數(shù)字化轉(zhuǎn)型之工業(yè)網(wǎng)絡(luò)安全落地指南——艾默生帶領(lǐng)用戶全面實(shí)現(xiàn)IEC62443標(biāo)準(zhǔn)的工業(yè)網(wǎng)絡(luò)安全體系建設(shè)

　　“數(shù)字化智能工廠轉(zhuǎn)型”已經(jīng)是當(dāng)今工業(yè)自動(dòng)化行業(yè)的熱門話題和發(fā)展潮流，從傳統(tǒng)工廠到數(shù)字化工廠的轉(zhuǎn)型升級(jí)是順應(yīng)時(shí)代發(fā)展的必然趨勢。

　　在數(shù)字化轉(zhuǎn)型的道路上，業(yè)內(nèi)也伴隨著“工業(yè)物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+、IT\OT融合等”出現(xiàn)各種層出不窮的概念與體系。但“數(shù)字化轉(zhuǎn)型，網(wǎng)絡(luò)安全先行”從始至終為各方所共同認(rèn)可的工廠數(shù)字化轉(zhuǎn)型的基石。數(shù)字化轉(zhuǎn)型中的工業(yè)網(wǎng)絡(luò)安全如何落地也成為了工業(yè)用戶關(guān)注的焦點(diǎn)。

　　而針對(duì)工業(yè)自動(dòng)化的OT領(lǐng)域，IEC 62443系列標(biāo)準(zhǔn)定義了工業(yè)控制系統(tǒng)應(yīng)如何開發(fā)、部署及維護(hù)的要求準(zhǔn)則，以實(shí)現(xiàn)顯著增強(qiáng)已安裝系統(tǒng)的網(wǎng)絡(luò)安全。IEC 62443系列目前作為工業(yè)自動(dòng)化網(wǎng)絡(luò)安全的國際最權(quán)威標(biāo)準(zhǔn)，一直為各大工業(yè)自動(dòng)化廠商、工業(yè)安全廠商、最終用戶所推崇的目標(biāo)。

　　IEC62443系統(tǒng)標(biāo)準(zhǔn)為工業(yè)自動(dòng)化領(lǐng)域引入了非常經(jīng)典的各種核心的安全理念，比如：安全分級(jí)體系SL (Security Level) 、安全需求的FR(Foundational requirement)-SR(System requirement)-RE(Requirement enhancement)體系，以及區(qū)域(Zone)及管道(Conduit)的核心概念及模型、安全產(chǎn)品開發(fā)管理體系SM(Security Management)等等，皆為廣大業(yè)內(nèi)人士奉為權(quán)威的經(jīng)典理論。

　　在實(shí)際的工業(yè)網(wǎng)絡(luò)安全項(xiàng)目中，相關(guān)的廠商及用戶往往也會(huì)重點(diǎn)關(guān)注上述內(nèi)容，但最后能成功為用戶落地完善的工業(yè)網(wǎng)絡(luò)安全體系的項(xiàng)目少之又少，往往會(huì)出現(xiàn)如下的現(xiàn)象：

　　· 機(jī)械化的追求堆疊各類網(wǎng)絡(luò)安全設(shè)備:目前網(wǎng)絡(luò)安全行業(yè)產(chǎn)品種類繁多，功能眼花繚亂，往往會(huì)令用戶陷入“買設(shè)備就可以解決一切”的誤區(qū)。

　　· 浮于通過認(rèn)證和應(yīng)付審計(jì)：各類工業(yè)網(wǎng)絡(luò)安全產(chǎn)品或體系認(rèn)證往往成為評(píng)判用戶和廠商的標(biāo)準(zhǔn)之一。但也容易讓用戶和廠商陷入只為了通過更多認(rèn)證和審計(jì)，而忽視了本質(zhì)的安全目標(biāo)。

