标准2025通常,网络安全只能从IT的角度来理解,其重点是在同等程度上保护数据的机密性、完整性和可用性,即所谓的C-I-A三位一体。不幸的是,这种方法对维持现代社会安全和运转的网络实体资产不起作用了。
这些资产,也称为关键基础设施,广泛存在于能源、卫生、制造和运输等部门。
工业物联网加速了网络物理系统的发展,一度分离的IT和运营技术(OT)领域在此交汇。连接到OT的传感器和监视器收集、分析数据并与其他设备和系统进行通信,,以提高质量、效率和安全性。
在IT和运营技术(OT)融合的网络物理系统中,重点必须从保护C-I-A三元组转向优先考虑安全。这是因为工业环境必须应对不同类型的风险,而优先事项是保护人类和环境。
在网络物理世界中,一切都面向设备和过程的物理运动和控制,,以保持系统按预期工作。例如,OT有助于确保发电机在电力需求增加时联机,或确保溢流阀在化学品储罐装满时打开,以避免有害物质溢出。。
在OT环境中,工业自动化和控制系统(IACS)在一个循环中运行,以持续检查一切是否正常运行。这些系统包括监控和数据采集(SCADA)技术以及人机界面(HMI),它们是网络物理系统的核心。
从网络安全的角度来看,面临的挑战是,与业务系统不同,IACS实际上是为了方便从不同网络访问而设计的。此外,对IT和OT系统的网络攻击往往会产生不同的后果。网络攻击对IT的影响几乎完全是经济方面的,而对关键基础设施的网络攻击可能会影响环境,损坏设备,甚至威胁到公共健康和生命。
国际标准和合格评定
国际标准基于全球最佳实践为许多此类挑战提供了解决方案。例如,IEC 62443旨在保持OT系统运行。它可以应用于任何工业环境,包括关键基础设施,如电力设施或核电站,以及卫生和运输部门。
IECEE的工业网络安全计划—电工设备及部件合格评定计划的IEC系统,测试和认证工业自动化领域的网络安全。IECEE合格评定计划包括一个为IEC 62443系列标准提供认证的计划。
在理想情况下,发电站和其他关键基础设施在设计上是安全的。除了关键通信协议的安全标准外,IEC 62351还提供了在构建系统和操作之前设计安全性指南,而不是在系统实施后应用安全措施。他们的想法是,试图在事后修补安全性问题最多只能是一种快速修复,最坏的情况是,为时已晚,无法防止损害的发生。