艾默生带领用户全面实现IEC62443标准的工业网络安全体系建设#流程工业新闻#
“数字化智能工厂转型”已经是当今工业自动化行业的热门话题和发展潮流,从传统工厂到数字化工厂的转型升级是顺应时代发展的必然趋势。
在数字化转型的道路上,业内也伴随着“工业物联网、互联网+、IT\OT融合等”出现各种层出不穷的概念与体系。但“数字化转型,网络安全先行”从始至终为各方所共同认可的工厂数字化转型的基石。数字化转型中的工业网络安全如何落地也成为了工业用户关注的焦点。
而针对工业自动化的OT领域,IEC 62443系列标准定义了工业控制系统应如何开发、部署及维护的要求准则,以实现显著增强已安装系统的网络安全。IEC 62443系列目前作为工业自动化网络安全的国际最权威标准,一直为各大工业自动化厂商、工业安全厂商、最终用户所推崇的目标。
IEC62443系统标准为工业自动化领域引入了非常经典的各种核心的安全理念,比如:安全分级体系SL (Security Level) 、安全需求的FR(Foundational requirement)-SR(System requirement)-RE(Requirement enhancement)体系,以及区域(Zone)及管道(Conduit)的核心概念及模型、安全产品开发管理体系SM(Security Management)等等,皆为广大业内人士奉为权威的经典理论。
在实际的工业网络安全项目中,相关的厂商及用户往往也会重点关注上述内容,但最后能成功为用户落地完善的工业网络安全体系的项目少之又少,往往会出现如下的现象:
· 机械化的追求堆叠各类网络安全设备:目前网络安全行业产品种类繁多,功能眼花缭乱,往往会令用户陷入“买设备就可以解决一切”的误区。
· 浮于通过认证和应付审计:各类工业网络安全产品或体系认证往往成为评判用户和厂商的标准之一。但也容易让用户和厂商陷入只为了通过更多认证和审计,而忽视了本质的安全目标。
· 忽视生命周期管理体系的建设:工业自动化系统的生命周期管理是保障数字化工厂的运行的核心,而工业网络安全亦是一个生命周期管理的过程。现场往往存在只为上网络安全项目而忽视了结合工业自动化系统的生命周期管理的整体规划,导致各个项目点无法由点及面的实现价值。
因此在IEC62443的标准体系中,其中一个核心的概念即为网络安全生命周期模型,而这也往往是实际网络安全项目落地所容易缺失的重要部分。
网络安全的生命管理模型分为三个主要的阶段:
§ 风险分析(Assess Phase)
§ 风险解决(Develop and implement phase)
§ 监测维护(Maintain Phase)
在IEC62443的CSMS(Cyber Security Management System)模型中,又对应该三个阶段细化为了19个要素,贯穿了整个工业自动化系统安全管理的生命周期:
因此,作为IEC62443标准订制的参入者之一,艾默生网络安全产品及服务解决方案自初始便属于艾默生生命周期服务体系之中。致力于艾默生分布式控制系统生命周期服务与网络安全服务的结合,服务覆盖了IEC 62443网络安全生命周期模型中各阶段的各个元素,带领用户建立完善的工业自动化网络安全体系,为用户奠定智能工厂数字化转型的基础。
风险分析(Assess Phase):
艾默生工业网络安全生命周期服务建议工业用户开始于对工业自动化系统的网络安全评估及风险分析。
o 专业的服务团队将利用数字化的评估工具Cybersecurity Service APP为用户进行更针对工业自动化系统的网络安全风险评估服务。
o 网络安全服务专家将与用户共同就评估报告进行风险的分析与改进方法的落地
o 风险分析不限于对网络安全控制点的评估,而是结合整体DCS控制系统的全面评估。
o 若在评估中涉及到控制系统本身的维护及操作有可能对网络安全带来隐患或风险。可结合更多艾默生DCS运行现场评估服务(Site Evaluation)\回路诊断服务(Loop Service)\报警管理服务(Alarm Management Service)等综合的为用户进行详细的现场风险评估与规划。
风险解决(Develop and implement phase)
作为全球首家通过IEC 62443 标准体系ISA Secure SSA 认证的厂商,艾默生生命周期服务团队具备强大的网络安全产品及服务解决方案,致力于解决在风险评估阶段发现的风险隐患和问题:
· 艾默生网络安全服务团队提供了包括各类安全产品在工业控制系统上的解决方案应用并为用户提供相关的维护和管理服务。
