国产亚洲精品一本四区91_亚洲欧洲日韩三级_亚洲成人中文字幕在线观看_97精品国产亚洲_国产免费无码视频_日韩毛片电影在线观看_福利在线播放欧美_成人精品1区二区视频_2020精品国产无圣光_无码办公室丝袜ol中文字幕

有效的網(wǎng)絡(luò)security管理對任何公司而言都是重中之重。有諸多網(wǎng)絡(luò)security管理標(biāo)準(zhǔn)和指南可供參考。本文將從一些權(quán)威準(zhǔn)則和標(biāo)準(zhǔn)出發(fā)，介紹可以借鑒的具體方法，指導(dǎo)公司為工業(yè)控制系統(tǒng) (ICS) 建立security壁壘。在搭建網(wǎng)絡(luò)時采取深度防御措施，選擇值得信任的供應(yīng)商并應(yīng)用 “security始于設(shè)計(jì)” 解決方案，都有助于簡化ICS網(wǎng)絡(luò)security決策過程。
網(wǎng)絡(luò)security管理系統(tǒng)的關(guān)鍵要素
IEC 62443 標(biāo)準(zhǔn)是一系列完善的工業(yè)標(biāo)準(zhǔn)，旨在為ICS系統(tǒng)security提供全方位保障。為了解網(wǎng)絡(luò)security管理系統(tǒng) (CSMS) 的關(guān)鍵要素，我們可以深入研究這一標(biāo)準(zhǔn)。不過，雖然該標(biāo)準(zhǔn)為各類現(xiàn)場應(yīng)用的資產(chǎn)所有者、供應(yīng)鏈管理者和產(chǎn)品開發(fā)團(tuán)隊(duì)提供了大量信息，想要從中提煉出切實(shí)可行的行動方案用于企業(yè) ICS 網(wǎng)絡(luò)security管理系統(tǒng)建設(shè)卻并非易事。以下是我們從 IEC 62443 中總結(jié)出的 CSMS 部署要點(diǎn)。
 

從 IEC 62443 標(biāo)準(zhǔn)中可以看出，資產(chǎn)所有者、系統(tǒng)集成商和產(chǎn)品供應(yīng)商在網(wǎng)絡(luò)security管理系統(tǒng)中發(fā)揮關(guān)鍵作用（見圖1）。IEC 62443 標(biāo)準(zhǔn)特別強(qiáng)調(diào)，資產(chǎn)所有者應(yīng)根據(jù)公司的風(fēng)險(xiǎn)承受度分析、構(gòu)建、監(jiān)控、提升網(wǎng)絡(luò)security管理系統(tǒng)抵御風(fēng)險(xiǎn)的能力。此外，IEC 62443 標(biāo)準(zhǔn)建議隨產(chǎn)品生命周期不斷提升security保障，從而將解決方案提供商和系統(tǒng)集成商提供的產(chǎn)品和系統(tǒng)的security等級維持在公司可接受的范圍內(nèi)。 

