本文是探讨工业环境中保护远程访问复杂性的系列文章中的第一篇。它侧重于 NIS2 指令设定的关键要求,并提供了可操作的步骤来帮助组织实现与远程访问相关的合规性。
在第 2 部分中,我们将讨论 IEC 62443 (2) 系列如何支持 NIS2 合规性,尤其是在远程访问的情况下。
最后,我们将按照IEC 62443中概述的建议,提供有关配置Ewon远程访问服务 (3) 以满足NIS2合规性的详细指南。
保护工业远程访问的重要性日益增加
在现代运营中,对工业系统的远程访问是必不可少的。从启用实时监控到远程解决系统异常,高效的远程访问可提高生产力并减少停机时间。但是,它也使系统面临传统 IT 环境不会面临的独特漏洞。
保护工业远程访问的挑战
• 网络威胁
工业设施是网络攻击的高价值目标,包括勒索软件、未经授权的入侵和数据泄露。这些攻击的复杂性越来越高,因此必须采取强大的防御措施。
• 传统设备
许多工业系统在设计时考虑了可用性和可靠性,而不是网络安全。旧系统中较弱的身份验证框架和过时的协议加剧了挑战。
• 合规性和法规
ISA/IEC 62443、NIST 800-82 和 ISO 27001 等安全标准规定了严格的工业网络安全协议。满足这些合规性要求既关键又复杂。
• 可靠性和性能
工业流程需要一致且不间断的运营。远程访问解决方案不仅必须安全,而且还要避免增加延迟或中断。
什么是 NIS2 指令,它对工业网络安全有什么影响?
NIS2 指令是对其前身 NIS 的全面更新,旨在加强整个欧盟的网络安全。NIS2 将其范围扩展到更多部门,并要求重要实体采取积极措施来保护其网络和信息系统。
根据 NIS2 指令第21条第4款,组织必须采用基于风险的网络安全方法,降低供应链风险,实施强大的防御措施,并确保事件报告机制到位。对于工业部门,这也考虑了如何保护对运营技术 (OT) 的远程访问。
NIS2 对工业网络安全的主要影响包括:
• 供应链安全问责制
组织必须确保外部服务提供商遵守其定义的安全要求
• 安全设计实践
解决方案必须通过嵌入式安全控制来构思和实施
• 事件报告义务
任何影响工业资产的网络安全事件都必须及时报告给相关当局
NIS2 中远程访问工业资产的关键安全要求
NIS2 指令规定了对工业系统的远程访问的一系列特定安全控制措施。实施这些措施可以提高安全性、确保合规性并增强对网络攻击的抵御能力。以下是保护远程访问的 17 项关键要求:
| 类别 | 衡量 | NIS2 第 21 条要求中的位置 | |
|---|---|---|---|
| 访问控制 | 确保身份验证的强度合适 | (g) 基本的网络卫生实践和网络安全培训; | 使用强大的最新身份验证方法来保护远程访问 |
| 访问控制 | 使用多重身份验证 | 使用 MFA 保护远程访问连接,以增加额外的保护层 | |
| 访问控制 | 最初更改身份验证凭据 | (g) 基本的网络卫生实践和网络安全培训; | 设置后应立即更改默认密码或凭据以降低风险 |
| 访问控制 | 基于最小权限原则实施身份验证过程 | (i) 人力资源安全、访问控制政策和资产管理; | 将用户访问权限限制为仅对其角色所需的系统和资源 |
| 访问控制 | 要求重置身份验证凭证,并在预定义的登录尝试失败次数后阻止用户 | (g) 基本的网络卫生实践和网络安全培训; | 定义失败登录尝试的阈值,并强制执行自动阻止以防止暴力攻击。 |
| 事故处理 | 使用工具监控和记录活动 | (b) 事故处理; | 使用工具监控和记录所有远程访问活动,以实现问责制和威胁检测 |
| 访问控制 | 确保在使用每个远程访问连接之前获得资产所有者的批准 | (g) 基本网络卫生措施 | 仅允许第三方服务提供商在提交并获得授权请求的批准后进行连接 |
| 网络安全 | 网络分段 | (e) 网络和信息系统采购的安全性 | 实施分段和控制,严格防止不必要或未经授权的访问 |
| 网络安全 | 安全补丁管理 | 安全补丁管理 | 定期使用最新补丁更新所有软件和固件以解决漏洞 |
| 网络安全 | 停用不需要的连接和服务 | (g) 基本网络卫生措施 | 通过停用未使用的服务来降低安全风险 |
| 网络安全 | 防止未经授权的软件 | (e) 网络和信息系统采购的安全性 | 实施策略以防止在设备上安装或执行未经授权的软件 |
| 网络安全 | 仅允许授权设备访问网络 | (e) 网络和信息系统采购的安全性 | 实施控制措施以阻止未注册或未验证的设备 |
| 政策和程序 | 建立、实施和应用与密码学相关的政策和程序 | (h) 有关使用密码学和加密(如适用)的政策和程序; | 使用经过验证的加密方法进行远程访问 |
| 政策和程序 | 自动化解决方案中使用的应用程序被安全和工业自动化社区普遍接受 | (g) 基本网络卫生措施 | 验证自动化解决方案中的所有应用程序是否都得到工业自动化和安全社区的认可和接受 |
| 政策和程序 | 提供有关远程访问的安装、配置、作和终止的详细说明 | (g) 基本网络卫生措施 | 定义并实施与 IACS 环境连接的严格措施 |
| 政策和程序 | 定期检查身份,如果不再需要,请停用 | (g) 基本网络卫生措施 | 定期审核数字身份并撤销不再需要它的用户的访问权限。 |
| 政策和程序 | 维护特权帐户和系统管理帐户的管理策略 | (i) 人力资源安全、访问控制政策和资产管理; | 执行严格的策略来管理高访问权限帐户,以防止滥用或利用 |
采用基于风险、安全设计的方法
遵守NIS2不仅仅是勾选方框;这是关于从根本上加强工业系统的安全态势。以下是工业组织可以采取的一些实际步骤,以采用安全的设计框架:
• 采用行业标准
与 ISA/IEC 62443 等标准保持一致,这些标准提供有关网络安全策略和技术控制的可行指导。
• 进行风险评估
定期评估潜在的安全漏洞并实施基于风险的缓解策略。
• 培训人员
对员工和工程师进行网络安全最佳实践的培训,以确保正确处理远程访问技术。
• 与供应商密切合作
确保您的机器制造商和服务提供商在其解决方案中集成兼容 NIS2 的安全措施。
保护工业网络安全的未来
远程访问是现代工业运营的支柱,但其日益增长的相关性也增加了其潜在风险。通过采用 NIS2 的安全措施并利用 ISA/IEC 62443 等已建立的框架,工业组织可以保护其资产、保持合规性并与利益相关者建立信任。
_________________________________
[1] https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng (英语)
[2] https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
[3] https://www.hms-networks.com/ewon (英语)
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402690