· 所有网络安全解决方案都与工业控制系统进行深度的兼容性测试,确保不会影响到控制系统本身的运行
· 不同于常规的工业安全厂商,艾默生提供全生命周期的网络安全服务,更致力于从控制系统本身深层次的消除网络安全风险的根源。例如对于老旧的DCS系统,将采取升级的方式更新到最新版本的操作系统和DCS软件以从根本上减少系统中的网络安全漏洞。而对于生产操作中某些人为误操作可能会带来的数据丢失或触发漏洞的风险,除了采用相对应的网络安全解决方案之外,另外也将利用艾默生强大的COP(Control Operator Performance)控制及操作优化解决方案,对生产工艺的操作进行优化,进而提升控制优化效率,减少人为误操作的概率。
监测维护(Maintain Phase)
最终工业网络安全的项目能否成功落地实现价值,关键的因素在于系统的日常运维和管理。艾默生除了可以提供强大的SOC (Security Operations Center)解决方案协助用户打造安全运营中心。更将工业网络安全的预测性监测维护结合进入了DCS的生命周期维护方案-SureService服务包中。艾默生SureService 服务包是一组不同等级的生命周期服务包组合。从基础至高级的不同等级的服务组合为用户提供了选择服务的灵活性,使得用户能够在系统维护、可靠性和性能需求等方面更灵活地选择艾默生本地服务。SureService产品还有助于用户与高级技术专家更深入地沟通交流。艾默生将为用户提供咨询服务,以帮助提高DeltaV系统的可靠性,并更好地管理这些系统的生命周期。
结束语
在工厂数字化转型的趋势下,工业网络安全也已进入了一个新的阶段,传统工厂理念下仅仅依靠部署基础网络安全设施而“一劳永逸”的做法已经不再适合数字化智能工厂的需求。在IT\OT深度融合的趋势下,网络安全威胁比以往更普遍。工厂的管理者时刻要保持警惕,尽快检测并应对可能出现的网络安全威胁。而这意味着您需要拥有合适的工具、人员和程序。艾默生拥有全面的网络安全生命周期解决方案和策略组合,旨在帮助工厂用户评估和降低风险级别,建立完善的工业网络安全体系,为用户的数字化智能工厂转型奠定安全基础,筑牢安全防线,确保更多数字化应用平台安全落地,高效运行!
本文来源于艾默生系统及方案生命周期服务——陈向,本文编辑张圣洁,本期校对许飞
“数字化智能工厂转型”已经是当今工业自动化行业的热门话题和发展潮流,从传统工厂到数字化工厂的转型升级是顺应时代发展的必然趋势。
在数字化转型的道路上,业内也伴随着“工业物联网、互联网+、IT\OT融合等”出现各种层出不穷的概念与体系。但“数字化转型,网络安全先行”从始至终为各方所共同认可的工厂数字化转型的基石。数字化转型中的工业网络安全如何落地也成为了工业用户关注的焦点。
而针对工业自动化的OT领域,IEC 62443系列标准定义了工业控制系统应如何开发、部署及维护的要求准则,以实现显著增强已安装系统的网络安全。IEC 62443系列目前作为工业自动化网络安全的国际最权威标准,一直为各大工业自动化厂商、工业安全厂商、最终用户所推崇的目标。
IEC62443系统标准为工业自动化领域引入了非常经典的各种核心的安全理念,比如:安全分级体系SL (Security Level) 、安全需求的FR(Foundational requirement)-SR(System requirement)-RE(Requirement enhancement)体系,以及区域(Zone)及管道(Conduit)的核心概念及模型、安全产品开发管理体系SM(Security Management)等等,皆为广大业内人士奉为权威的经典理论。
在实际的工业网络安全项目中,相关的厂商及用户往往也会重点关注上述内容,但最后能成功为用户落地完善的工业网络安全体系的项目少之又少,往往会出现如下的现象:
· 机械化的追求堆叠各类网络安全设备:目前网络安全行业产品种类繁多,功能眼花缭乱,往往会令用户陷入“买设备就可以解决一切”的误区。
· 浮于通过认证和应付审计:各类工业网络安全产品或体系认证往往成为评判用户和厂商的标准之一。但也容易让用户和厂商陷入只为了通过更多认证和审计,而忽视了本质的安全目标。
· 忽视生命周期管理体系的建设:工业自动化系统的生命周期管理是保障数字化工厂的运行的核心,而工业网络安全亦是一个生命周期管理的过程。现场往往存在只为上网络安全项目而忽视了结合工业自动化系统的生命周期管理的整体规划,导致各个项目点无法由点及面的实现价值。
