行业见解
在工业自动化和控制网络中实施安全性,第二部分
发布01/12/2012
| By: Kristin Lewotsky, Contributing Editor
ISA-99标准为工业自动化和控制系统(IACS)提供了安全框架。
本文中的一部分讨论了网络安全技术,如网络分段,基于角色的控制和安全键的固件级实现。第二部分,我们审查ISA-99,这是一种专为工业自动化和控制系统(IACS)设计的安全标准。
网络可以为工业系统带来巨大的好处,包括简化维护、增强故障排除能力,以及提供可以增强过程控制和供应链管理的数据。然而,这些能力是有代价的。将工厂连接到一个更大的网络不仅会使车间网络面临风险,而且最终会使整个企业容易受到攻击。对工业自动化和控制系统(IACS)脆弱性的日益关注导致了ISA-99标准的制定。
安全的目标是最大限度地减少风险。我们可以将风险定义为威胁,漏洞和后果的产品。考虑到可用的安全软件的数量,避免风险应该直截了当,但在工业应用的情况下,它可能具有挑战性。部分问题是,工业网络的目标与通用计算机系统的目标有显着不同。对于通用IT系统,机密性是首要任务,然后是完整性和可用性。工业网络的优先级是完全相反的:可用性至关重要,然后是完整性,然后是机密性。因此,通常的工具可能无法正常工作。“将通用IT实践[工业系统更难]更难,所以你必须弄清楚符合意图精神的作品,”ISA99委员会的联合主席Jim Gilsinn说。“其中一件事我们真正尝试强调ISA99,这是安全和整体性能要求大量胜过安全。您所要做的是努力补偿控制或至少了解系统的限制。“
ISA-99提供了一个框架,用于从达到企业级别的组件级别建立IACS安全性。努力涉及多层标准,从概念和模型到IACS的特定安全要求(见图1)。
最远的标准和大多数锗内包括:
•ISA-99.01.01-术语,概念和模型
•ISA-99.02.01-建立IACS安全计划
•ISA-99.03.03系统安全要求和安全保证水平
其中的前两项已发布,第三次已被委员会批准,并正在修订,以处理收到的意见。草稿正在开发工作计划的其他几个要素。
整个安全问题可以被认为包含三个主要组件:人员、流程和技术。ISA-99.01.01标准建立了基本的语言和概念,以及布局要求,如参考体系结构和安装清单。ISA-99.02.01标准主要侧重于开发有效安全程序的过程,并在一定程度上解决人的因素。符合ISA-99.03标准。xx和isa - 99.04。Xx系列从系统级和组件级需求的角度解决了问题的技术方面。
ISA-99标准基本上以三个基本级别查看工业或制造企业系统:商店楼层楼层,涉及离散的制造,可以利用运动控制;制造运营管理,涉及协调制造活动的计算机;和顶级系统,如企业资源规划,供应链管理和业务分析软件。ISA-99仅涉及底层两层。即便如此,其范围是广泛的,但有必要有效保护离散的制造水平。例如,如果为控制器指令的系统受到损害,则无关紧要机器控制器是否受到保护。
ISA-99标准使用五级参考模型,改编自ISA-95(见图2):
等级:控制下的设备
一级:安全和基本控制,例如运动控制器,plc
二级:监督控制,例如人机界面
III级:运营管理
IV级:企业系统(规划和物流)
涉及安全时,一个尺寸不适合所有。每个级别都具有一系列操作特性,性能要求和漏洞。例如,智能组件可能不足以处理防病毒软件,例如,然后再次,它可能不需要。这是网络分割概念的概念,以区域的形式进入。这个想法是你不能对整个网络进行处理,因为每个单独元素的风险概况都不同。标准调用数据环境被分成区域(见侧边栏),根据需要不同地处理每组元素,如操作需求,安全问题等所需的数据通过导管所换的数据;通常是防火墙。
在参考模型中,水平0至III表示IACS的各种级别。级别代表具有实时操作系统和专用功能框的设备。通常,将从电平I设备传递给网络的其余部分的数据被认为是非事务性的,这意味着接收数据的设备不确认已经发生了事务。
在HMI级别,级别II网络,可以保存数据,但倾向于在制造单元中进行隔离。在Linux和Windows操作系统上运行的PC通常驻留在II级。III级,运营管理水平,是各个单元格开始集成在一起的地方。等级III代表制造执行系统。级别IV代表通信将IACS留出的点并进入网络,以与SAP等企业资源规划应用程序接口。
控制技术和安全问题随着水平的增加而发展。例如,级别0和I,例如PLC,I / O块等功能技术安全系统,这往往是特定于应用的,而不是围绕通用操作系统建造。在II级,可以在PC周围构建HMI,但总体而言倾向于关注专用控制。III级和IV级系统可以包含改进的通用计算机,使用户可以应用更传统的安全措施,只要他们与小心进行。“你总是要注意控制的实时性,以及表演和安全影响,如果改变此数据或者系统泄露,则可能出错的后果,”Gilsinn指出。
