隨著新技術及更多連網設備湧現,網路設備的角色更顯重要,製造商有責任依法規和標準確保安全可靠的設備連網,也保障資料的可存取性、完整性和安全性。IEC 62443是產業最普遍採用的標準之一,協助工業自動化(IA)和控制系統(IACS)針對不同網路區域部署安全網路防護架構,亦為執行自動化控制和不同網路職責人員提供行動指南。
全球供應鏈持續處於不穩定狀態,企業紛紛部署新網路技術以確保彈性營運和加速數位轉型保持競爭優勢。然而,這將為連網設備帶來新的網路安全風險,根據IDC 2022年全球IT/OT多網融合趨勢預測,到了2025年有三成G2000製造商將在產品中嵌入連網技術以提高可靠性。
隨著新技術及更多連網設備湧現,網路設備的角色更顯重要,製造商有責任依法規和標準確保安全可靠的設備連網,也保障資料的可存取性、完整性和安全性。IEC 62443是產業最普遍採用的標準之一,協助工業自動化(IA)和控制系統(IACS)針對不同網路區域部署安全網路防護架構,亦為執行自動化控制和不同網路職責人員提供行動指南。
其標準架構有四大部分,包含:通論(標準的概論與介紹);政策和程序(IA及IACS安全相關政策與程序之規劃說明,以規範資產擁有者和業主);系統(IA及IACS系統的安全技術、風險評鑑、規範與等級說明,以規範系統整合商);元件(定義與規範如何開發IA及IACS相關安全產品及規格,以規範產品、元件供應商)。系統整合商現在更會要求設備供應商須符合標準中與其設備相關之規範。
通常加強網路安全首要是風險評估,再來是制定應對的安全政策和安全防護管理流程,令設備安全狀態清晰可見;為了有效實施這些安全政策,有必要部署網路縱深防禦架構,並與內建安全防護功能之設備相互作用,可為網路提供垂直與水平的多維度防護。
組織在遵循IEC 62443等標準建構安全政策和管理流程前,應確定操作/安全防護流程可能存在的風險與其相依性,進而制定應變措施。確認安全政策和管理系統後,部署網路可視化軟體以查看安全狀態的最新資訊。而網路管理者亦應針對各網路區域和管道重要性區分安全等級來建構縱深防禦架構,將風險降至可接受程度,並透過工業安全路由器、VPN及專為工業自動化打造的遠端連線解決方案,實體或邏輯隔離來實現縱深防禦。
存取控制清單等功能也可將網路分段,以符合特定安全等級要求。欲進一步降低風險,可部署工業入侵偵測防禦系統(IDS/IPS)保護重要基礎設施。而網路設備內建安全防護功能可與縱深防禦架構及安全管理系統相輔相成,確保達到預期的安全等級。
隨著系統整合商開始嚴格要求設備供應商遵循IEC 62443-4-2規範,其重要性可見一斑,其中涵蓋帳號、識別碼和驗證器管理、基於密碼的驗證、公開金鑰驗證、使用控制、資料完整性和保密性及維持資源可用性的備份等基本要求。若設備供應商遵循IEC 62443-4-2為設備添加某些特性功能,以利部署在IIoT網路中;網路管理者則有責任應用這些特性,並確保有權限存取網路的人都熟知IEC 62443-4-2準則與程序,以打造滴水不漏的網路安全。
<本文作者:Felipe Sabino Costa現為四零四科技工業網路安全專家>