设计即安全(SecureBydesign)——工业网络安全的最新发展趋势
图片来源:西门子
网络安全通常是控制系统现代化的催化剂,越来越多的工业和关键基础设施项目会指定自动化产品和系统在设计上实现网络安全。
工业和关键基础设施的技术人员越来越多地希望寻求本质网络安全的产品和解决方案。很多情况下,网络安全是控制系统现代化项目的催化剂。尤其是当用户发现,在已安装的基础设施上,他们已经无法花费更多的时间和资源来确保网络安全时更是如此。
针对工业和基础设施的大多数网络安全措施,大都着力于在现有基础架构之上提供网络安全层,而不是采购在某种程度上具有固有网络安全特性的产品和应用。固有的网络安全通常是通过产品设计特点和安全开发生命周期过程的某种组合实现的。从供应链的角度来看,很多最终用户还希望采购本质上安全的组件、微处理器和嵌入式系统。
除了在选择过程中对供应商进行更严格的审查之外,内生的、设计即安全(SecureBydesign)的方法还要求在整个系统或产品的整个生命周期中采用安全的安装和维护措施。这里有两个独立但相关的生命周期 :一个用于产品开发,一个用于实施和支持。
寻找符合网络安全标准的产品也是一个挑战,比如 ISA/IEC 62443 系列工业控制系统网络安全标准(以前称为 ISA-99),因为很多用户不熟悉各种认证和标准机构。尽管有时产品并没有获得已发布标准的认证,它们也可提供能接受的网络安全性,但仍需要对供应商产品及其相关的开发和采购实践进行更严格的审查。使用认证程序来对潜在产品进行预审,可以为最终用户节省大量的时间和精力。
通过设计来保证安全性
在工业领域大多数运营技术(OT)级别的产品和应用,并不是从一开始就设计成包含网络安全特性的。直到最近,网络安全特性、功能和开放网络连接才受到更多的关注。在 20 世纪 90 年代和 21 世纪初,朝着“开放” 的方向发展,形成了一种网络安全思维,其重点是在 OT 级系统中增加网络安全层,以解决潜在的漏洞。尽管有效的网络安全仍然需要这种模式,但很多最终用户发现,在产品开始设计时就考虑安全特性,比在现有产品上增加安全属性要容易得多,且成本更低。
通过设计来保证安全性,不应仅局限于产品本身以及如何将产品设计与应用的安全开发生命周期实践相结合。相同原理也适用于控制系统工程设计、安装和启动过程。最终用户也正在仔细研究供应链的安全性,特别是在系统的开发和制造方式以及系统是否利用安全组件 和嵌入式系统等方面。
对网络安全的需求增加
从网络安全的角度来看,面向工业物联网 (IIoT)的新产品层出不穷,例如边缘计算设备、云计算平台、智能互连的传感器,使最终用户面临更复杂的局面。
尽管很多“工业边缘”产品都具有良好的网络安全性,例如“零信任”架构,但其它产品则没有。由于其中很多产品正在从信息技术(IT)领域进入 OT 领域,因此必须对其进行更严格的审查,以评估网络安全风险。
工业和关键基础设施环境中的控制系统,通常具有非常长的生命周期。很多分布式控制系统(DCS)和可编程逻辑控制器(PLC)已经服役超过 20 年。许多最终用户发现老旧设施的安装基础过于复杂、成本高昂并且容易产生风险,因此无法从网络安全的角度继续提供支持。这为控制系统的迁移或实施现代化提供 了动力。
▎过程自动化系统部件的平均生命周期表明,对自动化的支持不是无限期的, 由于网络风险的增加,可能需要更换老旧系统。例如,5 年之内就需要考虑更换工作站和控制台,而 15 年之内就需要考虑更换控制 器。图片来源 :ARC 咨询集团
设计即安全和网络安全标准
ISA/IEC 62443 系列标准是制造和关键基础设施的关键网络安全标准。该系列标准获得国际认可,是最终用户和供应商数十年工作的成果。虽然最初,该标准的重点是描述参考体系结构和诸如深度防御的基本概念,但如今的 IEC 62443 标准涵盖了工业网络安全的各个方 面,从产品和应用开发直至整个生命周期。
IEC 62443-4-1 标准规定了安全开发用于工业控制系统(ICS)产品的过程要求。它定义了用于开发和维护安全产品的安全开发生命周期(SDL)。此生命周期包括以下实践 :安全管理 ;安全需求规范 ;设计安全 ;安全实施 ;安全验证和确认测试;管理与安全相关的问题;安全更新管理 ;以及安全准则。