根據(jù)上述兩條基本原則，建議采取下列具體行動：
? 搭建網(wǎng)絡(luò)時采取深度防御措施。
? 選擇有持續(xù)產(chǎn)品security風(fēng)險(xiǎn)管理和維護(hù)的“security始于設(shè)計(jì)” 解決方案供應(yīng)商，解決方案應(yīng)包括售后服務(wù)和完善的security響應(yīng)流程。
遵循這兩條原則有助于保護(hù)設(shè)備免受security漏洞的影響，幫助您更好地管理security風(fēng)險(xiǎn)。
構(gòu)建深度防御網(wǎng)絡(luò)
ICS 常見的security短板之一便是使用扁平網(wǎng)絡(luò)，即使沒有必要也允許網(wǎng)絡(luò)上的所有設(shè)備相互通訊。扁平網(wǎng)絡(luò)結(jié)構(gòu)意味著網(wǎng)絡(luò)上的信息無法受到嚴(yán)格控制，威脅容易擴(kuò)散且影響通訊質(zhì)量。
資產(chǎn)管理者可以借用深度防御這一基本原則來搭建網(wǎng)絡(luò)。深度防御指的是部署多級或多層防御來阻止入侵者前進(jìn)。同理，深度防御網(wǎng)絡(luò)被分成多個區(qū)域和線路，再根據(jù)每個區(qū)域或線路可能出現(xiàn)的風(fēng)險(xiǎn)劃分security等級。
產(chǎn)security等級
深度防御策略的要點(diǎn)之一是為各網(wǎng)絡(luò)區(qū)域和所涉設(shè)備制定防范措施。IEC 62443 標(biāo)準(zhǔn)介紹了可用于區(qū)域、線路、信道和設(shè)備的security等級。首先應(yīng)研究特定設(shè)備，隨后根據(jù)它在系統(tǒng)中的位置判定security等級 (SL)。設(shè)備可被劃分至四個security等級。IEC 62443 標(biāo)準(zhǔn)還提到了 “security等級0”，但這一等級很少被用于風(fēng)險(xiǎn)評估。
? security等級1 (SL1) - 偶然暴露
? security等級2 (SL2) - 借助較少資源發(fā)動的有意攻擊
? security等級3 (SL3) - 借助中等資源發(fā)動的有意攻擊
? security等級4 (SL4) - 借助大量資源發(fā)動的有意攻擊
平衡風(fēng)險(xiǎn)與成本
確定了某個區(qū)域所需的security等級后，需要分析該區(qū)域內(nèi)的設(shè)備是否滿足相應(yīng)的security級別。如未滿足，就有必要采取對策，幫助設(shè)備達(dá)到所需的security等級。這些對策可以是如防火墻一樣的技術(shù)性方案，也可以是策略和流程等管理層面的方案，或者像給門上鎖一樣，采取物理方法。
需要注意的是，并不是每個區(qū)域、線路或設(shè)備都需要達(dá)到 4 級security。資產(chǎn)所有者或系統(tǒng)集成商需要進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析，確定系統(tǒng)中每個區(qū)域和線路的適當(dāng)風(fēng)險(xiǎn)等級。換句話說，資產(chǎn)所有者和系統(tǒng)集成商需要考慮風(fēng)險(xiǎn)和成本的內(nèi)在平衡。
選擇security加固型組件設(shè)備
security等級的概念也適用于構(gòu)建系統(tǒng)的組件設(shè)備上。事實(shí)上，IEC 62443-4-2 標(biāo)準(zhǔn)特意為以下四種類型的組件設(shè)備明確了security要求：
1.軟件應(yīng)用
2.嵌入式設(shè)備
3.主機(jī)設(shè)備
4.網(wǎng)絡(luò)設(shè)備
對于每一種類型的組件，IEC 62443-4-2 標(biāo)準(zhǔn)還明確了七個基本要求：
1.識別和認(rèn)證
2.使用控制
3.系統(tǒng)完整性
4.數(shù)據(jù)保密性
5.數(shù)據(jù)流限制
6.及時響應(yīng)突發(fā)事件
7.資源可用性
目前，Bureau Veritas 和 ISA Secure 等實(shí)驗(yàn)室可以對產(chǎn)品進(jìn)行認(rèn)證，確保它們符合 IEC 62443-4-2 的要求。這些實(shí)驗(yàn)室可以幫助資產(chǎn)所有者簡化選擇過程。您需要做的就是確定所需的security等級，并選擇滿足該要求的認(rèn)證產(chǎn)品。

這種在組件層面的security保證也稱為加固，也屬于深度防御策略，可為系統(tǒng)再增添一層保護(hù)。

除了選擇security加固設(shè)備，資產(chǎn)所有者還需要注意供應(yīng)鏈的具體管理舉措。事實(shí)上，售后支持和漏洞應(yīng)對與設(shè)備的設(shè)計(jì)和制造同樣重要。這是因?yàn)闃?gòu)建網(wǎng)絡(luò)security管理系統(tǒng)的組件通常由不同供應(yīng)商提供。如果一個供應(yīng)商的設(shè)備存在security隱患，那么您的其他設(shè)備甚至整個系統(tǒng)都有可能遭到破壞。因此，除了要注意設(shè)備層面的security性，您還需要選擇可以在整個產(chǎn)品生命周期中保證security性的供應(yīng)商，確保他們可以提供售后支持、質(zhì)量控制、性能驗(yàn)證和漏洞響應(yīng)等服務(wù)。
換言之，“security始于設(shè)計(jì)” 理念需要貫穿整個產(chǎn)品生命周期。IEC 62443 標(biāo)準(zhǔn)甚至專門編制了一個特定小節(jié)——IEC62443-4-1，提出明確要求，確?！皊ecurity始于設(shè)計(jì)”理念貫穿設(shè)備從制造、維護(hù)到停用整個生命周期，其中包括提供補(bǔ)丁管理、政策、流程、已知漏洞security通告等必要支持。與 IEC62443-4-2標(biāo)準(zhǔn)的產(chǎn)品認(rèn)證類似，也有途徑證明解決方案提供商遵循良好的security管理做法，并遵循IEC62443-4-1標(biāo)準(zhǔn)中的具體要求，切實(shí)簡化了資產(chǎn)所有者的決策過程。
此外，選擇值得信賴的供應(yīng)商有助于確保您的供應(yīng)鏈在新的威脅和漏洞出現(xiàn)時也能得到保護(hù)。因?yàn)檫@些供應(yīng)商會積極保護(hù)其產(chǎn)品免受security漏洞影響，并通過專門的響應(yīng)團(tuán)隊(duì)幫助客戶管理這些風(fēng)險(xiǎn)。Moxa 就建立了網(wǎng)絡(luò)security響應(yīng)團(tuán)隊(duì) (CSRT) 來服務(wù)客戶。

上一篇：從邊緣到云端建立安全遠(yuǎn)程訪問通道

下一篇：工程車輛遠(yuǎn)程監(jiān)控解決方案