中国 | 中文
中国 | 中文

降低风险的工业信息安全

带有段落符号的笔记本电脑

工业信息安全具有多样性,可在多个层面发挥作用。在OT和生产中,工业信息安全原则的主要作用是保护机器免受人为行为造成的危害。这一原则可保护机器免受网络攻击或操纵等危害。

但如何发现潜在风险或攻击机会呢?

工业信息安全风险评估

在检查工业信息安全生产时,首先要做的是进行风险评估。这将揭示机器面临的来自“网络空间”的危险和风险,以及为最大限度地减少这些危险和风险而必须采取的措施。

安全风险评估应始终按照以下步骤进行:

  1. 确定资产:我要保护什么?
  2. 分析威胁:我要保护的资产面临哪些风险?
  3. 确定相关的保护目标:我想要实现哪些目标?
  4. 分析和评估风险:风险发生的可能性有多大?
  5. 分析威胁向量
  6. 创建和实施安全概念
  7. 审查实施情况
  8. 定期重新评估
  9. 选择并实施保护措施:如何防范潜在风险?
  10. 弹性管理: 遭受攻击后该怎么办?我怎样才能在公司里更牢固地树立安全观念?
两个男人看着平板电脑

我们可以提供帮助!

我们的工业信息安全咨询服务可帮助您实施工业信息安全。

工业信息安全咨询服务

小提示:信息安全级别

信息安全等级定义了设备运营商或制造商希望通过安全措施达到的安全级别。相关信息由事先风险评估提供。该信息定义了要保护的对象,并确定了该资产受到攻击的概率。安全等级(SL)据此选定。如今,SL-2,即防止“使用简单手段、低资源、一般技能和低动机的蓄意侵犯”应被视为最低标准。为了保持这一最低标准,公司需要一个特定的安全成熟度等级。如果公司员工继续把密码写在便利贴上,贴在电脑屏幕上,或者不进行更新,那么再好的防火墙也是无用的。公司将安全作为一个问题且参与度越深,其整体安全防护水平就越高。因此,整体安全概念很重要。

金字塔显示安全等级:

信息安全等级一览:

  • 信息安全等级1:防止随意或偶然的侵权
  • 信息安全等级2:防止使用简单手段故意侵权
  • 信息安全等级3:防止使用先进手段故意侵权
  • 信息安全等级4:防止使用先进的手段和大量的资源故意侵权

提高工业信息安全的六大提示措施

详细的安全风险评估对于有针对性地保护机器至关重要,但一般措施也能提高安全性。任何措施都比没有措施好。以下策略可以帮助您在公司实施安全防护:

1.纵深防御:这一原则的基础是始终在入侵者的道路上设置不同的新障碍。这使得攻击者更难达到目标。关键是要在尽可能多的层面上制造尽可能多的障碍,因为每一项单独的措施当然都有可能被击败。这一理念的一个重要部分就是要始终考虑到人的因素。

2.组织措施:重要的是,公司的所有员工都要将安全内化于心。建议制定适用于自己的员工以及供应商和服务提供商等合作伙伴的准则。信任是好的,但控制更好,因此任何负责安全的人都应检查这些准则的遵守情况,并在必要时给予支持。

3.培训:并非每个人都是IT专家,因此您的员工需要定期接受安全培训。Pilz研讨会在斯图加特附近的奥斯特菲尔登总部,也可在客户所在地或以网络研讨会的形式举行,主要针对工厂和机器设计师以及操作员。

4.“区域和管道”分段:包含具有类似安全要求的设备的区域应通过防火墙或安全路由器相互隔离。只有真正获得授权的设备才能通过区域之间的管道收发信息。例如,与安全相关的设备可以在单独的区域内得到特别周密的保护,而不会对标准操作造成威胁。 

5.防火墙:虽然路由器和交换机可以支持安全机制,但您也应该在控制网络中使用防火墙。例如,应用防火墙安全网桥可以保护设备和机械上的安全控制技术,防止过程数据被篡改。

6.补丁管理:当意识到软件中存在与安全相关的漏洞时,打补丁就显得尤为必要。这涉及应用软件和嵌入式软件。不仅要考虑制造商发布的补丁和更新,还要考虑第三方软件(如办公应用程序、PDF 阅读器)。补丁程序有助于明确责任和程序。

各种关键字并列显示

工业信息安全的进一步基本要求

就工业信息安全而言,如果查看IEC 62443,就会发现一系列基本要求,称为 “基本要求”,以抽象的方式描述了提高安全性的技术方法

识别和访问控制(IAC)

这可确保只有拥有所需权限的合法实体才能访问或修改设备及其包含的信息。这些权限对于确保工厂或装置的安全运行以及保证IACS(工业自动化和控制系统)的功能是必不可少的。

使用控制(UC)

使用控制(UC)确保只有经过授权的实体才能使用设备和/或信息来执行有效和必要的任务,这对工厂或装置的安全和生产率至关重要。这就是权限问题。应遵守“最低权限”原则。

系统完整性(SI)

这一基本要求确保通信通道中的数据不会受到未经授权的更改,从而始终提供正确的数据。例如,显示的值必须与实际值一致,不得被篡改。 

数据机密性(DC)

机器中的所有数据都应保密,外人或未经授权的内部人员不得查看。

限制数据流

这一基本要求可确保数据只流向真正需要数据的区域。这就降低了数据在未经授权的情况下被查看或篡改的可能性。这意味着在设计系统架构时,应将系统划分为具有适当安全级别的区域和管道。使用单向网关或数据二极管等设备会有所帮助。

及时应对事件

务必确保IACS提供必要的功能来响应安全漏洞。这包括通知相关机构,记录违规证据以及在发现此类事件时及时采取纠正措施。

资源可用性

有必要确保IACS的设计和运行方式不会出现无法控制系统的情况,或者在最坏的情况下,甚至无法使系统达到安全状态。这就意味着,即使在拒绝服务攻击的情况下,也不能阻止安全系统使设备进入安全状态或实现其保护功能。

上述每项基本要求都有附加的系统要求。这些要求可作为实施安全措施的基础,并根据希望达到的技术安全级别而变得更加广泛。 

手持笔记本电脑的人
带有段落符号的笔记本电脑

标准系列IEC 62443

想了解有关标准的更多信息?有关国际标准系列IEC 62443的更多信息,请单击此处。

了解有关标准62443的更多信息
中国区业务联系

皮尔磁工业自动化(上海)有限公司
上海浦东龙阳路2277号永达国际大厦1702-1705室

电话: +86 21 60880878
电子邮件: sales@pilz.com.cn

皮尔磁工业自动化(上海)有限公司

浦东新区龙阳路2277号永达国际大厦1702-1705室
上海
中国

电话: 021 60880878
电子邮件: sales@pilz.com.cn

技术支持

电话: 400-088-3566
电子邮件: sales@pilz.com.cn

顶部
  1. Pilz
    2. /
  2. 产品与行业
    3. /
  3. 安全
    4. /
  4. 降低风险战略
打开联系表单
电话:021 60880878
“邮件: sales@pilz.com.cn

“我们能为您做什么?

 

 

* 强制字段