区域和通道:工业网络安全的基本构建块

03 10月 2024
Anybus
在我们不断探索网络安全的过程中,HMS Networks 网络安全业务发展经理 Thomas Vasen 强调了采用 ISA/IEC 62443-3-3 标准以及实施区域和通道如何加强关键工业运营以应对不断变化的网络威胁。


对强大网络安全的需求不断增长

工业部门,包括从制造工厂到能源网的方方面面,由于其运营的关键性质,越来越容易受到网络攻击。随着网络威胁的不断发展,保护工业控制系统 (ICS) 和运营技术 (OT) 环境变得势在必行。实施严格的网络安全标准(如 ISA/IEC 62443-3-3)和部署工业防火墙是降低这些风险的关键步骤。


了解 ISA/IEC 62443-3-3

ISA/IEC 62443-3-3 是 ISA/IEC 62443 系列的一部分,该系列是一个旨在保护工业自动化和控制系统 (IACS) 的综合框架。该特定标准侧重于系统安全要求和级别,详细说明了工业系统抵御各种网络威胁所必须具备的安全功能。

 


 

ISA/IEC 62443-3-3 的关键方面包括:

  • 访问控制: 将关键组件的访问限制为仅授权人员和系统。

  • 使用控制: 调节控制系统的使用以防止未经授权的操作。

  • 系统完整性: 确保数据和系统的可靠性。

  • 数据机密性: 保护敏感信息免受未经授权的访问。

  • 受限数据流: 控制通信路径以防止未经授权的数据交换。

 

该标准不仅越来越多地受到监管机构的强制要求,而且也被资产所有者、监管机构和保险公司推荐作为设计和运营安全工业系统的框架。

 

采用 ISA/IEC 62443-3-3 的重要性

采用 ISA/IEC 62443-3-3 至关重要,原因如下:

  1. 增强的安全态势: 遵循全球公认的标准可以加强安全框架,使网络攻击者更难突破。

  2. 法规遵从性: 采用此标准可确保遵守不断发展的网络安全法规。

  3. 运营连续性: 保护系统免受网络威胁有助于避免停机和运营中断,而这些后果可能会付出高昂的代价。

  4. 声誉管理: 强大的网络安全态势可以防止违规行为并维护组织的公共形象。

 

鼓励资产所有者使用基于风险的方法来评估网络安全需求,了解各种场景如何影响运营和业务。鼓励资产所有者使用基于风险的方法来评估网络安全需求,了解各种场景如何影响运营和业务。为此,资产所有者可以使用 ISA/IEC 62443 框架中的准则,该框架提供了以下四个安全级别:


同一操作环境中的不同系统可能需要不同级别的安全性,具体取决于它们受到威胁时的潜在影响。


ISA/IEC 62443-3-3 中的网络分段

网络分段是网络安全的一个关键方面,ISA/IEC 62443-3-3 标准中的基本要求 FR5“限制数据流”强调了这一点。适当的分段可以隔离和保护不同的网络区域,从而减轻安全漏洞的潜在影响。

一种常见的分段方法是通过虚拟局域网 (VLAN)。VLAN 在单个物理网络中创建虚拟边界,通过分离流量来增强安全性。虽然 VLAN 适合达到系统安全级别 (SSL) 1,但建议进行物理网络分段以满足更严格的安全需求,与系统安全级别 (SSL) 2 保持一致。

例如,安全仪表系统 (SIS) 和分布式控制系统 (DCS) 之间的分段可以通过第 3 层交换机和用于 SSL 1 的 VLAN 来实现。 但是,为了满足 SSL 2 标准,必须进行物理分段,这与 SR 5.1 — 网络分段:物理分段一致。

更高的安全级别伴随着成本的增加,因此彻底的风险评估对于根据系统的特定风险状况确定最具成本效益的安全措施至关重要。



工业防火墙的作用

工业防火墙在实施 ISA/IEC 62443-3-3 中概述的安全措施方面发挥着至关重要的作用。ISA/IEC 62443-3-3 框架不是仅仅依赖分层防御方法(这通常会导致架构易受攻击),而是主张将系统隔离在区域内并严格控制区域间通信。

工业防火墙作为管道,通过以下方式为安全做出重大贡献:

  1. 分段和隔离: 防火墙将网络划分为可管理的区域,防止威胁传播并保持整体系统完整性。

  2. 存取控制: 它们实施访问控制策略,确保只有授权实体才能与关键资产交互。

  3. 流量监控和过滤: 持续监控和过滤网络流量有助于实时检测和阻止恶意活动。

  4. 事件检测和响应: 高级威胁检测功能允许对潜在威胁做出快速响应。

  5. 保护远程访问: 防火墙支持安全的远程访问,平衡运营效率和安全最佳实践。

根据 ISA/IEC 62443-3-3 实施工业防火墙包括进行定期风险评估、定义和执行安全策略、更新和修补安全设备以及持续监控和改进。 南北流量由防火墙控制,而东西流量由耦合网关管理,耦合网关仅允许工业协议内容并阻止区域之间未经授权的 IP 通信。



结论

采用 ISA/IEC 62443-3-3 和实施工业防火墙不仅是最佳实践,而且是当今网络威胁形势下的基本措施。通过这些措施加强工业系统的安全性,组织可以保护其运营、确保合规性并维护其声誉。采用这些策略有助于创造一个有弹性的工业环境,能够最大限度地减少影响并抵御复杂的网络威胁。 

关于作者 

Thomas Vasen 是 HMS Networks 旗下 Anybus 的网络安全业务开发经理。Thomas 在电信、军事和关键基础设施的运营和安全方面拥有超过 25 年的经验,现在专注于帮助公司管理风险并确保其运营技术 (OT) 环境的正常运行时间。  

 

用于工业网络安全 的产品

网络安全产品 - 了解将提升网络保护的各种工业网络安全设备。 

查看产品