工业物联网安全风险类别

2021-08-11 09:42:38
工业互联网俱乐部
工业互联网俱乐部
文章摘要: 安全措施必须保护工业物联网数据和设备功能,并管理使用工业物联网设备的劳动力。采取的一些措施包括工业物联网安全控制设置文档、政策和程序、设备安全使用培训或执行工业物联网风险评估。

许多垂直行业已经采用了工业物联网,但这并不意味着他们的部署是安全的。工业物联网向传统IT系统引入了具有不同威胁向量和相关风险的各种运营技术(OT)架构。许多风险已经存在了几十年,并且已经进入快速发展的工业物联网的领域。

工业物联网设备和相关技术给企业带来的常见安全风险可以分为三类:管理和运营风险、技术风险、物理风险。

1管理和运营风险

缺乏全面的工业物联网安全风险管理计划会使企业的业务安全性变得脆弱。该计划必须包括安全政策、程序和定期培训,以在可能的情况下识别、管理和消除网络安全风险。人为造成的事故和错误可能会造成安全漏洞,例如滥用或错误安装工业物联网设备,以及使用遗留系统。怀有恶意的企业内部人员和外部人员也将工业物联网设备作为破坏目标。工业物联网设备和系统制造商可能会倒闭、消失或停止支持,而企业却仍在使用他们的工业物联网技术。这可能会使用于关键场景的工业物联网设备存在一些被攻击利用的漏洞。

2遵循推荐的工业物联网安全实践

企业还应建立数据安全控制。他们必须保护由工业物联网技术收集、处理、存储、传输的所有数据的机密性、完整性和可用性。部署中缺乏数据完整性和不一致是工业物联网的固有风险。每个实施工业物联网设备的企业都必须具有以下领域的安全功能:管理和运营安全控制。这些是确保工业物联网部署安全所必需的基于人员的行动。控制措施包括管理设备的选择、开发、实施和维护所需的行动。

安全措施必须保护工业物联网数据和设备功能,并管理使用工业物联网设备的劳动力。采取的一些措施包括工业物联网安全控制设置文档、政策和程序、设备安全使用培训或执行工业物联网风险评估。

技术安全。这些是确保有效的工业物联网安全和保护作为工业物联网系统一部分的技术元素(例如云计算服务或供应链)所必需的基于技术的组件。这包括使用多因素身份验证、加密、安全启动和设备识别技术进行工业物联网设备身份验证等控制。

3 IT管理员的特定工业物联网安全问题

IT管理员需要将工业物联网设备、控制器和支持系统纳入其整体网络管理计划。这包括测试和风险管理活动、风险评估、漏洞评估、渗透测试、备份和恢复、所有使用工业物联网设备的人员的安全培训,以及全面安全计划所需的其他安全活动。

IT管理员需要确保实施并遵循基本的安全实践。用于改进关键基础设施网络安全的NIST框架1.1版,通常称为网络安全框架(CSF),已被全球各行各业的大部分组织使用。企业还可以考虑其他框架,例如ISO、工业互联网联盟的工业互联网安全框架或ISA99工业自动化和控制系统安全。

信息化软件服务网 - 助力数字中国建设 | 责编:夏丽
文明上网,理性发言!请遵守新闻评论服务协议
评论