China 选择您的所在地
动力,因我们而不同*
产品
服务
市场
支持
公司
MyEaton
快速链接

  • 网络安全:使用全球标准验证互联产品的重要性

网络安全

全球网络安全标准和一致性评估方案可以如何节省停机时间并减少收入损失

Max Wandera,产品网络安全研发中心总监, 31/10/2019

在连接无处不在的世界中,可信的设备是安全网络环境的支柱。但是,随着越来越多的制造商和行业构建和部署智能工业物联网 (IIoT) 设备,提供必要操作的系统安全性变得更加重要,也更加难以管理。造成这些复杂性的部分原因是缺乏全球普遍认可的用于验证互联产品的网络安全标准和一致性评估方案。

目前,世界各国在制定要求时,都没有考虑全球一致性的问题。这种一致性上的差距使得制造商难以确定他们应该制定和遵守的标准,特别是在世界各地制造和销售产品时。因此,我认为行业合作伙伴和标准机构必须采取积极措施,将对工业互联网生态系统安全性的期望和优秀实践编纂成文。这将有助于确保安全性始终构建在产品中,并最终为公司节省数十亿美元的系统设计和网络攻击恢复成本。

企业所面临的安全性现状

随着工业物联网设备不断集成到传统系统和解决方案中,关键基础设施和其他工业控制系统网络变得更容易受到网络攻击,而这些攻击也越来越难以避免。如今,网络安全犯罪造成的总体损失估计为 6,000 亿美元1,占全球 GDP 的 0.8%。近年来的几起事件表现为一系列严重的安全漏洞,已引起了全球关注,包括 2015 年使乌克兰电网崩溃的恶意软件“Industroyer”或“Crash Override”,以及 2016 年的大规模 Mirai 僵尸网络攻击,这使得物联网安全摄像头和路由器受到威胁,从而引发了几次分布式拒绝服务攻击。

网络犯罪在全球造成的损失
6千亿美元
网络犯罪在全球造成的损失
网络犯罪带来的损失占全球 GDP 的总比例
0.8
%
网络犯罪带来的损失占全球 GDP 的总比例
2014 年至 2018 年间网络犯罪所造成美元损失的增长率
34.8
%
2014 年至 2018 年间网络犯罪所造成美元损失的增长率
由于此类攻击的规模和对系统的影响程度,它们通常比许多前工业物联网时期的网络攻击更复杂、更具破坏性。而且,它们也更难以防范。虽然政府和制造商确实发出网络防御警告并建议进行系统更新,但其效果取决于各家企业是否注意并遵循详细的指示。尽管政府机构和制造商发布的建议通常是及时的,但系统更新程序可能会慢、无效和繁冗。很多时候,公司会受困于不支持联机状态下系统更新的系统架构。让这些关键系统脱机完成更新将导致生产力和收入损失;大多数情况下,网络安全更新必须按照年度维护计划进行安排或调整。 

确保互连生态系统安全的挑战和潜在解决方案

工业物联网技术的特点带来了技术和经济上的挑战。从技术角度看,工业物联网设备的计算和存储能力有限;它们不是为支持高级加密或漏洞修补等有效安全措施而设计的。要解决这一挑战,需要开发轻量化加密算法和业务模型,以便更及时地升级工业物联网产品,并设计出支持固件无线升级的系统。在我看来,一个网络或系统的安全性只取决于它的薄弱环节。企业应采用基本的网络安全习惯并不断分析新出现的威胁,以确保安全地部署系统。此外,公司应盘点与其网络连接的内容,并采用零信任模式。这需要与值得信赖的供应商建立合作伙伴关系并通过协作来识别威胁。 

一个网络或系统的安全性只取决于它的薄弱环节。企业应采用基本的网络安全习惯并不断分析新出现的威胁,以确保安全地部署系统。
Max Wandera , 伊顿网络安全研发中心总监
保护工业物联网生态系统的经济挑战源于复杂的制造供应链,以及一旦发现系统漏洞,在制造商和系统集成商之间分辨该由谁承担责任的难度颇高。大多数产品和系统组件由不同供应商供应。如果没有全球一致性评估方案来确保集成的部件不存在漏洞,信任又该从何谈起? 在全球范围内制定一套经过验证的通用产品规范(类似于我们已经制定的安全性评估要求),就是一个很好的起点。责任难题的可能解决方案包括对工业物联网设备部件进行第三方一致性评估,以及对网络中部署的工业物联网技术进行定期盘点,以确保只安装信任的设备。 