　　· 忽視生命周期管理體系的建設(shè)：工業(yè)自動(dòng)化系統(tǒng)的生命周期管理是保障數(shù)字化工廠的運(yùn)行的核心，而工業(yè)網(wǎng)絡(luò)安全亦是一個(gè)生命周期管理的過程。現(xiàn)場往往存在只為上網(wǎng)絡(luò)安全項(xiàng)目而忽視了結(jié)合工業(yè)自動(dòng)化系統(tǒng)的生命周期管理的整體規(guī)劃，導(dǎo)致各個(gè)項(xiàng)目點(diǎn)無法由點(diǎn)及面的實(shí)現(xiàn)價(jià)值。

　　因此在IEC62443的標(biāo)準(zhǔn)體系中，其中一個(gè)核心的概念即為網(wǎng)絡(luò)安全生命周期模型，而這也往往是實(shí)際網(wǎng)絡(luò)安全項(xiàng)目落地所容易缺失的重要部分。

　　網(wǎng)絡(luò)安全的生命管理模型分為三個(gè)主要的階段：

　　風(fēng)險(xiǎn)分析(Assess Phase)

　　風(fēng)險(xiǎn)解決(Develop and implement phase)

　　監(jiān)測維護(hù)(Maintain Phase)

　　在IEC62443的CSMS(Cyber Security Management System)模型中，又對(duì)應(yīng)該三個(gè)階段細(xì)化為了19個(gè)要素,貫穿了整個(gè)工業(yè)自動(dòng)化系統(tǒng)安全管理的生命周期：

　　因此，作為IEC62443標(biāo)準(zhǔn)訂制的參入者之一，艾默生網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)解決方案自初始便屬于艾默生生命周期服務(wù)體系之中。致力于艾默生分布式控制系統(tǒng)生命周期服務(wù)與網(wǎng)絡(luò)安全服務(wù)的結(jié)合，服務(wù)覆蓋了IEC 62443網(wǎng)絡(luò)安全生命周期模型中各階段的各個(gè)元素，帶領(lǐng)用戶建立完善的工業(yè)自動(dòng)化網(wǎng)絡(luò)安全體系，為用戶奠定智能工廠數(shù)字化轉(zhuǎn)型的基礎(chǔ)。

　　風(fēng)險(xiǎn)分析(Assess Phase)：

　　艾默生工業(yè)網(wǎng)絡(luò)安全生命周期服務(wù)建議工業(yè)用戶開始于對(duì)工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全評(píng)估及風(fēng)險(xiǎn)分析。

　　專業(yè)的服務(wù)團(tuán)隊(duì)將利用數(shù)字化的評(píng)估工具Cybersecurity Service APP為用戶進(jìn)行更針對(duì)工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)。

　　網(wǎng)絡(luò)安全服務(wù)專家將與用戶共同就評(píng)估報(bào)告進(jìn)行風(fēng)險(xiǎn)的分析與改進(jìn)方法的落地

　　風(fēng)險(xiǎn)分析不限于對(duì)網(wǎng)絡(luò)安全控制點(diǎn)的評(píng)估，而是結(jié)合整體DCS控制系統(tǒng)的全面評(píng)估。

　　若在評(píng)估中涉及到控制系統(tǒng)本身的維護(hù)及操作有可能對(duì)網(wǎng)絡(luò)安全帶來隱患或風(fēng)險(xiǎn)?？山Y(jié)合更多艾默生DCS運(yùn)行現(xiàn)場評(píng)估服務(wù)(Site Evaluation)\回路診斷服務(wù)(Loop Service)\報(bào)警管理服務(wù)(Alarm Management Service)等綜合的為用戶進(jìn)行詳細(xì)的現(xiàn)場風(fēng)險(xiǎn)評(píng)估與規(guī)劃。

　　風(fēng)險(xiǎn)解決(Develop and implement phase)

　　作為全球首家通過IEC 62443 標(biāo)準(zhǔn)體系ISA Secure SSA 認(rèn)證的廠商，艾默生生命周期服務(wù)團(tuán)隊(duì)具備強(qiáng)大的網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)解決方案，致力于解決在風(fēng)險(xiǎn)評(píng)估階段發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患和問題：

