有效的网络security管理对任何公司而言都是重中之重。有诸多网络security管理标准和指南可供参考。本文将从一些权威准则和标准出发,介绍可以借鉴的具体方法,指导公司为工业控制系统 (ICS) 建立security壁垒。在搭建网络时采取深度防御措施,选择值得信任的供应商并应用 “security始于设计” 解决方案,都有助于简化ICS网络security决策过程。
网络security管理系统的关键要素
IEC 62443 标准是一系列完善的工业标准,旨在为ICS系统security提供全方位保障。为了解网络security管理系统 (CSMS) 的关键要素,我们可以深入研究这一标准。不过,虽然该标准为各类现场应用的资产所有者、供应链管理者和产品开发团队提供了大量信息,想要从中提炼出切实可行的行动方案用于企业 ICS 网络security管理系统建设却并非易事。以下是我们从 IEC 62443 中总结出的 CSMS 部署要点。
从 IEC 62443 标准中可以看出,资产所有者、系统集成商和产品供应商在网络security管理系统中发挥关键作用(见图1)。IEC 62443 标准特别强调,资产所有者应根据公司的风险承受度分析、构建、监控、提升网络security管理系统抵御风险的能力。此外,IEC 62443 标准建议随产品生命周期不断提升security保障,从而将解决方案提供商和系统集成商提供的产品和系统的security等级维持在公司可接受的范围内。
根据上述两条基本原则,建议采取下列具体行动:
• 搭建网络时采取深度防御措施。
• 选择有持续产品security风险管理和维护的“security始于设计” 解决方案供应商,解决方案应包括售后服务和完善的security响应流程。
遵循这两条原则有助于保护设备免受security漏洞的影响,帮助您更好地管理security风险。
构建深度防御网络
ICS 常见的security短板之一便是使用扁平网络,即使没有必要也允许网络上的所有设备相互通讯。扁平网络结构意味着网络上的信息无法受到严格控制,威胁容易扩散且影响通讯质量。
资产管理者可以借用深度防御这一基本原则来搭建网络。深度防御指的是部署多级或多层防御来阻止入侵者前进。同理,深度防御网络被分成多个区域和线路,再根据每个区域或线路可能出现的风险划分security等级。
产security等级
深度防御策略的要点之一是为各网络区域和所涉设备制定防范措施。IEC 62443 标准介绍了可用于区域、线路、信道和设备的security等级。首先应研究特定设备,随后根据它在系统中的位置判定security等级 (SL)。设备可被划分至四个security等级。IEC 62443 标准还提到了 “security等级0”,但这一等级很少被用于风险评估。
• security等级1 (SL1) - 偶然暴露
• security等级2 (SL2) - 借助较少资源发动的有意攻击
• security等级3 (SL3) - 借助中等资源发动的有意攻击
• security等级4 (SL4) - 借助大量资源发动的有意攻击
平衡风险与成本
确定了某个区域所需的security等级后,需要分析该区域内的设备是否满足相应的security级别。如未满足,就有必要采取对策,帮助设备达到所需的security等级。这些对策可以是如防火墙一样的技术性方案,也可以是策略和流程等管理层面的方案,或者像给门上锁一样,采取物理方法。
需要注意的是,并不是每个区域、线路或设备都需要达到 4 级security。资产所有者或系统集成商需要进行详细风险分析,确定系统中每个区域和线路的适当风险等级。换句话说,资产所有者和系统集成商需要考虑风险和成本的内在平衡。
选择security加固型组件设备
security等级的概念也适用于构建系统的组件设备上。事实上,IEC 62443-4-2 标准特意为以下四种类型的组件设备明确了security要求:
1.软件应用
2.嵌入式设备
3.主机设备
4.网络设备
对于每一种类型的组件,IEC 62443-4-2 标准还明确了七个基本要求:
1.识别和认证
2.使用控制
3.系统完整性
4.数据保密性
5.数据流限制
6.及时响应突发事件
7.资源可用性
目前,Bureau Veritas 和 ISA Secure 等实验室可以对产品进行认证,确保它们符合 IEC 62443-4-2 的要求。这些实验室可以帮助资产所有者简化选择过程。您需要做的就是确定所需的security等级,并选择满足该要求的认证产品。
这种在组件层面的security保证也称为加固,也属于深度防御策略,可为系统再增添一层保护。
选择有持续产品security风险管理和维护的
“security始于设计” 解决方案供应商
除了选择security加固设备,资产所有者还需要注意供应链的具体管理举措。事实上,售后支持和漏洞应对与设备的设计和制造同样重要。这是因为构建网络security管理系统的组件通常由不同供应商提供。如果一个供应商的设备存在security隐患,那么您的其他设备甚至整个系统都有可能遭到破坏。因此,除了要注意设备层面的security性,您还需要选择可以在整个产品生命周期中保证security性的供应商,确保他们可以提供售后支持、质量控制、性能验证和漏洞响应等服务。
换言之,“security始于设计” 理念需要贯穿整个产品生命周期。IEC 62443 标准甚至专门编制了一个特定小节——IEC62443-4-1,提出明确要求,确保“security始于设计”理念贯穿设备从制造、维护到停用整个生命周期,其中包括提供补丁管理、政策、流程、已知漏洞security通告等必要支持。与 IEC62443-4-2标准的产品认证类似,也有途径证明解决方案提供商遵循良好的security管理做法,并遵循IEC62443-4-1标准中的具体要求,切实简化了资产所有者的决策过程。
此外,选择值得信赖的供应商有助于确保您的供应链在新的威胁和漏洞出现时也能得到保护。因为这些供应商会积极保护其产品免受security漏洞影响,并通过专门的响应团队帮助客户管理这些风险。Moxa 就建立了网络security响应团队 (CSRT) 来服务客户。