标准2025随着工业系统变得更加互联和数字化,IT和OT(运营技术)之间的界限变得越来越模糊。因此,必须考虑与OT和IT系统相关的网络安全风险,并采取正确的措施来保护它们。
网络攻击对IT的影响通常是经济上的损失。而对OT系统的网络攻击后果可能更加严重,因为它们控制着社会所依赖的关键基础设施。
了解OT
OT是指用于控制和监视制造、能源、运输和公用事业等行业物理过程的硬件和软件系统。OT系统的示例包括:
• 发电厂中用于监督控制电流的监控和数据采集 (SCADA) 系统;
• 用于控制商业建筑中的供暖、通风和空调 (HVAC) 系统的楼宇自动化系统;
• 用于控制工厂制造过程和装配线的工业控制系统 (ICS);
• 交通系统,例如用于管理高速公路和城市街道上车辆流量的交通控制系统。
网络安全
IT 安全同样侧重于保护数据的保密性、完整性和可用性。信息安全管理系统(如ISO/IEC 27001中描述的系统)旨在保护敏感数据,比如个人身份信息 (PII)、知识产权或信用卡号。OT系统由于具有区别于传统 IT 系统的独特特征而有不同的需求。例如,OT系统通常具有较长的生命周期,这意味着它们可能不会像 IT 系统那样频繁地更新或更换。此外,OT系统也有不同的性能要求,通常设计为可用在恶劣的环境中运行。了解这些特征对于为 OT 系统制定有效的网络安全策略至关重要。
IEC 62443 系列标准定义了在OT环境中实施网络安全措施的综合框架,涵盖OT组件的整个生命周期,从设计、开发到安装、操作和维护。这些标准为一系列网络安全问题提供了指导,包括风险评估、安全政策和程序、网络分级、访问控制、事件响应和系统监控。
IEC 62443 采用基于风险的网络安全方法,该方法基于这样一种概念,即试图确定哪些至关重要的系统需要连续性的保障以及漏洞方面的识别,而不是对所有资产进行同等程度上有效而持续的保护。
合格评定
此外,IEC合格评定通过验证标准在实际技术系统中的正确应用提供了额外的保证。为此,《IECEE工业网络安全计划》对 IEC 62443 系列标准进行测试并提供认证。
IEC 62443和IECEE计划都有助于保护关键基础设施。通过这种方式,他们为联合国可持续发展目标16做出了贡献,该目标旨在推动建立一个和平和包容的社会。