×
这里隐藏的消息。

存储PLCNext社区LinkedIn上的PLCNEXT.Instagram上的PLCNEXT.  youtube上的plcnext. github plcnext社区存储PLCNext社区

商务休息室
Hits: 1287

根据IEC 62443在产品开发中的安全性设计

你的plc不能做的5件事

 

博物馆。 Boris Waldeck.

高级项目经理软件

 

今天,对未经授权的访问的机器和系统的全面保护是自动化系统的重要要求。这是否足以扩展具有安全功能的中华彩票彩网?或者是整个自动化解决方案的函数吗? IEC 62443标准指定了此所需的安全进程和功能。阅读以下博客文章,以了解在自动化系统中实施本标准时需要考虑的内容。

全球安全标准IEC 62443旨在实现自动化技术中网络安全的整体方法。为此目的,它描述了三个角色(运算符,集成器和组件制造商)并定义了必要的措施。对于所有角色来说,逐个设计被证明是一个基本框架条件。 IEC 62443系列标准由13个部分组成,其中对每个角色指定了流程的安全要求,功能措施和最先进的状态

在开发自动化中华彩票彩网时,它们的功能只能通过设计安全保护。一旦奠定了基础,IEC 62443中定义的各个集成阶段的安全性被转换为适用于许多用例的安全逐个设计解决方案。

 

跟踪实现并验证所有安全要求

 

00017262IEC 62443-4-1描述了安全的产品开发过程。中央元素是一种过程,可确保已实现并验证所有安全要求。它是通过其他功能完成的,以实现安全性。特别是,这包括基于安全上下文(产品的应用场景)的威胁分析,“深度防守的概念”以及保护私钥的措施。所有方法都是产品满足安全逐个要求的必要条件。另一个重要方面是中华彩票彩网制造商能够适当地反应安全漏洞并发布可靠的安全更新。今天,这些要求通常由产品安全事件响应团队(PSIRT)执行。

IEC 62443-4-2定义了技术框架条件。安全威胁用于将安全级别(SL)定义为0到4,这是针对攻击者的功能量身定制的。该标准定义了七项基础要求(FR):

  • FR1 IAC - 识别和认证控制
  • FR2 UC - 使用控制
  • FR3 SI - 系统完整性
  • FR4 DC - 数据机密性
  • FR5 RDF - 限制数据流量
  • FR6 TRE - 及时对事件的回应
  • FR7 RA - 资源可用性

这些先决条件的实施应根据第4-1部分规定的安全开发程序进行。

 

实施安全建筑设计的措施

 

在解决方案的概念中,安全性设计是建筑设计的重要框架条件。这可能导致以下措施等:

  • 使用可信平台模块(TPM)作为私人供应商键的硬件保护
  • 使用可配置的Linux内核,可以专门用于安全性和维护
  • 所有通信渠道的人类用户和软件进程的身份验证和授权
  • 执行系统集成商和运营商的证书,键和身份的Crypto商店
  • VPN(虚拟专用网络)通信的使用和配置
  • 支持具有安全性配置文件的OPC UA接口,UA角色和权限系统,X.509证书和全局发现服务器的接口,用于证书分发
  • 可编程TLS通信(传输层安全性)用于特定于应用程序的解决方案,例如根据IEC 61131或高级语言界面的功能块
  • 使用和配置Linux防火墙
  • 使用同步时基的日志功能和配置
  • 用于更新固件组件的中华彩票彩网管理界面

 

制备行业特定的蓝图

 

系统集成商在IEC 62443中起重要作用。与操作员一起起作用,他决定了保护要求,并为系统解决方案选择合适的组件。标准定义每个角色的安全级别:

  • 能力SL(SL-C) - 用于组件和系统的可实现SL
  • 实现了SL(SL-A) - 实现了自动化解决方案的SL
  • 目标SL(SL-T) - 为自动化解决方案实现为操作员的要求

一旦解决了解决方案,就基于所需的安全级别(SL-A / SL-T),与运营商合作验证其适用性,如果有必要,则采取额外措施。为简化此过程,建议中华彩票彩网制造商和系统集成商准备了可以根据需要调整操作员要求的行业特定的蓝图(参考系统)。通过这种方式,可以预先使用SL-C / SL-A对不同应用程序预先编译中华彩票彩网或子网组合。

该程序在两部分中的标准中描述。第3-3部分轮廓并评估系统集成商和产品制造商之间接口的支持的安全措施和水平。在此基础上,选择了实现SL-T所需的中华彩票彩网。第2-4部分定义了自动化解决方案的集成,调试和维护的流程。

 

00005456已安装中华彩票彩网的系统合作

 

如果只有中华彩票彩网符合安全要求,则还不够。它们还必须系统地一起使用,以便解决方案易于配置和维护。从系统的角度来看,还有其他要求和接口:

  • 自动化解决方案的网络架构
  • 配置自动化解决方案
  • 管理用户帐户和证书
  • 防火墙设置管理
  • 治疗结果
  • 中华彩票彩网和补丁管理
  • 远程维护

以下方面可以支持此框架:

  • 网络分段:可以配置不同内部系统部分(区域)之间的数据交换。
  • 加密数据传输:传入和传出通信可以由VPN加密,例如通过IPSec或OpenVPN加密。
  • 集成到中央用户主管部门:通过用户的网络配置,可以分配和管理每个员工的个人访问。
  • 集成中华彩票彩网和补丁管理:对于在自动化解决方案中管理多个中华彩票彩网,提供智能和高效的中华彩票彩网和修补程序管理作为解决方案或接口。它使中央创建和管理所有安全相关的中华彩票彩网设置并支持固件升级。
  • 安全远程访问:使用附加的安全中华彩票彩网(例如,来自Phoenix Contact的Mguard)对于通过不安全的网络远程维护机器的远程维护。这里重要的是,中华彩票彩网的配置是协调的。

 

结论

 

对于根据IEC 62443的逐设计解决方案,不足以将现有中华彩票彩网扩展到安全功能。从中华彩票彩网函数到解决方案的开发过程中,必须从一开始就考虑安全性。建议在设计解决方案时尽可能使用适当的中华彩票彩网。这些解决方案用安全的网络区域概念固定。可以通过各个中华彩票彩网逐步实现灵活自动化所需的区域的进一步打开。 PLCNEXT技术已经开辟了新的可能性,因为当它被认为是开放的生态系统时,安全性设计是一个重要的基本条件。