楠木轩

施耐德电气发布《配电物联网网络安全》报告

由 长孙秀芬 发布于 科技

施耐德电气发布《配电物联网网络安全》报告 IT和OT协解配电物联网网络安全困境

今年6月是全国第19个“安全生产月”。围绕“消除事故隐患,筑牢安全防线”的主题,全国能源行业正紧锣密鼓地开展“安全生产月”活动。在统筹疫情防控和经济社会发展工作中,能源安全保障的重要性尤为突出。2020年《两会政府工作报告》两次提到“保障能源安全”,并强调加大“六稳”工作力度,落实“六保”任务。

随着电力及其能源行业的数字化转型,能源安全的内涵也发生了变化。能源安全不光是传统概念里的充足能源供应,也包括跟数字化转型相关的网络安全。物联网正通过释放配电系统的数据潜力,帮助组织提高生产率和盈利能力。但是,随着设备互联互通以及IT和OT 进一步融合,网络安全风险也随之增加。如网络攻击导致停电,则会造成巨大经济损失,甚至可能危及生命。

如何解决IT向左、OT向右的配电物联网网络安全困境,制定全面的网络安全管理策略?近期,施耐德电气发布 《配电物联网网络安全》报告,分析IT与OT 在职责、经验以及工作重点方面的差异,介绍电气系统网络安全的重点以及 IEC 62443 标准所提供的应对策略。

物联网在连接越来越多的设备、系统、流程和建筑物的同时,也增加了网络攻击的风险。

IT向左?OT向右?

随着物联网连接设备数量增加,再加上 IT/OT 系统融合,IT 和 OT 团队必须在网络安全管理方面紧密合作,以确保所有攻击面都得到保护,且双方团队能够在相互协调的基础上,对任何网络安全漏洞或攻击快速作出响应。

但是,由于双方在职责、经验等方面存在差异,展开协作对双方而言可能是一项挑战。

· IT 和 OT 团队在网络安全方面的工作重点经常重叠,但并非所有的关注重点都完全一致。例如,一项工业物联网调查显示:“IT 团队最关注数据保护、防止财务损失和遵守行业法规;而 OT 团队则强调可靠性、可用性、效率和生产方面的提升,组织内部的安全性,以及设备和系统的保护。”

· 同时,IT 部门拥有网络安全领域的专业知识,然而IT 团队通常并不具备 OT 系统(如配电)方面的任何经验。同样,OT团队虽然拥有电力方面的专业知识,却常常缺乏或没有网络安全方面的经验。

· IT和 OT 团队在安全优先级方面也存在差异:IT 团队的工作重点通常是确保保密性、完整性和可用性,从而保障系统的安全性。OT 团队主要致力于确保安全性、可靠性和保密性,从而保持运营正常进行。

IT和OT 团队在职责和专业知识方面的差异

IEC 62443 标准优化IT 和 OT 合作,应对网络安全风险

由国际标准化协会(ISA) 和国际电工委员会 (IEC) 联合制定的 IEC 62443 提供了一系列标准,旨在“满足需求,即通过设计使工业自动化控制系统(IACS) 具备网络安全鲁棒性和弹性,在尽可能广泛的意义上应用,涵盖所有类型的工厂、设施和系统、硬件和软件系统,例如 DCS、PLC、SCADA、联网电子传感及监视和诊断系统。”而利用物联网实现对配电系统的监视和控制可被纳入这一宽泛的范畴,因此,该标准是适用的。

IEC 62443 标准已得到许多国家和地区的认可,并被包括施耐德电气在内的许多组织采用。该标准通过制定网络安全的七大支柱和四个标准化安全级别,IEC 62443 标准为IT 和 OT 团队展开协作奠定了基础,为两个团队之间的合作架设了“桥梁”。

IEC 62443 标准基于上述工作重点,制定了以下 七项基本要求,以保护支持物联网的 OT 系统:

1. 访问控制:在激活与某一组件的通信前,验证请求访问该组件的任何用户的身份,从而保护该组件。

2. 使用控制:在允许用户执行操作前,验证用户已获得必要的授权,从而防止对组件资源进行未经授权的操作。

3. 数据完整性:确保组件在运营状态和停运状态(例如,能源生产和存储期间,或维护停机期间)均能按预期运行。

4. 数据保密性:无论是处于静止状态还是在传输过程中,组件生成的机密或敏感信息均受到保护。

5. 限制数据流:确保设备连接到分段网络,并在分段网络中定义断开策略、单向网关、防火墙和隔离区,以避免不必要的数据流。

6. 及时响应入侵事件:在任务关键型或安全关键型场景中发现入侵事件时,通知有关部门,上报与此次入侵事件相关的必要证据,并采取及时的补救措施,以应对网络安全事件。

7. 资源可用性:确保应用程序或设备的可用性不会降低,也不会无法提供基本服务。

四个标准化安全级别:组织必须对照这七项要求,逐项定义其所需的安全级别。安全级别越高,就越能更好地抵御更为复杂的攻击。安全级别定义了在设备层面及整个 OT(例如配电)系统中所嵌入的网络安全功能。提高设备和系统的鲁棒性可使其对网络威胁更具抵抗力:

IEC 62443 标准所定义的四个网络安全级别

对于电气系统设计人员及其客户而言,确定应具备哪些网络安全功能可能是一个复杂而繁琐的过程。IEC 62443 允许最终用户为设施的配电系统和组件指定可确保网络安全合规性的目标安全等级,从而简化了该过程。系统设计师、设施所有者和管理人员应在 IEC 62443 标准的指导下,实施诸多重要步骤,以确保其互联配电系统(包括网络、控制和安全系统解决方案)尽可能安全。

未雨绸缪,强化电网系统的网络安全防护

在中国,从国家到电力行业,电网系统的网络安全防护一直是重中之重。为深入贯彻网络强国战略,全面落实网络安全工作,国家能源局早在2018年就印发《关于加强电力行业网络安全工作的指导意见》,从电力行业全局的角度指导、推进网络安全工作。新基建浪潮下,两大电网公司在加快数字化转型步伐的同时,也不断强化电网的网络安全防护。施耐德电气积极参与网络信息安全建设,已经成为多个联盟的成员,其中包括工业信息安全产业发展联盟、中国网络安全产业联盟、和工业控制系统信息安全产业联盟等。

在全球,作为《网络安全技术协议》(Cybersecurity Tech Accord)的成员企业,施耐德电气一直与各国政府、客户和合作伙伴密切协作,应对网络安全风险和挑战。施耐德电气及其合作伙伴曾多次在数字化创新项目上携手努力,确保网络安全措施在从边缘计算到云的每个开发阶段都得到深入贯彻。在电网领域,施耐德电气通过全面的网络安全性确保客户的业务连续性。增强从传感器级别到应用程序级别的网络安全性,包括人员、流程和组织等。