在您的控制系統網路中,最關鍵的資訊是什麼?若您像我遇到的大多數生命科學OT/IT專業人士一樣,您甚至可以在我問完問題之前就給出答案。
在許多方面識別關鍵系統資料─並認知保護它的必要性─是很簡單的部分。但設計一個既能幫助緩解網路安全風險,又能利用最新物聯網(IOT)技術的網路基礎設施就可能是一道難題。
當然,現今的生命科學公司明白串連更多企業內的資訊,以強化電子批次記錄與報告的優勢,實現進階分析與其他數位技術。
但是,在尋求更好的連接性時,他們可能會在選擇網路時,無意中引入了風險。
已發佈 2020年1月15日
您的網路基礎設施是有意為之還是無意為之?
想想看。如何讓不同的系統共享資料?
當然,實現這個目標最簡單的方法是將所有內容都放在同一個網路上。這並不罕見。
為了方便起見,組織可以決定採用扁平、未分段的網路─資訊可在這種網路下自由交換。更常見的是,未分段的網路是傳統基礎設施在未使用VLAN、防火牆及其他邊界下經年累月擴充的意外結果。
未區隔網路的問題
不管原因為何,未區隔的網路可實現輕鬆的存取與通訊─但同時也會付出嚴重的代價。
首先,扁平、未區隔的網路基礎設施會使不重要的資料及重要資料同樣面臨網路安全風險。在沒有網路邊界或存取限制的情況下,攻擊者可利用最脆弱的入口點,深入到網路或任何與其相連的地方。
首先,扁平、未區隔的網路基礎設施會使不重要的資料及重要資料同樣面臨網路安全風險。在沒有網路邊界或存取限制的情況下,攻擊者可利用最脆弱的入口點,深入到網路或任何與其相連的地方。
風險內容範圍可能包含製造及配方資訊、臨床試驗資料、定價及行銷策略。
此外,未區隔的網路通常是低效的網路。公司最初可能並沒有意識到網路效能的問題,因為網路仍然可以運作。但隨著系統的更新與新功能的增加,網路流量也會隨之增加,網路衝突及速度變慢的情況會更常發生–導致生產問題也會經常浮上檯面。
您或您認識的人是否曾遺失過資料…或系統能見度?這是常有的事。
作為縱深防禦方法的一部分,網路區隔(或將網路拆分成較小的網路)可以幫助減少不必要的廣播流量,並限縮攻擊者立即可用的流量。
在您的系統中建立區隔
在建立自動化系統時,您是否考慮過網路設計及效能呢?您如何合併網路區隔以幫助限制潛在漏洞的範圍,並提高網路效能?
根據我的經驗,大多數生命科學公司都很擅長管理他們的生產流程。但許多人只是沒有意識到他們的選擇會對網路基礎設施產生什麼影響。因此,他們可能不知道現有基礎設施中的內容範圍與流量模式,以及潛在的風險及效能限制。
系統稽核可以幫助您更了解系統中包含哪些內容、裝置如何進行通訊,以及資訊如何傳輸。首先,系統稽核將為您提供識別潛在風險與評估效能提升所需的基本資訊。
稽核完成後,根據IEC 62443標準進行風險評估是業界的最佳作法,可引導您正確地進行更好的網路設計與區隔。
IEC 62443是一系列的國際標準,提供了靈活的框架,以解決與緩解工業自動化及控制系統(IACS)中的目前及未來的安全漏洞。具體而言,IEC 62443-3-2提供了風險評估的指引。
風險評估將具體提供您目前的安全狀態,以及為了達到可接受的風險狀態,所需採取的措施。
無疑地,您會發現系統中的不同區域,有著不同的安全需求。風險評估將幫助您就實施新技術而願意承擔的風險等級–及如何對網路進行合理區隔,以實現既安全又具生產力的目標來做出合理決策。
根據您的需求,您可以選擇多種區隔方法,包括了存取控制列表、防火牆、VLAN、工業隔離區(IDMZ)和其他技術。
保護您的連線設施
請記住,網路區隔只是網路安全縱深防禦方法部分之一的實作建議。一個有效的策略包含了多層保護,範圍從例如門這樣簡單的物理安全裝置,到精密複雜的電子及程式安全措施。
有效的策略是一個持續的過程,不僅需要深思熟慮的設計,也需要積極的介入與維護。
了解洛克威爾自動化如何幫助您按照符合IEC 62443的標準設計及維護您的系統。並查看我們最新的IEC 62443證書。
為您推薦