因此在IEC62443的标准体系中,其中一个核心的概念即为网络安全生命周期模型,而这也往往是实际网络安全项目落地所容易缺失的重要部分。
网络安全的生命管理模型分为三个主要的阶段:
§ 风险分析(Assess Phase)
§ 风险解决(Develop and implement phase)
§ 监测维护(Maintain Phase)
在IEC62443的CSMS(Cyber Security Management System)模型中,又对应该三个阶段细化为了19个要素,贯穿了整个工业自动化系统安全管理的生命周期:
因此,作为IEC62443标准订制的参入者之一,艾默生网络安全产品及服务解决方案自初始便属于艾默生生命周期服务体系之中。致力于艾默生分布式控制系统生命周期服务与网络安全服务的结合,服务覆盖了IEC 62443网络安全生命周期模型中各阶段的各个元素,带领用户建立完善的工业自动化网络安全体系,为用户奠定智能工厂数字化转型的基础。
风险分析(Assess Phase):
艾默生工业网络安全生命周期服务建议工业用户开始于对工业自动化系统的网络安全评估及风险分析。
o 专业的服务团队将利用数字化的评估工具Cybersecurity Service APP为用户进行更针对工业自动化系统的网络安全风险评估服务。
o 网络安全服务专家将与用户共同就评估报告进行风险的分析与改进方法的落地
o 风险分析不限于对网络安全控制点的评估,而是结合整体DCS控制系统的全面评估。
o 若在评估中涉及到控制系统本身的维护及操作有可能对网络安全带来隐患或风险。可结合更多艾默生DCS运行现场评估服务(Site Evaluation)\回路诊断服务(Loop Service)\报警管理服务(Alarm Management Service)等综合的为用户进行详细的现场风险评估与规划。
风险解决(Develop and implement phase)
作为全球首家通过IEC 62443 标准体系ISA Secure SSA 认证的厂商,艾默生生命周期服务团队具备强大的网络安全产品及服务解决方案,致力于解决在风险评估阶段发现的风险隐患和问题:
· 艾默生网络安全服务团队提供了包括各类安全产品在工业控制系统上的解决方案应用并为用户提供相关的维护和管理服务。
· 所有网络安全解决方案都与工业控制系统进行深度的兼容性测试,确保不会影响到控制系统本身的运行
· 不同于常规的工业安全厂商,艾默生提供全生命周期的网络安全服务,更致力于从控制系统本身深层次的消除网络安全风险的根源。例如对于老旧的DCS系统,将采取升级的方式更新到最新版本的操作系统和DCS软件以从根本上减少系统中的网络安全漏洞。而对于生产操作中某些人为误操作可能会带来的数据丢失或触发漏洞的风险,除了采用相对应的网络安全解决方案之外,另外也将利用艾默生强大的COP(Control Operator Performance)控制及操作优化解决方案,对生产工艺的操作进行优化,进而提升控制优化效率,减少人为误操作的概率。
监测维护(Maintain Phase)
最终工业网络安全的项目能否成功落地实现价值,关键的因素在于系统的日常运维和管理。艾默生除了可以提供强大的SOC (Security Operations Center)解决方案协助用户打造安全运营中心。更将工业网络安全的预测性监测维护结合进入了DCS的生命周期维护方案-SureService服务包中。艾默生SureService 服务包是一组不同等级的生命周期服务包组合。从基础至高级的不同等级的服务组合为用户提供了选择服务的灵活性,使得用户能够在系统维护、可靠性和性能需求等方面更灵活地选择艾默生本地服务。SureService产品还有助于用户与高级技术专家更深入地沟通交流。艾默生将为用户提供咨询服务,以帮助提高DeltaV系统的可靠性,并更好地管理这些系统的生命周期。
结束语
在工厂数字化转型的趋势下,工业网络安全也已进入了一个新的阶段,传统工厂理念下仅仅依靠部署基础网络安全设施而“一劳永逸”的做法已经不再适合数字化智能工厂的需求。在IT\OT深度融合的趋势下,网络安全威胁比以往更普遍。工厂的管理者时刻要保持警惕,尽快检测并应对可能出现的网络安全威胁。而这意味着您需要拥有合适的工具、人员和程序。艾默生拥有全面的网络安全生命周期解决方案和策略组合,旨在帮助工厂用户评估和降低风险级别,建立完善的工业网络安全体系,为用户的数字化智能工厂转型奠定安全基础,筑牢安全防线,确保更多数字化应用平台安全落地,高效运行!
