久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

目前，許多工業(yè)企業(yè)正在計劃實施OT(Operation Technology)網(wǎng)絡(luò)安全計劃來提升其生產(chǎn)安全態(tài)勢，但情況卻不容樂觀，因為OT網(wǎng)絡(luò)中包括一系列與物理生產(chǎn)環(huán)境緊密連接的系統(tǒng)和設(shè)備，例如：工業(yè)控制系統(tǒng)、工業(yè)自動化系統(tǒng)、運輸系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等，安全人員往往難以找到一套統(tǒng)一的完整計劃參考標(biāo)準(zhǔn)框架。然而，有一些最佳實踐經(jīng)驗可以作為工業(yè)企業(yè)制定OT網(wǎng)絡(luò)安全計劃的基礎(chǔ)。

OT網(wǎng)絡(luò)的關(guān)注點

OT環(huán)境帶來了異于IT的關(guān)注。例如，OT的首要問題是確保數(shù)據(jù)的可用性、完整性和保密性。由于OT的重點是控制和監(jiān)測物理過程和環(huán)境，可用性發(fā)揮著關(guān)鍵作用。OT系統(tǒng)必須持續(xù)可用，并能對事件和警報做出實時響應(yīng)。此外，任何未經(jīng)授權(quán)的修改(即數(shù)據(jù)完整性的喪失)都會使控制系統(tǒng)失效，并導(dǎo)致災(zāi)難的發(fā)生。

此外，使用壽命長、淘汰、健康、安全和環(huán)境問題都是推動OT決策的因素，而這些因素在IT領(lǐng)域并不總是發(fā)揮重要作用。IT的重點按順序分別是保密性、完整性和可用性。這是因為IT強烈強調(diào)用戶隱私，使得保密性特別重要。

構(gòu)建操作技術(shù)網(wǎng)絡(luò)安全計劃

一個OT網(wǎng)絡(luò)安全計劃應(yīng)該解決所有可能的OT問題，這些問題最終會給企業(yè)帶來風(fēng)險。如下的安全原則和標(biāo)準(zhǔn)可以作為一個有效的網(wǎng)絡(luò)安全計劃的基礎(chǔ)：

● 國際電工委員會(IEC)的IEC 62443系列標(biāo)準(zhǔn)，包括專門為確保ICS安全而制定的標(biāo)準(zhǔn);

● NIST的CSF，一個專門為減輕組織的網(wǎng)絡(luò)安全風(fēng)險而建立的框架;

● 網(wǎng)絡(luò)安全能力成熟度模型(C2M2)，一個專門用于指導(dǎo)OT相關(guān)網(wǎng)絡(luò)安全能力和活動的成熟度模型;

● 普渡企業(yè)參考架構(gòu)(PERA)，在OT行業(yè)大量使用的功能架構(gòu);

● NIST特別出版物(SP)800-82，一個OT最佳實踐;

● ICS供應(yīng)商，他們經(jīng)常發(fā)布白皮書和其他支持資源，可用于建立網(wǎng)絡(luò)安全計劃。

在創(chuàng)建和實施有效的OT網(wǎng)絡(luò)安全計劃方面，不存在一個一勞永逸或一刀切的方法。應(yīng)結(jié)合使用所列選項來創(chuàng)建一個有效的、有目的的OT網(wǎng)絡(luò)安全計劃。像C2M2這樣的成熟度模型是一個很好的起點。C2M2是為OT定制的，提供了OT網(wǎng)絡(luò)安全計劃應(yīng)支持的能力和活動。與其他成熟度模型不同，C2M2還提供了一種衡量網(wǎng)絡(luò)安全成熟度能力的方法，從而量化了項目的成熟度。這提供了一個不斷改進的途徑?？梢詣?chuàng)建與C2M2網(wǎng)絡(luò)安全領(lǐng)域相一致的治理文件，以確保所有能力和活動都得到關(guān)注。

此外，以C2M2為基礎(chǔ)建立的網(wǎng)絡(luò)安全計劃可以映射到IEC 62443網(wǎng)絡(luò)安全控制，以確保實施人員、過程和技術(shù)(PPT)控制，進一步豐富C2M2中規(guī)定的活動。這種雙向的方法解決了高層次的能力和低層次的技術(shù)控制。例如，在C2M2 v2.1中，在第三方風(fēng)險管理領(lǐng)域的管理第三方風(fēng)險目標(biāo)中，描述了與識別和實施網(wǎng)絡(luò)安全要求有關(guān)的活動。IEC 62443-2-4提供了指導(dǎo)，在實施時，可以實現(xiàn)C2M2的活動。

結(jié)論

對OT基礎(chǔ)設(shè)施的攻擊正在增加，企業(yè)必須開始解決OT網(wǎng)絡(luò)安全的需求，以減輕和對抗攻擊。應(yīng)采用有組織、一致、可擴展和標(biāo)準(zhǔn)驅(qū)動的方法來制定OT網(wǎng)絡(luò)安全計劃。應(yīng)利用特定的OT標(biāo)準(zhǔn)、框架或成熟度模型建立OT網(wǎng)絡(luò)安全計劃。理想情況下，從業(yè)人員應(yīng)從具有測量方法的特定OT成熟度模型開始。這將有助于組織確定其當(dāng)前的安全態(tài)勢并計劃未來的改進。此外，從業(yè)人員應(yīng)采用特定于OT的標(biāo)準(zhǔn)和控制措施，以啟用和實施成熟度模型中的活動。

來源：ISACA