施耐德電氣發佈《配電物聯網網絡安全》報告 IT和OT協解配電物聯網網絡安全困境
今年6月是全國第19個“安全生產月”。圍繞“消除事故隱患,築牢安全防線”的主題,全國能源行業正緊鑼密鼓地開展“安全生產月”活動。在統籌疫情防控和經濟社會發展工作中,能源安全保障的重要性尤為突出。2020年《兩會政府工作報告》兩次提到“保障能源安全”,並強調加大“六穩”工作力度,落實“六保”任務。
隨着電力及其能源行業的數字化轉型,能源安全的內涵也發生了變化。能源安全不光是傳統概念裏的充足能源供應,也包括跟數字化轉型相關的網絡安全。物聯網正通過釋放配電系統的數據潛力,幫助組織提高生產率和盈利能力。但是,隨着設備互聯互通以及IT和OT 進一步融合,網絡安全風險也隨之增加。如網絡攻擊導致停電,則會造成巨大經濟損失,甚至可能危及生命。
如何解決IT向左、OT向右的配電物聯網網絡安全困境,制定全面的網絡安全管理策略?近期,施耐德電氣發佈 《配電物聯網網絡安全》報告,分析IT與OT 在職責、經驗以及工作重點方面的差異,介紹電氣系統網絡安全的重點以及 IEC 62443 標準所提供的應對策略。
物聯網在連接越來越多的設備、系統、流程和建築物的同時,也增加了網絡攻擊的風險。
IT向左?OT向右?
隨着物聯網連接設備數量增加,再加上 IT/OT 系統融合,IT 和 OT 團隊必須在網絡安全管理方面緊密合作,以確保所有攻擊面都得到保護,且雙方團隊能夠在相互協調的基礎上,對任何網絡安全漏洞或攻擊快速作出響應。
但是,由於雙方在職責、經驗等方面存在差異,展開協作對雙方而言可能是一項挑戰。
· IT 和 OT 團隊在網絡安全方面的工作重點經常重疊,但並非所有的關注重點都完全一致。例如,一項工業物聯網調查顯示:“IT 團隊最關注數據保護、防止財務損失和遵守行業法規;而 OT 團隊則強調可靠性、可用性、效率和生產方面的提升,組織內部的安全性,以及設備和系統的保護。”
· 同時,IT 部門擁有網絡安全領域的專業知識,然而IT 團隊通常並不具備 OT 系統(如配電)方面的任何經驗。同樣,OT團隊雖然擁有電力方面的專業知識,卻常常缺乏或沒有網絡安全方面的經驗。
· IT和 OT 團隊在安全優先級方面也存在差異:IT 團隊的工作重點通常是確保保密性、完整性和可用性,從而保障系統的安全性。OT 團隊主要致力於確保安全性、可靠性和保密性,從而保持運營正常進行。
IT和OT 團隊在職責和專業知識方面的差異
IEC 62443 標準優化IT 和 OT 合作,應對網絡安全風險
由國際標準化協會(ISA) 和國際電工委員會 (IEC) 聯合制定的 IEC 62443 提供了一系列標準,旨在“滿足需求,即通過設計使工業自動化控制系統(IACS) 具備網絡安全魯棒性和彈性,在儘可能廣泛的意義上應用,涵蓋所有類型的工廠、設施和系統、硬件和軟件系統,例如 DCS、PLC、SCADA、聯網電子傳感及監視和診斷系統。”而利用物聯網實現對配電系統的監視和控制可被納入這一寬泛的範疇,因此,該標準是適用的。
IEC 62443 標準已得到許多國家和地區的認可,並被包括施耐德電氣在內的許多組織採用。該標準通過制定網絡安全的七大支柱和四個標準化安全級別,IEC 62443 標準為IT 和 OT 團隊展開協作奠定了基礎,為兩個團隊之間的合作架設了“橋樑”。
IEC 62443 標準基於上述工作重點,制定了以下 七項基本要求,以保護支持物聯網的 OT 系統:
1. 訪問控制:在激活與某一組件的通信前,驗證請求訪問該組件的任何用户的身份,從而保護該組件。
2. 使用控制:在允許用户執行操作前,驗證用户已獲得必要的授權,從而防止對組件資源進行未經授權的操作。
3. 數據完整性:確保組件在運營狀態和停運狀態(例如,能源生產和存儲期間,或維護停機期間)均能按預期運行。
4. 數據保密性:無論是處於靜止狀態還是在傳輸過程中,組件生成的機密或敏感信息均受到保護。
5. 限制數據流:確保設備連接到分段網絡,並在分段網絡中定義斷開策略、單向網關、防火牆和隔離區,以避免不必要的數據流。
6. 及時響應入侵事件:在任務關鍵型或安全關鍵型場景中發現入侵事件時,通知有關部門,上報與此次入侵事件相關的必要證據,並採取及時的補救措施,以應對網絡安全事件。
7. 資源可用性:確保應用程序或設備的可用性不會降低,也不會無法提供基本服務。
四個標準化安全級別:組織必須對照這七項要求,逐項定義其所需的安全級別。安全級別越高,就越能更好地抵禦更為複雜的攻擊。安全級別定義了在設備層面及整個 OT(例如配電)系統中所嵌入的網絡安全功能。提高設備和系統的魯棒性可使其對網絡威脅更具抵抗力:
IEC 62443 標準所定義的四個網絡安全級別
對於電氣系統設計人員及其客户而言,確定應具備哪些網絡安全功能可能是一個複雜而繁瑣的過程。IEC 62443 允許最終用户為設施的配電系統和組件指定可確保網絡安全合規性的目標安全等級,從而簡化了該過程。系統設計師、設施所有者和管理人員應在 IEC 62443 標準的指導下,實施諸多重要步驟,以確保其互聯配電系統(包括網絡、控制和安全系統解決方案)儘可能安全。
未雨綢繆,強化電網系統的網絡安全防護
在中國,從國家到電力行業,電網系統的網絡安全防護一直是重中之重。為深入貫徹網絡強國戰略,全面落實網絡安全工作,國家能源局早在2018年就印發《關於加強電力行業網絡安全工作的指導意見》,從電力行業全局的角度指導、推進網絡安全工作。新基建浪潮下,兩大電網公司在加快數字化轉型步伐的同時,也不斷強化電網的網絡安全防護。施耐德電氣積極參與網絡信息安全建設,已經成為多個聯盟的成員,其中包括工業信息安全產業發展聯盟、中國網絡安全產業聯盟、和工業控制系統信息安全產業聯盟等。
在全球,作為《網絡安全技術協議》(Cybersecurity Tech Accord)的成員企業,施耐德電氣一直與各國政府、客户和合作夥伴密切協作,應對網絡安全風險和挑戰。施耐德電氣及其合作伙伴曾多次在數字化創新項目上攜手努力,確保網絡安全措施在從邊緣計算到雲的每個開發階段都得到深入貫徹。在電網領域,施耐德電氣通過全面的網絡安全性確保客户的業務連續性。增強從傳感器級別到應用程序級別的網絡安全性,包括人員、流程和組織等。