本文来源于艾默生系统及方案生命周期服务——陈向,本文编辑张圣洁,本期校对许飞
2022年4月20日,Rapid7在Baxter Healthcare生产的两个支持TCP/IP的医疗设备中发现了漏洞。
总共四个缺陷影响了公司的SIGMA Spectrum输液泵和SIGMA WiFi电池。
在 Rapid7 首次向 Baxter 报告这些问题近五个月后,两家公司现在透露,他们已经合作讨论了这些漏洞的影响、解决方案和协调响应。
Rapid7 在一份新的披露报告中详细介绍了调查结果,该公司表示,SIGMA 漏洞是由 Rapid7 的首席物联网(物联网)研究员 Deral Heiland 发现的。
举例来说,百特的SIGMA输液泵通常被医院用于将药物和营养直接输送到患者的循环系统中。这些是支持 TCP/IP 的机器,旨在向医疗保健提供者提供数据,以实现更有效的护理。
Rapid7发现的第一个漏洞(跟踪的 CVE-2022-26390)导致当电池单元连接到主输液泵并且输液泵通电时,泵将 WiFi 凭证传输到电池单元。
另一方面,第二个漏洞(跟踪的 CVE-2022-26392)在 Baxter SIGMA WiFi 电池固件版本16上运行telnet会话时发现命令“hostmessage”格式化字符串漏洞。
第三个漏洞(跟踪的 CVE-2022-26393)也是 WiFi 电池软件版本 20 D29 上的格式字符串漏洞,第四个漏洞(跟踪的 CVE-2022-26394)涉及 WiFi 电池单元(版本 16、17 和 20 D29)允许远程未经身份验证更改 SIGMA GW IP 地址(用于配置设备操作的后端通信服务)。#物联网# #漏洞# #网络安全#
总共四个缺陷影响了公司的SIGMA Spectrum输液泵和SIGMA WiFi电池。
在 Rapid7 首次向 Baxter 报告这些问题近五个月后,两家公司现在透露,他们已经合作讨论了这些漏洞的影响、解决方案和协调响应。
Rapid7 在一份新的披露报告中详细介绍了调查结果,该公司表示,SIGMA 漏洞是由 Rapid7 的首席物联网(物联网)研究员 Deral Heiland 发现的。
举例来说,百特的SIGMA输液泵通常被医院用于将药物和营养直接输送到患者的循环系统中。这些是支持 TCP/IP 的机器,旨在向医疗保健提供者提供数据,以实现更有效的护理。
Rapid7发现的第一个漏洞(跟踪的 CVE-2022-26390)导致当电池单元连接到主输液泵并且输液泵通电时,泵将 WiFi 凭证传输到电池单元。
另一方面,第二个漏洞(跟踪的 CVE-2022-26392)在 Baxter SIGMA WiFi 电池固件版本16上运行telnet会话时发现命令“hostmessage”格式化字符串漏洞。
第三个漏洞(跟踪的 CVE-2022-26393)也是 WiFi 电池软件版本 20 D29 上的格式字符串漏洞,第四个漏洞(跟踪的 CVE-2022-26394)涉及 WiFi 电池单元(版本 16、17 和 20 D29)允许远程未经身份验证更改 SIGMA GW IP 地址(用于配置设备操作的后端通信服务)。#物联网# #漏洞# #网络安全#
【卡迪夫大学2022博士论文】《智能家居物联网生态系统中网络攻击的检测和防御》221页
物联网(IoT)设备简化了日常工作并使之自动化,但它们也带来了巨大的安全漏洞。目前的安全措施不足,使物联网成为侵入安全基础设施的最薄弱环节之一,可能会产生严重的后果。因此,本论文的动机是需要开发和进一步加强新的机制,以加强物联网生态系统的整体安全基础设施。
为了估计一个中枢能够在多大程度上改善生态系统的整体安全,本论文提出了一个新型安全物联网中枢的设计和原型实现,包括各种内置的安全机制,满足适用于一系列设备的关键安全属性(如认证、保密性、访问控制)。在一个部署了流行网络攻击的智能家居物联网网络中,对该枢纽的有效性进行了评估。
https://t.cn/A6SOD6ms
物联网(IoT)设备简化了日常工作并使之自动化,但它们也带来了巨大的安全漏洞。目前的安全措施不足,使物联网成为侵入安全基础设施的最薄弱环节之一,可能会产生严重的后果。因此,本论文的动机是需要开发和进一步加强新的机制,以加强物联网生态系统的整体安全基础设施。
为了估计一个中枢能够在多大程度上改善生态系统的整体安全,本论文提出了一个新型安全物联网中枢的设计和原型实现,包括各种内置的安全机制,满足适用于一系列设备的关键安全属性(如认证、保密性、访问控制)。在一个部署了流行网络攻击的智能家居物联网网络中,对该枢纽的有效性进行了评估。
https://t.cn/A6SOD6ms
✋热门推荐