安全与安防:必须两者兼顾

安全与安防:必须两者兼顾

在关于工业物联网 (IIoT) 的多数对话中,安全与安防围绕两个独立的主题展开:即保护人员与设备的智能机器或过程安全,以及工业控制系统安防。这些对话意义非常重大。但是,太多的工业公司不太注重常见安防风险的内在安全影响。

土耳其境内的输油管道在黑客操纵下发生爆炸,导致 30,000 桶石油泄漏,网络攻击者使现有安全系统完全失效,关闭警报并切断通信,并向管道中的原油施加了超大压力。

一家地区性供水商也经历了一起网络安防入侵事件,不仅损坏了客户数据,还导致了不明原因的阀门和管道移位,包括非法操纵管理水处理和公共安全的 PLC

Safety through Security: Protecting People, the Environment and Critical Infrastructure against Industrial Security Threats.

在工业生产中,安全与安防程序紧密相关。

我们有很多客户将工业物联网技术用于远程访问生产机器,实现对泵站的无线访问或将车间设备连接至 IT 基础设施。这就是未来趋势。这也是他们实现资产高效利用、加快上市速度和降低总拥有成本的秘诀。但是,更广泛的连接性也会增加影响安全的安防风险。优化企业风险管理在这里显得尤为重要。

结合安全与安防工作

安全和安防从传统意义上来说是独立的概念,但两者在用于分析和缓解风险的途径上存在共同点。例如,访问控制的概念对于安全和安防是通用的。在两种情况下,政策和规程都是基于商业惯例、风险管理方法、应用要求和工业标准创建。

若要降低安防安全事故概率,制造商和工业运营商需要以这种方式重新思考安全问题。他们尤其要着手思考安全与安防之间的相互关系。它会在三个重要方面产生最大的影响:

  1. 行为:除了帮助保护知识产权、过程和实物资产,安防人员还必须将保护安全系统作为其所有工作的核心价值。EHS 之间的协作程度越高,运营和 IT 团队就越显得重要。例如,这三个团队应通力合作以制定安全与安防的联合管理目标,并识别车间系统的关键安全数据要求。由于强大的安全文化会涉及到每个员工,全公司都需要理解安防与安全之间的关系。
  2. 规程:合规性工作应符合安全标准中的安防要求,例如 IEC 61508 61511。反之,安防工作应遵循一种深度防御策略,并解决企业组织各级与安全相关的安防风险。IEC 62443 (“工业自动化与控制系统安防”) 标准系列 (前身是 ISA99) 以及其他标准均推荐深度防御策略。
  3. 技术:所有安全技术应内置安防特性。他们还应使用能预防安全系统受到破坏,同时能在破坏发生时快速恢复的安防技术。

风险缓解

的确,具有安全影响的潜在安防威胁数量非常大。因此,任何缓解公司安防相关安全风险的工作都必须从了解公司最薄弱的环节入手。

要完成这项工作,应执行独立的安全与安防风险评估、然后对比各项报告以检验安防对安全影响较大的方面。这样一来,您便可圆满解决自身独有的一系列风险。

我们总结了几项制造商和工业运营商应执行的关键缓解措施,具体可参见白皮书中的通过安防实现安全:保护人员、环境和关键基础设施免受工业安防威胁部分。

数字化革命的理念为我们的客户带来了生产智能,能够衡量和改进其运营中几乎每个方面。它还能在整个组织中实现即时信息共享和无缝协作。

面对所有这些机遇,更多的连接点也带来更多的安防威胁突破口。您必须考虑并解决网络安防威胁对运营相关人员、基础设施和环境造成的影响。工业物联网不仅带来了机遇和风险,还能全方位整合安全与安防程序,从而优化运营水平。

Lee Lane
发布 2017-十二月-11 作者 Lee Lane, Chief Product Security Officer, Rockwell Automation

博客

作为工业自动化、动力、过程控制和信息解决方案的全球供应商,我们愿帮您了解您所在行业的最新发展动态,助您在未来取得成功。此博客不仅是我们的员工与客座博主之间分享技术和探讨行业相关主题的平台,同时还为您提供了参与讨论并分享您的见解的机会。