Susan Lan reports."> 指导方针,确保工业网络 - 必威betway西

指导方针,确保工业网络

2020年9月01

因为零部件供应商正在发挥着越来越重要的作用在工业物联网(IIoT)网络,是有用的了解他们必须满足的安全需求在设计设备部署。苏珊局域网报告。

2002年,国际社会对自动化(ISA)产生了ISA - 99文档在自动化行业经营的建议企业如何防范网络安全威胁。自出版以来,ISA单据已经与那些更频繁地使用由国际电工委员会(IEC)。目前,IEC 62443标准构成的一系列标准,报告,以及其他相关文档定义程序实现电子安全工业自动化和控制系统(IACS)。遵循这些指导方针可以显著降低的机会成功的网络攻击。

IEC 62443指南定义四个安全威胁的水平。安全标准2级自动化行业的基本要求。它与网络的黑客所构成的威胁,这是最常见的攻击有经验的系统集成商工业网络安全。1级是防止意外未经身份验证的访问和级别3和4都反对有意访问通过黑客利用特定的技能和工具。

在不同党派的标准相关的几个部分。组件需求源于基础需求,包括识别和身份验证控制,使用控制、数据完整性和机密性,以及备份资源的可用性。

基础设施:如果一个网络组件允许用户访问设备或应用程序,网络组件必须能够唯一地标识和验证所有用户,包括人类、流程和设备。这允许职责分离和最小特权原则,确保每个用户只有获得信息和设备是至关重要的为他们能够执行他们的角色在网络中。这是至关重要的,以避免不必要的安全风险授予用户对网络的访问比是必要的。下面这条指导原则将有助于安全网络的基础设施和开发网络提供一个坚实的基础。

账户管理: 能够支持帐户的管理,包括建立、激活、修改、禁用,删除账户——通过网络必须支持。这将确保不会账户创建、修改或删除,除非被授予许可,禁止嵌入式设备进行任何未经身份验证的连接。应收帐款的管理功能有几个可能的场景,如果没有实现,为资产所有者可能导致问题。例如,一个人的作品在网络上得到提升,所以他们现在需要更多的设备和应用程序,和他们的特权级别必须相应调整。另一个常见的例子是当一个员工离开组织。一旦他们不再是一个员工必须有网络特权撤销。

标识管理 :网络的任何组件与直接用户界面必须直接集成到一个系统识别个人用户,组,角色,和/或系统接口。阻止用户能够访问的设备连接到网络,他们还没有被授予访问权。随着这些网络上不同的角色有不同的权限,一个网络管理员的帐户通常可以管理网络设备配置,但是客人级访问的人只能查看设备,但不改变配置。此外,应该有安全程序如果一个帐户尚未访问一段时间,允许该帐户被停用。标识管理特性控制网络上的每个用户的账户,确保用户局限于仅仅是网络管理员的角色分配给他们。

身份验证管理: 网络上的所有设备必须能够证实任何系统/固件升级请求的有效性,验证来源并不是试图上传任何病毒或恶意软件。这是通过要求使用令牌,钥匙,证书,或密码。如果没有身份管理系统,任何人都希望攻击网络可以很容易上传恶意软件,使他们能够改变设置或接管控制的网络。

基于密码的身份验证: 网络组件,利用基于密码的身份验证、网络组件必须集成一个执行以下的密码策略:

•密码组合必须允许国家什么类型的字符,以及所需的数量的字符之前的密码将被接受为有效。
•必须更改密码的频率。

网络管理员的密码是一个简单的方法来保护他们的网络系统工程师不需要任何额外的工作。利用一个有效的密码策略将大多数黑客获得网络通过使用蛮力打破弱密码。

公共密钥身份验证: 应该使用公共密钥身份验证服务器和设备之间建立一个安全连接,或设备间的连接。启用该功能,每个网络组件必须能够验证检查身份验证证书的签名,以及撤销证书的状态。此外,它应该构建一种公认的认证机构的认证路径,或在自签名证书的情况下部署证书的所有主机与证书的主题。公共密钥身份验证非常重要,因为它可以防止信息被发送到错误的地方,并停止机密信息,应保持在网络中被转移到外面不能证实的来源。

使用控制: 出现在网络上的所有设备必须支持登录身份验证。限制不必要的用户获得一个设备或网络,需要限制用户可以输入密码的次数错误之前锁定。大多数攻击工业网络是由使用蛮力攻击,黑客登录身份验证是一种有效的方法阻止黑客进入一个网络。此外,该系统或设备还必须能够告诉用户他们的登录尝试是否成功与否。告知用户他们登录到网络允许他们确认现状,知道变化或改变他们对网络设置或设备进行身份验证。

数据的完整性: 数据完整性在所有IIoT网络起着至关重要的作用。它可以确保数据是准确的,它能够可靠地处理和检索。有几个安全措施,可以利用来保护数据,包括SSL,使得加密一个web浏览器和服务器之间。作为数据不断移动网络,网络运营商需要确保数据在一个安全的移动,可靠和有效的方式。如果数据被发送到意想不到的接受者,网络运营商不仅会失去控制的数据,但也离开网络容易受到黑客的攻击。

备份资源可用性: 所有的应用程序或设备上发现一个网络必须能够备份数据没有干扰网络运营。执行常规备份的主要优势是确保没有数据丢失,如果网络经历一些问题网络可以利用网络数据备份恢复正常。此外,备份过程必须确保任何私人信息在网络上存储符合数据保护政策和不被任何人访问不该访问这些信息。在某些情况下,这意味着数据不能存储在网络之外。违反任何数据包含用户的个人信息是非常损害网络运营商以及那些数据已经由那些它不应该访问的访问。

结论
随着越来越多的设备被添加到网络,这些设备的安全是资产所有者最关心的问题。承认整个行业,采用最佳实践的方法来保护他们的安全使资产所有者最好的机会网络的恶意。必须建立在完整的系统级安全基础,包含每一个组件的安全功能。

苏珊在艾局域网是一个产品经理。


联系信息和档案……

相关文章…

更多信息…

打印这一页|电子邮件这一页