缺乏通用的全球网络安全合规标准

虽然我提到的解决方案是可行的,但缺少针对工业物联网安全的统一全球产品标准会显著影响这些方案的采纳和部署速度。全球各实体的网络安全标准、准则和法规不一致,使得要求制造商之间在通用工业物联网系统级网络安全要求方面很难达成一致。许多国家、地区和地方政府都针对工业物联网设备和关键基础设施制定了自己的网络安全优秀实践和标准,从而导致缺乏一致性。在许多情况下,这些政府机构缺乏必要的专门知识,无法应对工业物联网设备及其应用的复杂性。

此外,随着政府已开始以非常不同且有时相互冲突的方式监管工业物联网技术,网络安全标准和要求会因地区和国家差异而不同。 这给试图为全球市场构建和部署服务的制造商和系统集成商带来了挑战。

工业物联网的全球行业标准和快速跟踪一致性评估方案

行业和标准机构必须支持适当的一致性评估方案,以帮助验证产品和系统的全球通用规范,从而解决不同国家和地区遵守多项规范的复杂性。

我强烈地感觉到,标准机构可以在制定全球工业物联网网络安全标准方面发挥主导作用,包括适当的一致性评估方案。全球标准也将为企业和相关学术机构之间搭建桥梁;这将有助于构建更强大的人才库,以解决网络安全特别是工业物联网领域的技术人才短缺问题。 

我强烈地感觉到,标准机构可以在制定全球工业物联网网络安全标准方面发挥主导作用,包括适当的一致性评估方案。 

Max Wandera, 伊顿网络安全研发中心总监

行业现在可以做什么

我们面临的挑战是,通过教育,使工业物联网的制造商、供应商和消费者了解不安全的产品和解决方案所带来的风险,在标准机构之间开展更多对话。虽然我认为标准机构可以帮助指导网络安全上的讨论,但网络安全需要协作完成,而协作需要时间,尤其是在对技术进步反应较慢的领域。

随着各行业逐渐开始推进网络安全,企业所有者和管理者现在可以采取措施降低系统和网络中的网络安全风险: 

将网络安全集成到产品设计和开发中 

安全是一个持续的过程。产品复杂性、威胁情形和技术不断发展,因此,在产品开发生命周期的每个阶段——从威胁情形建模到需求分析、验证和持续维护,都必须要有适当的协议。这些程序可帮助企业发现新出现的威胁,找出防御这些威胁的方法,并帮助客户尽可能地提高效率、可靠性和安全性。伊顿的安全开发生命周期 (SDLC) 流程 就是一个很好的例子,它是一个在产品开发的每个阶段都集成了安全性的模型。  

在网络上应用基本网络安全习惯

基本网络安全习惯确保按时更新系统并了解网络上所连接的所有内容。这应包括实体和数据资产,在发现漏洞时应用修补程序,执行强大的访问控制策略,确保持续性的系统监控日志以识别是否存在异常行为。企业还应根据对每个安全修补程序执行的风险级别评估,安排一系列网络安全更新。

与经验丰富的第三方组织合作

在产品开发的每个阶段制定严格的程序有助于为联网的产品和系统制定可衡量的网络安全标准。与受信任的第三方建立合作伙伴关系可以帮助企业加强在网络安全方面的实践,因为这些机构通常会在国际社会中制定广受认可的准则。伊顿与 UL 的合作 形成了一个常态工作模式,我们现在使用智能或嵌入式逻辑来测试产品是否符合 UL 2900-1 和 IEC 62443 标准的关键条目,这些标准要求具备针对漏洞、软件弱点和恶意软件的强制性测试协议。

现在,是时候行动了

制造商再也承担不起在不同的安全标准下运营的风险了。网络犯罪分子及其使用的技术不断发展,标准各异,缺乏应对新威胁所需的一致性。

现在是时候推动对跨行业网络安全进行全球一致性评估了。全球的行业和标准机构必须加快对话,以应对当今的网络安全挑战,并跟上不断变化的技术步伐,以免为时过晚。

参考文献

1、2 - Lau、Lynette(2018 年 2 月)。去年的网络犯罪“大流行”可能给世界带来了 6,000 亿美元的损失。 检索自:https://www.csis.org/analysis/economic-impact-cybercrime

伊顿是一家智能动力管理公司,致力于改善世界各地用户的生活质量并保护环境。我们信守承诺,正当经营,可持续运营,并在当前和将来帮助我们的客户管理动力。通过有效利用电气化和数字化在全球范围内的增长趋势,我们正在促进全球向使用可再生能源转型,为解决世界上最紧迫的动力管理挑战提供帮助。
公司
快速链接
© 2024 伊顿 版权所有