　　· 艾默生網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)提供了包括各類安全產(chǎn)品在工業(yè)控制系統(tǒng)上的解決方案應(yīng)用并為用戶提供相關(guān)的維護(hù)和管理服務(wù)。

　　· 所有網(wǎng)絡(luò)安全解決方案都與工業(yè)控制系統(tǒng)進(jìn)行深度的兼容性測試，確保不會(huì)影響到控制系統(tǒng)本身的運(yùn)行

　　· 不同于常規(guī)的工業(yè)安全廠商，艾默生提供全生命周期的網(wǎng)絡(luò)安全服務(wù)，更致力于從控制系統(tǒng)本身深層次的消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的根源。例如對(duì)于老舊的DCS系統(tǒng)，將采取升級(jí)的方式更新到最新版本的操作系統(tǒng)和DCS軟件以從根本上減少系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。而對(duì)于生產(chǎn)操作中某些人為誤操作可能會(huì)帶來的數(shù)據(jù)丟失或觸發(fā)漏洞的風(fēng)險(xiǎn)，除了采用相對(duì)應(yīng)的網(wǎng)絡(luò)安全解決方案之外，另外也將利用艾默生強(qiáng)大的COP(Control Operator Performance)控制及操作優(yōu)化解決方案，對(duì)生產(chǎn)工藝的操作進(jìn)行優(yōu)化，進(jìn)而提升控制優(yōu)化效率，減少人為誤操作的概率。

　　監(jiān)測維護(hù)(Maintain Phase)

　　最終工業(yè)網(wǎng)絡(luò)安全的項(xiàng)目能否成功落地實(shí)現(xiàn)價(jià)值，關(guān)鍵的因素在于系統(tǒng)的日常運(yùn)維和管理。艾默生除了可以提供強(qiáng)大的SOC (Security Operations Center)解決方案協(xié)助用戶打造安全運(yùn)營中心。更將工業(yè)網(wǎng)絡(luò)安全的預(yù)測性監(jiān)測維護(hù)結(jié)合進(jìn)入了DCS的生命周期維護(hù)方案-SureService服務(wù)包中。艾默生SureService 服務(wù)包是一組不同等級(jí)的生命周期服務(wù)包組合。從基礎(chǔ)至高級(jí)的不同等級(jí)的服務(wù)組合為用戶提供了選擇服務(wù)的靈活性，使得用戶能夠在系統(tǒng)維護(hù)、可靠性和性能需求等方面更靈活地選擇艾默生本地服務(wù)。SureService產(chǎn)品還有助于用戶與高級(jí)技術(shù)專家更深入地溝通交流。艾默生將為用戶提供咨詢服務(wù)，以幫助提高DeltaV系統(tǒng)的可靠性，并更好地管理這些系統(tǒng)的生命周期。

結(jié)束語

　　在工廠數(shù)字化轉(zhuǎn)型的趨勢下，工業(yè)網(wǎng)絡(luò)安全也已進(jìn)入了一個(gè)新的階段，傳統(tǒng)工廠理念下僅僅依靠部署基礎(chǔ)網(wǎng)絡(luò)安全設(shè)施而“一勞永逸”的做法已經(jīng)不再適合數(shù)字化智能工廠的需求。在IT\OT深度融合的趨勢下，網(wǎng)絡(luò)安全威脅比以往更普遍。工廠的管理者時(shí)刻要保持警惕，盡快檢測并應(yīng)對(duì)可能出現(xiàn)的網(wǎng)絡(luò)安全威脅。而這意味著您需要擁有合適的工具、人員和程序。艾默生擁有全面的網(wǎng)絡(luò)安全生命周期解決方案和策略組合，旨在幫助工廠用戶評(píng)估和降低風(fēng)險(xiǎn)級(jí)別，建立完善的工業(yè)網(wǎng)絡(luò)安全體系，為用戶的數(shù)字化智能工廠轉(zhuǎn)型奠定安全基礎(chǔ)，筑牢安全防線，確保更多數(shù)字化應(yīng)用平臺(tái)安全落地，高效運(yùn)行!

（轉(zhuǎn)載）