网络安全

系统集成商需要遵守国际网络安全要求

系统集成商需要确保其自动化系统是IEC 62443的符合IEC 62443符合国际网络安全要求。

Massimiliano Latini 2020年9月21日
提供:欧洲控制工程H-ON咨询公司

由于自动化和工业控制系统的演变,在数字连接方面,包括使用云系统的使用,工业网络安全已经至关重要。虽然数字连接允许实现越来越尖端的系统,以及实现更先进的服务,但它也打开了操作技术(OT)网络攻击的门。

在系统集成商的责任方面,他们的客户 - 屈服于没有最低安全功能的系统的网络攻击,或者在没有实施最先进的 - 可以索赔的系统上没有实施保护措施的系统赔偿。如果缺乏安全实施,不正确的配置或在装备预防措施的同时,这尤其如此。

IEC 62443标准代表了工业网络安全方面的最先进。它提供了保护工业控制系统的指导,即制造商应在标准呈现的生命周期之后实施。系统集成商还必须符合IEC 62443的要求,以将充分安全的自动化系统释放到最终用户,该系统最终将相应地管理系统。因此,IEC 62443依赖于三个演员 - 制造商,系统集成商和最终用户共同执行的工作。

制造商应遵守IEC 62443,有几种有效原因:

  • 要在要约中整合,在网络安全方面明确表现,其中安全代表优先级。
  • 与竞争对手相比,扩大整个报价。
  • 网络安全也可以被视为一个机会,因为最终用户可能需要将他们的旧系统适应新标准;因此,可以提出有效的解决方案以更好地升级现有系统。
  • 最后,要满足保险公司半途遏制预期的malus。

遵守IEC 62443的制造商要求的网络安全方案的实施必须涵盖与网络安全和业务流程相关的组织资产;此外,根据IEC国际标准给出的指导,这将考虑与自动化系统相关的任何技术方面。

由于网络安全通常需要更长时间的发展,而不是最终市场能够等待实施有效的网络安全解决方案,建议在阶段工作。因此,系统集成器的选择是至关重要的,因为:

系统集成商允许更大的灵活性和更少的刚性流程,因为它们被分配给特定的项目和合同。

系统集成商,作为整个供应链的最后一个参与者,在集成已经符合IEC标准的系统和组件时,将首先受到质疑。

建议建立第一个基本的安全目标,而不必应用标准所需的所有需求和解决方案,而是只选择那些适用于中等复杂性的安全请求的最低需求。然后,为了保护系统集成商的业务,使用符合基本技术标准的最小解决方案是可能的,同时为最终用户交付一个健壮和配置良好的解决方案,并伴随着必要的技术文档,证明符合IEC 62443。

还可以将旨在增加一般安全级别的需求和业务流程,并为特定安全级别提供IEC 62433标准提供符合IEC 62433标准的解决方案。在此阶段,解决方案将更加完整,并将包括基本的自动化支持系统,又允许与客户的OT和安全系统更好地进行更好地集成。

本文最初是批准的控制工程欧洲网站。


诺阿Latini
作者简介:Massimiliano Latini, H-ON咨询公司研究和特别项目总监、ICS网络安全经理。