設計即安全(SecureBydesign)——工業(yè)網絡安全的最新發(fā)展趨勢
導語:“網絡安全通常是控制系統(tǒng)現(xiàn)代化的催化劑,越來越多的工業(yè)和關鍵基礎設施項目會指定自動化產品和系統(tǒng)在設計上實現(xiàn)網絡安全。”
圖片來源:西門子
作者 | Larry O’Brien
“網絡安全通常是控制系統(tǒng)現(xiàn)代化的催化劑,越來越多的工業(yè)和關鍵基礎設施項目會指定自動化產品和系統(tǒng)在設計上實現(xiàn)網絡安全。”
工業(yè)和關鍵基礎設施的技術人員越來越多地希望尋求本質網絡安全的產品和解決方案。很多情況下,網絡安全是控制系統(tǒng)現(xiàn)代化項目的催化劑。尤其是當用戶發(fā)現(xiàn),在已安裝的基礎設施上,他們已經無法花費更多的時間和資源來確保網絡安全時更是如此。
針對工業(yè)和基礎設施的大多數(shù)網絡安全措施,大都著力于在現(xiàn)有基礎架構之上提供網絡安全層,而不是采購在某種程度上具有固有網絡安全特性的產品和應用。固有的網絡安全通常是通過產品設計特點和安全開發(fā)生命周期過程的某種組合實現(xiàn)的。從供應鏈的角度來看,很多最終用戶還希望采購本質上安全的組件、微處理器和嵌入式系統(tǒng)。
除了在選擇過程中對供應商進行更嚴格的審查之外,內生的、設計即安全(SecureBydesign)的方法還要求在整個系統(tǒng)或產品的整個生命周期中采用安全的安裝和維護措施。這里有兩個獨立但相關的生命周期 :一個用于產品開發(fā),一個用于實施和支持。
尋找符合網絡安全標準的產品也是一個挑戰(zhàn),比如 ISA/IEC 62443 系列工業(yè)控制系統(tǒng)網絡安全標準(以前稱為 ISA-99),因為很多用戶不熟悉各種認證和標準機構。盡管有時產品并沒有獲得已發(fā)布標準的認證,它們也可提供能接受的網絡安全性,但仍需要對供應商產品及其相關的開發(fā)和采購實踐進行更嚴格的審查。使用認證程序來對潛在產品進行預審,可以為最終用戶節(jié)省大量的時間和精力。
通過設計來保證安全性
在工業(yè)領域大多數(shù)運營技術(OT)級別的產品和應用,并不是從一開始就設計成包含網絡安全特性的。直到最近,網絡安全特性、功能和開放網絡連接才受到更多的關注。在 20 世紀 90 年代和 21 世紀初,朝著“開放” 的方向發(fā)展,形成了一種網絡安全思維,其重點是在 OT 級系統(tǒng)中增加網絡安全層,以解決潛在的漏洞。盡管有效的網絡安全仍然需要這種模式,但很多最終用戶發(fā)現(xiàn),在產品開始設計時就考慮安全特性,比在現(xiàn)有產品上增加安全屬性要容易得多,且成本更低。
通過設計來保證安全性,不應僅局限于產品本身以及如何將產品設計與應用的安全開發(fā)生命周期實踐相結合。相同原理也適用于控制系統(tǒng)工程設計、安裝和啟動過程。最終用戶也正在仔細研究供應鏈的安全性,特別是在系統(tǒng)的開發(fā)和制造方式以及系統(tǒng)是否利用安全組件 和嵌入式系統(tǒng)等方面。
對網絡安全的需求增加
從網絡安全的角度來看,面向工業(yè)物聯(lián)網 (IIoT)的新產品層出不窮,例如邊緣計算設備、云計算平臺、智能互連的傳感器,使最終用戶面臨更復雜的局面。
盡管很多“工業(yè)邊緣”產品都具有良好的網絡安全性,例如“零信任”架構,但其它產品則沒有。由于其中很多產品正在從信息技術(IT)領域進入 OT 領域,因此必須對其進行更嚴格的審查,以評估網絡安全風險。
工業(yè)和關鍵基礎設施環(huán)境中的控制系統(tǒng),通常具有非常長的生命周期。很多分布式控制系統(tǒng)(DCS)和可編程邏輯控制器(PLC)已經服役超過 20 年。許多最終用戶發(fā)現(xiàn)老舊設施的安裝基礎過于復雜、成本高昂并且容易產生風險,因此無法從網絡安全的角度繼續(xù)提供支持。這為控制系統(tǒng)的遷移或實施現(xiàn)代化提供了動力。
▎過程自動化系統(tǒng)部件的平均生命周期表明,對自動化的支持不是無限期的, 由于網絡風險的增加,可能需要更換老舊系統(tǒng)。例如,5 年之內就需要考慮更換工作站和控制臺,而 15 年之內就需要考慮更換控制 器。圖片來源 :ARC 咨詢集團
設計即安全和網絡安全標準
ISA/IEC 62443 系列標準是制造和關鍵基礎設施的關鍵網絡安全標準。該系列標準獲得國際認可,是最終用戶和供應商數(shù)十年工作的成果。雖然最初,該標準的重點是描述參考體系結構和諸如深度防御的基本概念,但如今的 IEC 62443 標準涵蓋了工業(yè)網絡安全的各個方 面,從產品和應用開發(fā)直至整個生命周期。