对于很多 ICS 最终用户而言,选择设计安全的产品和应用可能会面临挑战。很多人还没有为系统和应用制定好的选择标准。工业和基础设施应用中的很多系统,都还没明确考虑网络安全。同时,越来越多的此类产品开始支持物联网功能,这进一步增加了风险。
尽管大多数主要的 DCS 供应商都提供经 ISASecure 认证的控制器和其它系统部件,但是还有很多供应商提供不常见的系统,例如终端自动化系统、基于 RTU 的 SCADA 系统、锅炉控制和压缩机控制等,这些系统可能并未考虑设计安全原则。
拥有良好的选择和采购流程,也意味着最终用户组织内的不同利益相关者也必须参与其中。IEC 62443 标准的要求为此类过程奠定了坚实的基础。
更高的投资回报率
在设计即安全技术的上投资,让很多最终用户获得了更高的投资回报率和更低的生命周期成本,并减少了投入到网络安全管理的资源。除了在日常运营中增加成本以预防威胁外,在系统设计和工程实施的网络安全方面,也需要增加额外的成本和时间来完成项目。通过设计保证安全性,可以降低工程实施成本、总体项 目成本以及运营和维护成本。
很多用于工业和关键基础设施应用的产品,通过采用设计安全原则可以帮助最终用户降低生命周期成本并提高网络安全性。一些产 品在其固有的设计或物理特性中提供设计安全。这包括像数据二极管或单向网关之类的组件,它们提供安全的单向或甚至双向通信。
数据二极管可在产品的设计中,或者通过安全软件和网络设计的各个层来实现增强的安全性。例如,一些供应商提供了一种数据二极管,可利用光纤通信在物理上实现仅发送和仅接收的电路。另外一些数据二极管供应商则使用 COTS 部件来构建其数据二极管,但采用了专门的内容检查引擎和其它基于软件的方法,来确保安全的单向通信。
很多其它产品也将设计安全原则纳入到自动化和控制系统或仪表中。这可能包括独特的背板设计、端口锁定功能以及其它功能。例如,一些规模较小但更具创新精神的自动化供应商,可能会在其多个系统组件(包括背板、电源等)中提供固有的“设计安全”原则。有关产品中是否集成了设计安全功能,请咨询自动化供应商或工业网络安全供应商。
设计安全性的另一维度是系统和网络实施。一些供应商可以为系统和网络设计提供经过测试和验证的参考体系结构,这些体系结构具有最高程度的固有安全性。这通常是专业网络供应商和自动化供应商之间合作的 成果。
还有一些自动化供应商在过程安全系统中提供设计功能,以防止未经授权的用户访问设备。所有系统供应商都在整合这些或类似功能。新功能不断推出,这意味着用户应评估现有和潜在供应商所提供的服务。
网络安全产品测试和认证
另外一些产品则通过认证或注册,并根据网络安全标准对其进行测试,从而在设计上提供安全性。一个例子是 ISASecure 系列的认证产品,它是根据 ISA/IEC 62443 网络安全标准测试的。ISASecure 可为控制器、PLC、网关和路由器等物理产品提供认证。同时也适用于系统,包括过程自动化系统和过程安全系统。它还为认证供应商开发的系统和应用提供安全的软件开发生命周期认证。
保护层是必要的。但是,将设计安全原则融入产品和应用中,以在一定程度上实现“开箱即用”的安全性或许更为重要。通过设计确保设备的安全是很多网络安全工作的目标,例如 ANSI/CAN/UL2900 网络可连接产品软件网络安全标准。设计安全原则适用于软件、设备和网络。
在系统设计过程中,安全性的其它方面也变得越来越重要。其中包括供应链网络安全、来源(确定芯片组等系统计算组件的来源以及 其固有的安全级别)以及其它事项。
尽管很重要,但“设计即安全”不是万能的。最终用户仍然需要遵循良好的网络安全实践、项目实施或运营工作流程。遵循设计安全原则,只是成熟的网络安全组织和策略的一个方面。
关键概念:
■ 在设计中将网络安全融入到自动化系统中,包括工业物联网升级。
■ 将网络安全视为系统现代化的催化剂。
■ 将网络安全纳入到工业控制系统的采购过程中。
思考一下:
像自动化安全一样,网络安全需要关注的不仅仅是产品设计。