皮尔磁:IEC 62443—工业信息安全标准(上)
- 关键词:皮尔磁,工业信息安全,IEC 62443
- 摘要:IT技术的发展改变着各行各业,自动化也不例外,生产设备的联网程度和使用以太网等标准协议进行数据物理传输的几率大大增加
IT技术的发展改变着各行各业,自动化也不例外,生产设备的联网程度和使用以太网等标准协议进行数据物理传输的几率大大增加,OPC UA 之类的标准化协议允许通过IT系统访问控制器,使得数据通信变得更加开放。
在自动化领域,“安全防护”一词主要指的是保护设备或机器免受外部未经授权的访问,以及保护敏感数据免受内部损坏、丢失和未经授权的访问。它从工厂大门的访问控制开始,一直延伸到针对黑客攻击的防御措施。德国IT安全专家Ralph Langner认为,造成破坏的并不总是“坏人”。许多安全违规发生在无意之中,例如同事和员工操作错误等。
工业信息安全vs IT信息安全
工业信息安全和IT信息安全的目标都是要保护网络的保密性、完整性和可用性。只是各个目标的优先级会有所不同。
IT信息安全实现目标优先级
1.保密性
2.完整性
3.可用性
IT信息安全,为了保护用户信息安全,防止信息盗取事件的发生,故将保密性放在首位,可用性排在最后。
工业信息安全实现目标优先级
1.可用性
2.完整性
3.保密性
工业信息安全实现目标优先级的顺序则正好相反。首要考虑的是所有部件的可用性,完整性排在第二位,保密性通常是最后考虑。
因为工业数据都是原始格式,需要有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产,生产线停机或者误动作都可能导致巨大的经济损失,甚至人员生命危险。即使工业控制系统的保护被突破后,仍必须保证生产过程的安全,尽可能降低对人员、环境和资产的损失。
实时性是工业信息安全和IT信息安全的另一大区别。IT网络系统能够接受任务在1秒或数秒内完成,而工业控制系统的要求响应时间大多在毫秒级别。
此外,工业信息安全还要必须保证持续的可操作性及稳定的系统访问、系统性能。
因此传统的信息安全技术不能简单的应用到工业自动化领域。
IEC 62443——工业信息安全方面的国际标准
IEC62443《工业通信网络-网络和系统安全》作为一个国际标准,全面涵盖了自动化领域的信息安全问题,为工厂运营商和设备制造商有效实施安全防护提供了方向性指导。
IEC62443标准分为四个部分,12个文档:
● 第一部分描述了信息安全的通用方面,如术语、概念、模型、缩略语、符合性度量。
● 第二部分主要针对用户的信息安全程序,主要包括整改信息安全系统的管理、人员和程序设计方面,是用户建立其信息安全程序时需要考虑的。
● 第三部分主要针对系统集成商保护系统所需的技术性信息安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求。
● 第四部分主要针对制造商提供的单个部件的技术性信息安全要求。包括系统的硬件、软件和信息部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。