工业企业如何创建OT网络安全计划

目前,许多工业企业正在计划实施OT(Operation Technology)网络安全计划来提升其生产安全态势,但情况却不容乐观,因为OT网络中包括一系列与物理生产环境紧密连接的系统和设备,例如:工业控制系统、工业自动化系统、运输系统、环境监测系统等,安全人员往往难以找到一套统一的完整计划参考标准框架。然而,有一些最佳实践经验可以作为工业企业制定OT网络安全计划的基础。

OT网络的关注点

OT环境带来了异于IT的关注。例如,OT的首要问题是确保数据的可用性、完整性和保密性。由于OT的重点是控制和监测物理过程和环境,可用性发挥着关键作用。OT系统必须持续可用,并能对事件和警报做出实时响应。此外,任何未经授权的修改(即数据完整性的丧失)都会使控制系统失效,并导致灾难的发生。

此外,使用寿命长、淘汰、健康、安全和环境问题都是推动OT决策的因素,而这些因素在IT领域并不总是发挥重要作用。IT的重点按顺序分别是保密性、完整性和可用性。这是因为IT强烈强调用户隐私,使得保密性特别重要。

构建操作技术网络安全计划

一个OT网络安全计划应该解决所有可能的OT问题,这些问题最终会给企业带来风险。如下的安全原则和标准可以作为一个有效的网络安全计划的基础:

  • 国际电工委员会(IEC)的IEC 62443系列标准,包括专门为确保ICS安全而制定的标准;
  • NIST的CSF,一个专门为减轻组织的网络安全风险而建立的框架;
  • 网络安全能力成熟度模型(C2M2),一个专门用于指导OT相关网络安全能力和活动的成熟度模型;
  • 普渡企业参考架构(PERA),在OT行业大量使用的功能架构;
  • NIST特别出版物(SP)800-82,一个OT最佳实践;
  • ICS供应商,他们经常发布白皮书和其他支持资源,可用于建立网络安全计划。

在创建和实施有效的OT网络安全计划方面,不存在一个一劳永逸或一刀切的方法。应结合使用所列选项来创建一个有效的、有目的的OT网络安全计划。像C2M2这样的成熟度模型是一个很好的起点。C2M2是为OT定制的,提供了OT网络安全计划应支持的能力和活动。与其他成熟度模型不同,C2M2还提供了一种衡量网络安全成熟度能力的方法,从而量化了项目的成熟度。这提供了一个不断改进的途径。可以创建与C2M2网络安全领域相一致的治理文件,以确保所有能力和活动都得到关注。

此外,以C2M2为基础建立的网络安全计划可以映射到IEC 62443网络安全控制,以确保实施人员、过程和技术(PPT)控制,进一步丰富C2M2中规定的活动。这种双向的方法解决了高层次的能力和低层次的技术控制。例如,在C2M2 v2.1中,在第三方风险管理领域的管理第三方风险目标中,描述了与识别和实施网络安全要求有关的活动。IEC 62443-2-4提供了指导,在实施时,可以实现C2M2的活动。

结论

对OT基础设施的攻击正在增加,企业必须开始解决OT网络安全的需求,以减轻和对抗攻击。应采用有组织、一致、可扩展和标准驱动的方法来制定OT网络安全计划。应利用特定的OT标准、框架或成熟度模型建立OT网络安全计划。理想情况下,从业人员应从具有测量方法的特定OT成熟度模型开始。这将有助于组织确定其当前的安全态势并计划未来的改进。此外,从业人员应采用特定于OT的标准和控制措施,以启用和实施成熟度模型中的活动。

上一篇:Shifting into Overdrive!——来自The 4th AutoCS 2023智能汽车信息安全大会的邀请函

下一篇:现代企业应重点跟踪的12个网络安全建设指标