IEC 62443-4-1 標準規(guī)定了安全開發(fā)用于工業(yè)控制系統(tǒng)(ICS)產品的過程要求。它定義了用于開發(fā)和維護安全產品的安全開發(fā)生命周期(SDL)。此生命周期包括以下實踐 :安全管理 ;安全需求規(guī)范 ;設計安全 ;安全實施 ;安全驗證和確認測試;管理與安全相關的問題;安全更新管理 ;以及安全準則。
對于很多 ICS 最終用戶而言,選擇設計安全的產品和應用可能會面臨挑戰(zhàn)。很多人還沒有為系統(tǒng)和應用制定好的選擇標準。工業(yè)和基礎設施應用中的很多系統(tǒng),都還沒明確考慮網絡安全。同時,越來越多的此類產品開始支持物聯(lián)網功能,這進一步增加了風險。
盡管大多數(shù)主要的 DCS 供應商都提供經 ISASecure 認證的控制器和其它系統(tǒng)部件,但是還有很多供應商提供不常見的系統(tǒng),例如終端自動化系統(tǒng)、基于 RTU 的 SCADA 系統(tǒng)、鍋爐控制和壓縮機控制等,這些系統(tǒng)可能并未考慮設計安全原則。
擁有良好的選擇和采購流程,也意味著最終用戶組織內的不同利益相關者也必須參與其中。IEC 62443 標準的要求為此類過程奠定了堅實的基礎。
更高的投資回報率
在設計即安全技術的上投資,讓很多最終用戶獲得了更高的投資回報率和更低的生命周期成本,并減少了投入到網絡安全管理的資源。除了在日常運營中增加成本以預防威脅外,在系統(tǒng)設計和工程實施的網絡安全方面,也需要增加額外的成本和時間來完成項目。通過設計保證安全性,可以降低工程實施成本、總體項 目成本以及運營和維護成本。
很多用于工業(yè)和關鍵基礎設施應用的產品,通過采用設計安全原則可以幫助最終用戶降低生命周期成本并提高網絡安全性。一些產 品在其固有的設計或物理特性中提供設計安全。這包括像數(shù)據(jù)二極管或單向網關之類的組件,它們提供安全的單向或甚至雙向通信。
數(shù)據(jù)二極管可在產品的設計中,或者通過安全軟件和網絡設計的各個層來實現(xiàn)增強的安全性。例如,一些供應商提供了一種數(shù)據(jù)二極管,可利用光纖通信在物理上實現(xiàn)僅發(fā)送和僅接收的電路。另外一些數(shù)據(jù)二極管供應商則使用 COTS 部件來構建其數(shù)據(jù)二極管,但采用了專門的內容檢查引擎和其它基于軟件的方法,來確保安全的單向通信。
很多其它產品也將設計安全原則納入到自動化和控制系統(tǒng)或儀表中。這可能包括獨特的背板設計、端口鎖定功能以及其它功能。例如,一些規(guī)模較小但更具創(chuàng)新精神的自動化供應商,可能會在其多個系統(tǒng)組件(包括背板、電源等)中提供固有的“設計安全”原則。有關產品中是否集成了設計安全功能,請咨詢自動化供應商或工業(yè)網絡安全供應商。
設計安全性的另一維度是系統(tǒng)和網絡實施。一些供應商可以為系統(tǒng)和網絡設計提供經過測試和驗證的參考體系結構,這些體系結構具有最高程度的固有安全性。這通常是專業(yè)網絡供應商和自動化供應商之間合作的 成果。
還有一些自動化供應商在過程安全系統(tǒng)中提供設計功能,以防止未經授權的用戶訪問設備。所有系統(tǒng)供應商都在整合這些或類似功能。新功能不斷推出,這意味著用戶應評估現(xiàn)有和潛在供應商所提供的服務。
網絡安全產品測試和認證
另外一些產品則通過認證或注冊,并根據(jù)網絡安全標準對其進行測試,從而在設計上提供安全性。一個例子是 ISASecure 系列的認證產品,它是根據(jù) ISA/IEC 62443 網絡安全標準測試的。ISASecure 可為控制器、PLC、網關和路由器等物理產品提供認證。同時也適用于系統(tǒng),包括過程自動化系統(tǒng)和過程安全系統(tǒng)。它還為認證供應商開發(fā)的系統(tǒng)和應用提供安全的軟件開發(fā)生命周期認證。
保護層是必要的。但是,將設計安全原則融入產品和應用中,以在一定程度上實現(xiàn)“開箱即用”的安全性或許更為重要。通過設計確保設備的安全是很多網絡安全工作的目標,例如 ANSI/CAN/UL2900 網絡可連接產品軟件網絡安全標準。設計安全原則適用于軟件、設備和網絡。
在系統(tǒng)設計過程中,安全性的其它方面也變得越來越重要。其中包括供應鏈網絡安全、來源(確定芯片組等系統(tǒng)計算組件的來源以及 其固有的安全級別)以及其它事項。
盡管很重要,但“設計即安全”不是萬能的。最終用戶仍然需要遵循良好的網絡安全實踐、項目實施或運營工作流程。遵循設計安全原則,只是成熟的網絡安全組織和策略的一個方面。
文章來源:?Larry O’Brien
