越來越多的企業(yè)致力于實現(xiàn)IT安全的構(gòu)想。兩大協(xié)會VDMA(德國機械制造協(xié)會)和ZVEI(電子技術(shù)-電子工業(yè)中心協(xié)會)在眾多行業(yè)內(nèi)部進行的調(diào)查顯示,目前執(zhí)行率在中小型制造業(yè)還很低。據(jù)ZVEI/BSI研究表明,被調(diào)查的企業(yè)中僅僅只有15%的企業(yè)對其IT產(chǎn)品進行了風(fēng)險分析。過去雖然報道了一些有名的事故——比如說“Wannacry”攻擊,但是那些被“感知”到的危險情況現(xiàn)如今仍然沒有得到足夠重視。專家們一致認(rèn)為,在工業(yè)4.0環(huán)境下電子化的增長和同期日益專業(yè)的計算機網(wǎng)絡(luò)攻擊加劇了危險系數(shù)。
在關(guān)鍵性的基礎(chǔ)設(shè)施領(lǐng)域,立法者們結(jié)合德國IT安全法和歐盟NIS條例(網(wǎng)絡(luò)和信息安全)制定了最低標(biāo)準(zhǔn),從業(yè)者必須搭建一個由外部審計員確立的安全管理規(guī)則。關(guān)鍵性的基礎(chǔ)設(shè)施領(lǐng)域包括了能源領(lǐng)域、信息技術(shù)和電信技術(shù),健康、水、營養(yǎng)、交通運輸、經(jīng)濟和保險業(yè)、國家管理機構(gòu)以及媒體和文化業(yè)。
![一直以來,去多企業(yè)真實存在的潛在危險都被過低評估了,即使其會帶來巨大的危害。<a title=]()
Phoenix Contact可以利用他們的服務(wù),產(chǎn)品和解決方案提供一個完整的評估" src="https://img.vogel.com.cn/2019/02/14/5c652303f3fcc.jpg"/>
一直以來,去多企業(yè)真實存在的潛在危險都被過低評估了,即使其會帶來巨大的危害。Phoenix Contact可以利用他們的服務(wù),產(chǎn)品和解決方案提供一個完整的評估
企業(yè)重視自身的安全問題
IT安全包括了不經(jīng)意的或偶然的危險層面上的對信任度、數(shù)據(jù)以及系統(tǒng)的融合和可利用性的保護,比如由洪水或火災(zāi)引起的,但是首當(dāng)其沖的還是蓄意破壞。所以采取的應(yīng)對措施也必須考慮到襲擊者的犯罪動機。借由一套完善的評估可以達(dá)到這個目的。
最初的著手點是如何定義危險的企業(yè)數(shù)據(jù)。這不僅關(guān)乎到專業(yè)技術(shù)和程序數(shù)據(jù),也關(guān)乎到特定系統(tǒng)的可利用性。對于那些一旦停擺就會帶來嚴(yán)重后果的重要功能必須進行明確的強調(diào)。該任務(wù)只能由從業(yè)者在—特定情況下的外界支持下逐—完成。
圖1 信息安全管理系統(tǒng)(依照聯(lián)邦統(tǒng)計局關(guān)于信息技術(shù)安全統(tǒng)計)的四個組成要素
相對應(yīng)的技術(shù)和組織方面的保護措施的制定和利用。在信息安全管理系統(tǒng)的基礎(chǔ)上,后續(xù)的發(fā)展和維護是不可或缺的,這樣可以維持或改善現(xiàn)有的保護等級。為了達(dá)到這個目的,所有參與設(shè)定和運行自動化解決方案的相關(guān)機構(gòu)必須協(xié)同共進,這一點在國際標(biāo)準(zhǔn)IEC62443中做了闡明。
零部件生產(chǎn)商必須考慮到產(chǎn)品的安全性,其安全的組合運作必須被設(shè)備制造商所重視。操作者僅僅負(fù)責(zé)安全的操作流程。官方的安全程序與系統(tǒng)的操作相配合要試著關(guān)閉每個入侵關(guān)口。對于入侵者來說,一個薄弱點就足夠了。
圖2 IT安保程序模型
重視功能性要求和程序
具備IT安全性能的產(chǎn)品和解決方案的可利用性是一個安全設(shè)計的基礎(chǔ)。在這方面,功能性和相應(yīng)的程序極為重要:
● 通過性能保護安全
在制定自動化解決方案的時候必須考慮到操作者的安全要求,為此就要進行自動化解決方案的威脅和危險分析。通過分析推導(dǎo)出對系統(tǒng)和投入使用零部件的要求。通過安全級別“SL”來選擇安全性能,包括1級(誤操作保護)到4級(強入侵保護)。國際標(biāo)準(zhǔn)IEC62443的第3-3和4-2部分闡明了各個性能和他們的協(xié)同作用,還包括了問題的辨別、利用控制、系統(tǒng)融合、信任度保護、數(shù)據(jù)流控制、監(jiān)控和能源可利用性。
● 以安全為質(zhì)量
和性能同樣重要的是對入侵者的抵抗力,其體現(xiàn)在運用時盡可能全面地避免薄弱點。這一點體現(xiàn)在IEC62443的第4-1部分結(jié)合對安全的產(chǎn)品使用壽命的要求上,具體來說涉及到針對設(shè)備進行的危險分析、安全實現(xiàn)和有針對性的安全測試。為了達(dá)到安全的產(chǎn)品使用壽命,必須設(shè)定相應(yīng)的程序,人員必須經(jīng)過培訓(xùn)。
IT安全產(chǎn)品開發(fā)者的任務(wù)不止于提供給客戶。因為產(chǎn)品不是100%完美的,產(chǎn)品開發(fā)者必須擁有一支產(chǎn)品安全事件責(zé)任團隊,在發(fā)現(xiàn)薄弱點的時候制定解決方案并把信息傳遞給客戶。關(guān)于系統(tǒng)融合方面在標(biāo)準(zhǔn)的第2-4部分給出了重要的質(zhì)量參數(shù)。必須保證的是,解決方案要盡可能的不出現(xiàn)安全問題。除此之外,方案的提供者必須具備在制圖、運用、文字和維護方面所需的安全知識和安全能力。因為安全措施只有在使用的時候才能體現(xiàn)出優(yōu)點。建立防火墻要比沒有好。總體來說當(dāng)涉及到相應(yīng)的受保護的規(guī)則時,它提供了一個很好的保護。
● 安全使用
最后設(shè)備的操作者必須在操作流程和人員培訓(xùn)方面遵守安全規(guī)范。設(shè)備所能達(dá)到的保護等級不僅取決于設(shè)備本身的技術(shù)性能,也與長期的監(jiān)管和維護有關(guān)。比如熟知設(shè)備的安裝和性能其中包括一份網(wǎng)絡(luò)計劃和一份官方零部件的清單,還有對用戶權(quán)力和登陸數(shù)據(jù)的電子密鑰的監(jiān)管。
一些“典型的”錯誤有不可撤消的額外連接或進入,不能更改的密碼和已注銷用戶的識別碼一直處于激活狀態(tài),每個錯誤都可能成為被侵入的薄弱點,而通過技術(shù)措施可以降低設(shè)備的可銷售保護級別。
建立安全系統(tǒng)
為保障自動化解決方案防止被侵入需要獲知所有參與者的系統(tǒng)操作。對于侵入者來說一個薄弱環(huán)節(jié)就足夠可以引發(fā)巨大的危害。因此安全措施必須全面建立起來。為實現(xiàn)這一點Phoenix Contact的專家們可以提供咨詢和支持。
