(biāo)準(zhǔn),包括專門為確保ICS安全而制定的標(biāo)準(zhǔn);
● NIST的CSF,一個(gè)專門為減輕組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而建立的框架;
● 網(wǎng)絡(luò)安全能力成熟度模型(C2M2),一個(gè)專門用于指導(dǎo)OT相關(guān)網(wǎng)絡(luò)安全能力和活動(dòng)的成熟度模型;
● 普渡企業(yè)參考架構(gòu)(PERA),在OT行業(yè)大量使用的功能架構(gòu);
● NIST特別出版物(SP)800-82,一個(gè)OT最佳實(shí)踐;
● ICS供應(yīng)商,他們經(jīng)常發(fā)布白皮書和其他支持資源,可用于建立網(wǎng)絡(luò)安全計(jì)劃。
在創(chuàng)建和實(shí)施有效的OT網(wǎng)絡(luò)安全計(jì)劃方面,不存在一個(gè)一勞永逸或一刀切的方法。應(yīng)結(jié)合使用所列選項(xiàng)來創(chuàng)建一個(gè)有效的、有目的的OT網(wǎng)絡(luò)安全計(jì)劃。像C2M2這樣的成熟度模型是一個(gè)很好的起點(diǎn)。C2M2是為OT定制的,提供了OT網(wǎng)絡(luò)安全計(jì)劃應(yīng)支持的能力和活動(dòng)。與其他成熟度模型不同,C2M2還提供了一種衡量網(wǎng)絡(luò)安全成熟度能力的方法,從而量化了項(xiàng)目的成熟度。這提供了一個(gè)不斷改進(jìn)的途徑??梢詣?chuàng)建與C2M2網(wǎng)絡(luò)安全領(lǐng)域相一致的治理文件,以確保所有能力和活動(dòng)都得到關(guān)注。
此外,以C2M2為基礎(chǔ)建立的網(wǎng)絡(luò)安全計(jì)劃可以映射到IEC 62443網(wǎng)絡(luò)安全控制,以確保實(shí)施人員、過程和技術(shù)(PPT)控制,進(jìn)一步豐富C2M2中規(guī)定的活動(dòng)。這種雙向的方法解決了高層次的能力和低層次的技術(shù)控制。例如,在C2M2 v2.1中,在第三方風(fēng)險(xiǎn)管理領(lǐng)域的管理第三方風(fēng)險(xiǎn)目標(biāo)中,描述了與識(shí)別和實(shí)施網(wǎng)絡(luò)安全要求有關(guān)的活動(dòng)。IEC 62443-2-4提供了指導(dǎo),在實(shí)施時(shí),可以實(shí)現(xiàn)C2M2的活動(dòng)。
結(jié)論
對(duì)OT基礎(chǔ)設(shè)施的攻擊正在增加,企業(yè)必須開始解決OT網(wǎng)絡(luò)安全的需求,以減輕和對(duì)抗攻擊。應(yīng)采用有組織、一致、可擴(kuò)展和標(biāo)準(zhǔn)驅(qū)動(dòng)的方法來制定OT網(wǎng)絡(luò)安全計(jì)劃。應(yīng)利用特定的OT標(biāo)準(zhǔn)、框架或成熟度模型建立OT網(wǎng)絡(luò)安全計(jì)劃。理想情況下,從業(yè)人員應(yīng)從具有測(cè)量方法的特定OT成熟度模型開始。這將有助于組織確定其當(dāng)前的安全態(tài)勢(shì)并計(jì)劃未來的改進(jìn)。此外,從業(yè)人員應(yīng)采用特定于OT的標(biāo)準(zhǔn)和控制措施,以啟用和實(shí)施成熟度模型中的活動(dòng)。
來源:ISACA