根據美國NIST《提升關鍵基礎設施的網路安全》開發的自願性《網路安全框架》,提供了主次鮮明、基於效能的靈活方法,用以管理關鍵基礎設施服務交付中直接涉及的流程、資訊和系統的網路安全風險。NIST《網路安全框架製造篇》與製造業的目標和行業最佳實踐保持一致,為製造商管理網路安全風險提供了思路,用於管理與製造系統相關的網路安全活動及網路風險。本框架是政府和私有部門的合作成果,採用通用語言闡述瞭如何基於業務需求,高效應對並管理網路安全風險。值得注意的是,框架並未提出合規要求。
適用範圍
許多中小型製造商表示,實施基於標準的網路安全計劃頗具挑戰性。本文件提供了概念驗證(PoC)方案示例,展示在流程型製造環境中如何按照《網路安全框架製造篇》中的低影響性要求來部署使用開源產品和商用現成品(COTS)。
PoC方案示例分別針對流程型製造環境(第2卷)和離散型製造環境(第3卷),描述了實施方案對網路、裝置和業務效能的影響。各製造商應自行確定實施哪些方案內容。實施時應慮及的重要因素包括:公司規模、網路安全專業能力、風險承受能力及威脅態勢。
讀者物件
本文件涉及製造系統相關細節資訊。讀者應熟知運營技術、電腦保安方面的一般概念以及通訊協議(如網路中使用的協議)。目標受眾包括如下各類人員:
· 設計或實施安全製造系統的控制工程師、整合人員和架構師;
·
管理、修復或保護製造系統的系統管理員、工程師等專業資訊科技(IT)人員;
·
負責管理製造系統的人員;
·
高階管理人員,這部分人群為證明有必要實施製造系統網路安全計劃以減輕對業務執行的影響而須瞭解前因後果;
·
欲瞭解製造系統獨特安全需求的研究人員、學術機構和分析師。
文章資訊
指南原文獲取地址為:
https://doi.org/10.6028/NIST.IR.8183A-2
其餘兩卷為:
NISTIR 8183A,網路安全框架製造篇低影響性示例實施指南:第1卷—總體指導
https://doi.org/10.6028/NIST.IR.8183A-1
NISTIR 8183A,網路安全框架製造篇低影響性示例實施指南:第3卷—離散型製造系統用例
https://doi.org/10.6028/NIST.IR.8183A-3
第2卷主要包括如下內容:
·
第2章概述了流程型製造系統用例。
·
第3章詳述了適用於流程型製造系統用例的政策和程式檔案。
·
第4章詳述了適用於流程型製造系統用例的技術能力實現和相關效能測量方法。
本期連載將概述流程型製造系統用例。
用例背景
韋斯特曼工業公司(Westman Industries,簡稱“韋斯特曼”)是一家虛構的商用化工產品製造商,其產品用於運輸、建築施工等行業,韋斯特曼的使命是為工業應用提供優質化工產品。公司總部位於韋斯特蘭(Westland),一座人口約10萬的城市。
除定期維護停機(每年約2周時間,通常在12月底)外,韋斯特曼的生產設施每天24小時、每週7天連續運營。
為提高工業競爭力,韋斯特曼引進了過程自動化裝置,以提高生產效率,降低生產成本。廠房裡部署了工業自動化裝置,如可程式設計邏輯控制器(PLC)、人機介面(HMI)和歷史資料庫(Data Historian)監控生產作業。
廠區情況
韋斯特曼廠區是一座約5000平方米的單體建築,擁有約3500平方米的生產空間,包括生產區、配送區和化學品地上儲罐區。廠區的其餘部分為行政管理和工程辦公區。
廠區有圍牆,圍牆大門在上班時間開啟,下班後上鎖。主樓有兩個入口,一個用於員工出入,部署了工卡訪問系統,員工必須刷卡才能進入大樓。另一個入口位於前廳,在正常上班時間有專人在崗,接待訪客。訪客在進入大樓或廠房前須登記並領取相應身份證明。韋斯特曼廠區的大門或入口沒有安排外包保安值守。
員工
韋斯特曼有200名正式員工,大部分在製造車間工作。由全職製造/控制工程師組成的小組採用製造、控制和自動化裝置控制生產過程,確保生產系統安全高效執行。
韋斯特曼高管的頭銜和職責如下:
韋斯特曼還擁有一支小型IT隊伍,專門負責企業IT系統。
