台灣 | 中文(繁體)
台灣 | 中文(繁體)

工業資安可降低風險

有段落符號的筆記型電腦

工業資安多樣化,在多個層面發揮作用。在 OT 和生產中,工業資安的原則主要用於保護機械設備避免人為所造成的危害。此原則可保護機械設備避免網路攻擊或操縱等危害。

但是您如何發現潛在風險或攻擊機會?

工業資安風險評估

檢查生產環境的工業資安時,首要任務是進行風險評估。這揭示了機器暴露於「網路空間」所帶來的危險和風險,以及必須採取措施將其降至最低限度。

資安風險評估始終應在下列步驟中執行:

  1. 識別資產:我想要保護什麼?
  2. 分析威脅:我想要保護的資產有哪些風險?
  3. 判定相關保護目標:我想要達成哪些目標?
  4. 分析與評估風險:發生風險的可能性為何?
  5. 分析威脅向量
  6. 建立並實行資安概念
  7. 檢閱實作狀況
  8. 定期重新評估
  9. 選擇與實行保護措施:我能如何預防潛在風險?
  10. 彈性管理: 遭受攻擊後該怎麼做?如何將資安理念更紮根在公司內部?
兩位人員看著平板電腦

我們可以提供協助!

憑藉我們的工業資安諮詢服務,我們可以協助您實行工業資安。

工業資安諮詢服務

附記:資安層級

資安等級定義工廠營運商或製造商希望使用資安措施達成資安等級。相關資訊由事先風險評估提供。這定義了要保護的項目,並判斷此資產受攻擊的可能性。據此選擇資訊安全等級(SL)。近年來,SL-2,即防止「使用低資源、通用技能及低動機的簡單手段故意違反行為」應視為最低標準。為維持此最低標準,公司需要特定資安成熟等級。若公司員工持續在便利貼上寫下密碼並貼在電腦螢幕上或不執行更新,就算有最佳防火牆也無用武之地。越是以資訊安全為核心的公司,整體的防護也會越。因此,整體性資安概念很重要。

金字塔例示資安層級:

資安等級一覽:

  • 資安等級 1:防範偶發性或非蓄意的違規
  • 資安等級 2:防範使用基本手法的蓄意違規
  • 資安等級 3:防範運用高階技術的蓄意違規
  • 資安等級 4:防範運用高階技術與龐大資源的蓄意違規

提高工業資安的六個祕訣措施

為了以精準且有針對性的方式保護機器,詳細的資安風險評估至關重要,同時,通用安全措施亦能提升整體資安。任何措施皆比無措施好。下列策略可協助您在公司中實行資訊安全:

1.縱深防禦:此原則的基礎是,持續在入侵者的路徑上架設各種不同的障礙。使攻擊者更難達成目標。重點是要在盡可能多的層面上建立盡可能多的障礙,因為每項個別措施都可能失效。此概念的關鍵在於始終將人為因素納入考量。

2. 組織措施:重要的是,公司的員工都認同並接受資訊安全。建議制定適用於您的自有員工以及供應商和服務提供者等合作夥伴的準則。信任固然重要,但監控更為關鍵,因此負責資安的人員皆應檢查是否符合這些準則,並在必要時提供支援。

3.培訓:並非每個人皆是 IT 專家,因此需要為您的員工提供定期資安培訓。Pilz 研討會在斯圖加特附近的奧斯菲爾總部或客戶端地點,或採網路研討會舉行,針對工廠與機器設計師以及營運商。

4.「區塊和管道」分割:內含資安要求類似裝置的區塊,應透過防火牆或安全路由器彼此隔開。透過區塊之間管道,只有真正獲得授權的裝置才能傳送和接收資訊。舉例來說,可在隔開區塊內為安全關鍵設備提供更為周密的防護,且不會干擾標準作業。  

5.防火牆:儘管路由器和交換機可支援資安機制,但您仍應在您的控制網路使用防火牆。舉例來說,應用防火牆 SecurityBridge 可保護工廠與機械設備的安全控制技術,避免程序資料的操縱等。

6.修補管理:當發現軟體中的資安漏洞時,及時套用修補程式至關重要。這涉及應用軟體和嵌入式軟體。您不僅應考慮製造商所發佈的修補程式和更新,而且應考慮第三方軟體(如辦公室應用程式、PDF 閱讀程式)。修補程式程序可協助定義責任和流程。

各種關鍵字並排顯示

工業資安的進一步基本要求

在工業資安方面,若您查看 IEC 62443 標準,將會發現被稱為「基礎要求」的一系列基本準則,以抽象方式闡述了提高資安的技術方法

識別進入控制(IAC)

此機制確保僅有具備必要權限的合法實體,方可存取或變更裝置及其所儲存的資訊。這些權限至關重要,用以確保廠區或設施的安全運作,並維護工業自動化與控制系統(IACS)的正常功能。

用法控制(UC)

用法控制(UC)確保只有授權實體可使用裝置和/或資訊執行有效且必要任務,這對於廠區或設施的安全和產能至關重要。因此,這是權限的問題。應遵從「最少特權」的原則。

系統完整性(SI)

此基礎要求確保通訊通道中的資料不會遭受未經授權的變更,從而確保資料的持續正確性。舉例來說,顯示的數值必須與實際值一致,且不得受到擅改。 

資料機密性(DC)

機器中的所有資料皆應保密,不得由外部人員或未經授權內部人員查看。

限制資料流

此基礎要求確保資料僅流到真正需要的區域。這減少未經授權查看或擅改資料的可能性。這意指系統架構應以系統可劃分為具備適當資安等級的區塊和管道的方式設計。使用單向閘道或資料二極體等裝置可助益。

即時回應事件

重要的是要確保 IACS 提供必要能力,以因應資安侵害。這包含通知適當監管機關、記錄侵害證據,並在發現此類事件時及時採取改正行動。

資源可用性

有必要確保 IACS 的設計和運作方式為:能夠防範出現系統失控,或在最嚴重的情況下無法切換至安全模式的風險。這意指即使在遭受阻斷服務攻擊的情況下,安全系統仍必須能夠將廠區切換至安全狀態,並維持其核心保護功能。

針對每項基礎要求,均已制定相應的補充系統。這些需求可作為實施資安措施的基準,且將根據您欲達到的技術安全水準,逐步擴展其涵蓋範圍。 

手裡拿著筆記型電腦的人員
有段落符號的筆記型電腦

標準系列 IEC 62443

是否想要瞭解關於標準的更多資訊?有關國際標準系列 IEC 62443 的其他資訊請參見這裡。

瞭解關於標準 62443 的更多資訊
Contact

臺灣皮爾磁有限公司
105608
台北市松山區八德路三段36號10樓
台灣

電話號碼: +886 70 1015 0068
電子郵件: info@pilz.tw

業務聯絡

105608
台北市松山區八德路三段36號10樓
台灣

電話號碼: +886 70 1015 0068
電子郵件: info@pilz.tw

技術支援

電話號碼: +886 70 1015 0068
電子郵件: info@pilz.tw

最上方
  1. Pilz
    2. /
  2. 產品與產業
    3. /
  3. 資安
    4. /
  4. 降低風險策略
網頁代碼: 244274