在工业自动化和控制网络中实现安全，第二部分

阅读本文的第一部分

ISA-99标准为工业自动化和控制系统（IACS）提供了一个安全框架。

本文的第一部分讨论了网络安全技术，如网络分段、基于角色的控制和安全密钥的固件级实现。在第二部分中，我们回顾了ISA-99，一个为工业自动化和控制系统（IACS）设计的安全标准。

联网可以为工业系统带来巨大的好处，包括简化维护、加强故障排除，以及提供可增强过程控制和供应链管理的数据。然而，这些能力是有代价的。将车间连接到更大的网络不仅会使车间网络面临风险，而且最终会使整个企业容易受到攻击。对工业自动化和控制系统（IACS）脆弱性的日益关注导致了ISA-99标准的制定。

安全的目标是将风险降至最低。我们可以将风险定义为威胁、脆弱性和后果的产物。考虑到可用的安全软件数量，避免风险应该很简单，但在工业应用中，这可能是一个挑战。部分问题在于工业网络的目标与通用计算机系统的目标有很大不同。对于通用IT系统，保密性是第一优先事项，其次是完整性和可用性。工业网络的优先级正好相反：可用性是最重要的，其次是完整性，然后是保密性。因此，通常的工具可能无法工作。ISA99委员会联合主席吉姆·吉尔辛（Jim Gilsinn）表示：“将通用It实践（应用于工业系统）更加困难，因此你必须找出哪些方法能够满足预期的精神。”我们在ISA99中真正要强调的一点是，安全性和总体性能要求在很多时候都胜过安全性。您需要做的是补偿控制，或者至少了解系统的局限性。”

ISA-99提供了从组件级到企业级建立IACS安全性的框架。这项工作涉及多个层次的标准，从概念和模型到IACS的特定安全要求(见图1)。

与此最密切相关的标准包括:
•ISA-99.01.01-术语、概念和模型
•isa -99.02.01 -建立IACS安全程序
•isa -99.03.03 -系统安全要求和安全保证级别

前两份已公布，第三份已获委员会批准，目前正在修订，以回应收到的意见。目前正在为工作计划的其他几个要素拟订草案。

总体安全问题可以被视为包含三个主要组成部分：人员、流程和技术。ISA-99.01.01标准确立了基本语言和概念，并规定了参考体系结构和安装清单等要求。ISA-99.02.01标准主要关注制定有效安全计划的过程，并在一定程度上解决人员因素。ISA-99.03.xx和ISA-99.04.xx系列中的标准从系统级和组件级需求的角度解决了问题的技术方面。

ISA-99标准基本上从三个基本层次来看待工业或制造企业系统:车间层次，涉及利用运动控制的离散制造类型;生产运营管理，涉及协调生产活动的计算机;以及企业资源规划、供应链管理和商业分析软件等顶级系统。ISA-99只关注底层的两层。即使这样，它的范围也很广，但这对于有效保护离散制造水平是必要的。例如，如果给控制器提供指令的系统受到损害，那么机器控制器是否受到保护就无关紧要了。

ISA-99标准使用五级参考模型，该模型根据ISA-95进行了修改(见图2):

0级：受控设备
一级:安全和基本控制，例如运动控制器，plc
二级:监督控制，例如人机界面
三级:运营管理
第四级：企业系统（规划和物流）

说到安全性，一个尺寸并不适合所有尺寸。每个级别都有一系列操作特征、性能要求和漏洞。例如，智能组件可能不够智能，无法处理防病毒软件，但也可能不需要。这就是网络分段的概念n区域的形式。其思想是不能对整个网络一视同仁，因为每个元素的风险状况不同。该标准要求将数据环境划分为多个区域（见侧栏），根据操作需要、安全问题等要求，对每组元件进行不同的处理。分区之间交换的数据通过导管；通常是防火墙。

在参考模型中，0至III级代表IAC的各个级别。级别I表示具有实时操作系统和专用功能盒的设备。通常，从一级设备传递到网络其余部分的数据被认为是非事务性的，这意味着接收数据的设备不确认事务已经发生。

