發布日期:2022-04-26 點擊率:64
越來越多的企業致力于實現IT安全的構想。兩大協會VDMA(德國機械制造協會)和ZVEI(電子技術-電子工業中心協會)在眾多行業內部進行的調查顯示,目前執行率在中小型制造業還很低。據ZVEI/BSI研究表明,被調查的企業中僅僅只有15%的企業對其IT產品進行了風險分析。過去雖然報道了一些有名的事故——比如說“Wannacry”攻擊,但是那些被“感知”到的危險情況現如今仍然沒有得到足夠重視。專家們一致認為,在工業4.0環境下電子化的增長和同期日益專業的計算機網絡攻擊加劇了危險系數。
在關鍵性的基礎設施領域,立法者們結合德國IT安全法和歐盟NIS條例(網絡和信息安全)制定了最低標準,從業者必須搭建一個由外部審計員確立的安全管理規則。關鍵性的基礎設施領域包括了能源領域、信息技術和電信技術,健康、水、營養、交通運輸、經濟和保險業、國家管理機構以及媒體和文化業。
Phoenix Contact可以利用他們的服務,產品和解決方案提供一個完整的評估" src="https://img.vogel.com.cn/2019/02/14/5c652303f3fcc.jpg"/>
一直以來,去多企業真實存在的潛在危險都被過低評估了,即使其會帶來巨大的危害。Phoenix Contact可以利用他們的服務,產品和解決方案提供一個完整的評估
企業重視自身的安全問題
IT安全包括了不經意的或偶然的危險層面上的對信任度、數據以及系統的融合和可利用性的保護,比如由洪水或火災引起的,但是首當其沖的還是蓄意破壞。所以采取的應對措施也必須考慮到襲擊者的犯罪動機。借由一套完善的評估可以達到這個目的。
最初的著手點是如何定義危險的企業數據。這不僅關乎到專業技術和程序數據,也關乎到特定系統的可利用性。對于那些一旦停擺就會帶來嚴重后果的重要功能必須進行明確的強調。該任務只能由從業者在—特定情況下的外界支持下逐—完成。
圖1 信息安全管理系統(依照聯邦統計局關于信息技術安全統計)的四個組成要素
相對應的技術和組織方面的保護措施的制定和利用。在信息安全管理系統的基礎上,后續的發展和維護是不可或缺的,這樣可以維持或改善現有的保護等級。為了達到這個目的,所有參與設定和運行自動化解決方案的相關機構必須協同共進,這一點在國際標準IEC62443中做了闡明。
零部件生產商必須考慮到產品的安全性,其安全的組合運作必須被設備制造商所重視。操作者僅僅負責安全的操作流程。官方的安全程序與系統的操作相配合要試著關閉每個入侵關口。對于入侵者來說,一個薄弱點就足夠了。
圖2 IT安保程序模型
重視功能性要求和程序
具備IT安全性能的產品和解決方案的可利用性是一個安全設計的基礎。在這方面,功能性和相應的程序極為重要:
● 通過性能保護安全
在制定自動化解決方案的時候必須考慮到操作者的安全要求,為此就要進行自動化解決方案的威脅和危險分析。通過分析推導出對系統和投入使用零部件的要求。通過安全級別“SL”來選擇安全性能,包括1級(誤操作保護)到4級(強入侵保護)。國際標準IEC62443的第3-3和4-2部分闡明了各個性能和他們的協同作用,還包括了問題的辨別、利用控制、系統融合、信任度保護、數據流控制、監控和能源可利用性。
● 以安全為質量
和性能同樣重要的是對入侵者的抵抗力,其體現在運用時盡可能全面地避免薄弱點。這一點體現在IEC62443的第4-1部分結合對安全的產品使用壽命的要求上,具體來說涉及到針對設備進行的危險分析、安全實現和有針對性的安全測試。為了達到安全的產品使用壽命,必須設定相應的程序,人員必須經過培訓。
IT安全產品開發者的任務不止于提供給客戶。因為產品不是100%完美的,產品開發者必須擁有一支產品安全事件責任團隊,在發現薄弱點的時候制定解決方案并把信息傳遞給客戶。關于系統融合方面在標準的第2-4部分給出了重要的質量參數。必須保證的是,解決方案要盡可能的不出現安全問題。除此之外,方案的提供者必須具備在制圖、運用、文字和維護方面所需的安全知識和安全能力。因為安全措施只有在使用的時候才能體現出優點。建立防火墻要比沒有好。總體來說當涉及到相應的受保護的規則時,它提供了一個很好的保護。
● 安全使用
最后設備的操作者必須在操作流程和人員培訓方面遵守安全規范。設備所能達到的保護等級不僅取決于設備本身的技術性能,也與長期的監管和維護有關。比如熟知設備的安裝和性能其中包括一份網絡計劃和一份官方零部件的清單,還有對用戶權力和登陸數據的電子密鑰的監管。
一些“典型的”錯誤有不可撤消的額外連接或進入,不能更改的密碼和已注銷用戶的識別碼一直處于激活狀態,每個錯誤都可能成為被侵入的薄弱點,而通過技術措施可以降低設備的可銷售保護級別。
建立安全系統
為保障自動化解決方案防止被侵入需要獲知所有參與者的系統操作。對于侵入者來說一個薄弱環節就足夠可以引發巨大的危害。因此安全措施必須全面建立起來。為實現這一點Phoenix Contact的專家們可以提供咨詢和支持。