配套服務
韋斯特曼需要的配套服務包括電力、天然氣、水和網際網路。寬頻網際網路連線由一家大型全國網路服務商根據商業級服務水平協議提供。
法律法規要求
作為一家化工產品製造商,韋斯特曼及其員工必須遵守聯邦和州對化學品和有害物質的所有法律法規要求。
關鍵基礎設施
根據第21號總統政策令(PPD-21),化工行業屬於關鍵基礎設施。
生產過程
工廠的製造系統主要包括五個化學處理部件:反應器、產品冷凝器、氣液分離器、迴圈壓縮機和分離最終產品的汽提塔。
製造系統有12個閥門,用於控制系統中的化學品流動,還有41個感測器進行測量,用於監控化學過程。所有閥門和感測器透過DeviceNet通訊匯流排連線到自動化裝置(PLC)。閥門配有手動超控裝置,以便工人在緊急情況下超控自動化裝置。
原料送入反應器後進行混合,發生反應,產生的物質流向下游的產品冷凝器和氣液分離器。反應後仍是氣態的物質在壓縮機內迴圈,然後回送到主反應器中。組分在冷凝後連續流入產品汽提塔,汽提塔將其分離,形成最終產品。在此過程的各個階段,採集質量保證樣品,驗證產品質量和流程效率。
系統
行政辦公室的支援團隊是IT小組,主要使用常規的企業IT應用程式(如電子郵件、Web應用程式和企業規劃應用程式)。
IT人員維護一箇中央檔案儲存系統,其中儲存了原始碼、化學式、圖紙、工序和圖表,並定期備份。產品開發人員和製造工程師有權訪問該系統。
IT人員還在製造車間安裝配置了歷史資料庫,記錄生產過程資料。IT人員定期對歷史資料庫進行資料備份,製造工程師對該資料庫進行配置和操作。
資料
透過公司網路傳輸、儲存的資料包括:
·
PLC程式程式碼
·
化學式及計算過程
·
工作流和操作手冊及文件
·
電氣圖
·
網路圖
·
質量保證程式
·
歷史生產資料
注:上述所有資料均為私有、商業機密或敏感資料。
網路
行政辦公室內的IT系統連線到由IT團隊管理的公司網路。製造車間有獨立的自動化裝置網路,由製造工程師管理。製造網路包括典型的基於乙太網的TCP/IP網路和其他工業協議如DeviceNet。
有些生產裝置廠商要求韋斯特曼允許遠端訪問裝置。廠商獲取授權後,透過遠端訪問連線到製造裝置提供維護和支援。
任務目標
保護人員安全:韋斯特曼以製造系統的安全執行為己任,始終將員工安全作為頭等大事。所有的製造工藝、協議、自動化過程和裝置、作業程式和指南在設計時都充分考慮了人員安全。
保護環境安全:韋斯特曼遵守有關環境安全的所有適用法規,確保其生產過程不影響環境,盡力減少環境足跡。每季度對生產造成的環境影響進行評審。
保證產品質量:韋斯特曼擁有世界領先的生產裝置和工藝,採用最先進的自動化、裝置和技術確保產品質量。公司建立了質量保證程式,使用自動化裝置(包括高速控制網路中的PLC、歷史資料庫和高精度感測器)監控產品質量。
實現生產目標:韋斯特曼的一個重要目標是完成月度生產目標,這不僅可確保向客戶及時供貨,也有助於維護公司的財務穩定性。
韋斯特曼基於7×24生產模式規劃生產運營,滿足生產目標和客戶需求。公司在自動化裝置和熟練專業人員方面進行投資,確保完成月度生產目標。
保護商業機密:韋斯特曼傾力保護其商業機密,包括產品開發、製造工藝、產品質量和供應鏈管理。
資訊保安政策
資訊保安政策的目的是概括介紹構成韋斯特曼資訊保安計劃的政策、標準、程式和技術控制措施,由運營總監製定實施,旨在保護韋斯特曼的IT和運營技術(OT)資產。資訊保安是治理活動的組成部分,涉及領導層、組織結構和流程,目的是保護韋斯特曼的資訊、運營、市場地位和聲譽。韋斯特曼的安全管理組織結構如下:
所有員工、承包商和廠商都要遵守公司的政策和程式,確保資訊的安全性、機密性和完整性。
以上介紹了虛構的韋斯特曼工廠的網路和生產環境,下期連載將以此為例,詳述適用於流程型製造系統的網路安全政策和程式檔案設計。
譯者宣告:
小蜜蜂翻譯組公益譯文專案,旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。