在HMI级别，即二级网络，可以保存数据，但数据往往在制造单元内隔离。在Linux和Windows操作系统上运行的PC通常位于第二级。第三级，即运营管理级，是各个单元开始集成在一起的地方。三级代表制造执行系统。第四级表示通信离开IAC并进入网络以与企业资源规划应用程序（如SAP）交互的点。

随着级别的增加，结构中的控制技术和安全问题也在不断发展。例如，级别0和I采用PLC、I/O块和安全系统，它往往是特定于应用程序的，而不是围绕通用操作系统构建的。在第二级，HMI可以围绕PC构建，但总体上更倾向于专注于专用控制。三级和四级系统可以采用经过改进的通用计算机，允许用户采用更传统的安全措施，只要他们小心行事。Gilsinn指出：“您必须始终注意控制的实时性、性能和安全影响，以及如果数据发生更改或系统受到破坏，可能出现错误的后果。”。

维护一级和二级安全环境是一种挑战。将其与顶层网络整合引入了完全不同级别的漏洞。根据公司的规模，顶层网络可能支持数百甚至数千用户。当他们浏览网络时，他们可能会使车间网络不必要地易受攻击。在这里，设置带导管的区域也可以最终保护车间网络。但最终，确保安全性需要与IT部门进行沟通。

ISA-99委员会联合主席埃里克·科斯曼（Eric Cosman）表示：“贯穿标准的主题之一是控制人员和IT人员之间的协作和合作。”这一切都回到了理解威胁和脆弱性的安全专家和理解后果的资产所有者之间的基本对话。威胁是最难理解的，因为它变化如此之快，所以如果你真的想了解风险，你必须让这些人相互交谈。”

部分讨论需要集中在IACS性能的一个主要优先事项上。ISA-99的基本原则之一是安全性不应对性能产生不利影响，至少不应过度。当然，总会有一定程度的影响，但协作将有助于达成平衡。重要的是从一开始就解决这个问题。“安全性不是你可以在事后再加上的东西，因为当你这样做时，你会面临影响性能的风险，因为[安全措施]是由那些不了解他们试图保护的基本流程的人强制执行的，埃里克·科斯曼说。例如，来自企业IT部门的一项指令，即所有电脑都必须有病毒防护，这可能会导致生产车间不必要地关闭，纯粹是因为缺乏了解。Cosman说：“一台机器运行时可能会承受如此严格的容差，以至于额外的防病毒保护延迟会导致它失败，但你猜怎么着，如果我们设置了补偿控制，它可能不需要病毒保护。”这些补偿控制措施之一可能是，我们将隔离组件，使它们感染病毒的可能性微乎其微。现在我们不必担心这些组件中的病毒防护。”

为了简化开发安全的过程，委员会目前正在编写一份文件，概述如何将这些标准结合在一起。“我们的想法之一就是想出一个文档,列出了人们如何在不同级别的食物链可能需要看这个文档系列和解决的一些基本概念,比如安全保障水平和他们如何从政策和程序技术实现,“Gilsinn说。“你的安全系统需要什么?”一旦你的安全系统就位，你如何评估它，以确定它是否满足你的需要?该文件旨在让终端用户了解一份文件如何与另一份文件协同工作，并让集成商或供应商更好地了解他们的设备如何符合希望实施该标准的终端用户的要求。”

说到供应商，该标准最终将制定供应商认证指南，不仅从供应商自身及其安全程序的角度，而且从设备层面。“我们有一个与Microsoft安全开发生命周期非常相似的标准，”Gilsinn说。生命周期模型包括评估阶段、开发和实施阶段以及维护阶段。

归根结底，安全问题又回到了优先事项清单上：可用性和完整性，其次是保密性。保护工业网络及其控制的设备需要在安全性和性能之间取得平衡。随着ISA-99标准的实施，找到这种平衡并保护系统一年比一年容易。

想更密切地监控标准工作，甚至参与其中吗？加入委员会-这是免费的，你会得到所有会议和进展的更新。

阅读本文的第一部分