使用I和II级维护安全的环境呈现出一种挑战。将其与顶层网络集成在一起介绍了整体不同的脆弱性。根据公司的大小,顶层网络可能支持数百或甚至数千个用户。当他们浏览网络时,它们可能使商店地板网络不必要地脆弱。在这里,也是建立带导管的区域最终保护车间网络。但最终,确保安全要求与IT部门沟通。
“通过标准经营的主题之一是控制人民和IT人之间的合作与合作,”ISA-99委员会的联合主席Eric Cosman说。“这一切都回到了安全专家之间的基本对话谁了解威胁和漏洞和资产所有者,他们了解后果。威胁是最难掌握的,因为它变得如此迅速,所以如果你真的想了解风险,你必须让那些人互相交谈。“
知道代码 导管:连接两个或更多区域共享常见安全要求的通信信道的逻辑分组。 区:分组符合常见安全要求的逻辑或物理资产。区域通常具有通过区域边缘和区域内的机制组合强制执行的清晰边框。 有关标准的更多信息,请参阅http://isa99.isa.org/isa99%20wiki/home.aspx. |
部分讨论需要专注于IACS绩效的主要优先事项。ISA-99的基本原则之一是安全不应对性能产生不利影响,至少不是过度的程度。当然,会有一定程度的影响,但合作将有助于达到平衡。重要的是从一开始就解决问题。"Security is not something you can layer on after the fact because when you do that, you run the risk of impacting performance because [the security measures] are being mandated by people who don't understand the underlying process that they’re trying to secure," says Eric Cosman. A directive from corporate IT that all PCs must have virus protection, for example, could shut down the production floor unnecessarily, purely from a lack of understanding. “A machine may run with such tight tolerances that the extra latency of antivirus protection will cause it to fail, but guess what, maybe it doesn't need virus protection if we have put a compensating control in place," says Cosman. "One of those compensating controls may be that we are going to wall the components off in such a way that the likelihood of them getting a virus is miniscule. Now we don't have to worry about virus protection in those components."
为了简化开发安全的过程,委员会目前正在编写一份文件,概述如何将这些标准结合在一起。“我们的想法之一就是想出一个文档,列出了人们如何在不同级别的食物链可能需要看这个文档系列和解决的一些基本概念,比如安全保障水平和他们如何从政策和程序技术实现,“Gilsinn说。“你的安全系统需要什么?”一旦你的安全系统就位,你如何评估它,以确定它是否满足你的需要?该文件旨在让终端用户了解一份文件如何与另一份文件协同工作,并让集成商或供应商更好地了解他们的设备如何符合希望实施该标准的终端用户的要求。”
谈到供应商,该标准最终将列出供应商认证的准则,而不仅仅是从供应商本身及其安全计划的角度来看,而是在设备级别。“我们有一个有效地类似于Microsoft安全开发生命周期的标准,”Gilsinn说。生命周期模型包括评估阶段,开发和实施阶段和维护阶段。
在一天结束时,安全问题返回优先列表:可用性和完整性,然后是机密性。保护工业网络和他们控制的设备需要在安全性和性能之间引起平衡。随着ISA-99标准的努力,每次通过的每年都会变得更容易,更容易,找到平衡和保护系统。
想要更密切地监控标准努力甚至涉及何处?加入委员会- 免费,您将获得所有会议和进度的更新。