工業企業如何創建OT網絡安全計劃

目前，許多工業企業正在計劃實施OT（Operation Technology）網絡安全計劃來提升其生產安全態勢，但情況卻不容樂觀，因為OT網絡中包括一系列與物理生產環境緊密連接的系統和設備，例如：工業控制系統、工業自動化系統、運輸系統、環境監測系統等，安全人員往往難以找到一套統一的完整計劃參考標準框架。然而，有一些最佳實踐經驗可以作為工業企業制定OT網絡安全計劃的基礎。

OT網絡的關注點

OT環境帶來了異于IT的關注。例如，OT的首要問題是確保數據的可用性、完整性和保密性。由于OT的重點是控制和監測物理過程和環境，可用性發揮著關鍵作用。OT系統必須持續可用，并能對事件和警報做出實時響應。此外，任何未經授權的修改（即數據完整性的喪失）都會使控制系統失效，并導致災難的發生。

此外，使用壽命長、淘汰、健康、安全和環境問題都是推動OT決策的因素，而這些因素在IT領域并不總是發揮重要作用。IT的重點按順序分別是保密性、完整性和可用性。這是因為IT強烈強調用戶隱私，使得保密性特別重要。

構建操作技術網絡安全計劃

一個OT網絡安全計劃應該解決所有可能的OT問題，這些問題最終會給企業帶來風險。如下的安全原則和標準可以作為一個有效的網絡安全計劃的基礎：

• 國際電工委員會（IEC）的IEC 62443系列標準，包括專門為確保ICS安全而制定的標準；
• NIST的CSF，一個專門為減輕組織的網絡安全風險而建立的框架；
• 網絡安全能力成熟度模型（C2M2），一個專門用于指導OT相關網絡安全能力和活動的成熟度模型；
• 普渡企業參考架構（PERA），在OT行業大量使用的功能架構；
• NIST特別出版物（SP）800-82，一個OT最佳實踐；
• ICS供應商，他們經常發布白皮書和其他支持資源，可用于建立網絡安全計劃。

在創建和實施有效的OT網絡安全計劃方面，不存在一個一勞永逸或一刀切的方法。應結合使用所列選項來創建一個有效的、有目的的OT網絡安全計劃。像C2M2這樣的成熟度模型是一個很好的起點。C2M2是為OT定制的，提供了OT網絡安全計劃應支持的能力和活動。與其他成熟度模型不同，C2M2還提供了一種衡量網絡安全成熟度能力的方法，從而量化了項目的成熟度。這提供了一個不斷改進的途徑。可以創建與C2M2網絡安全領域相一致的治理文件，以確保所有能力和活動都得到關注。

此外，以C2M2為基礎建立的網絡安全計劃可以映射到IEC 62443網絡安全控制，以確保實施人員、過程和技術（PPT）控制，進一步豐富C2M2中規定的活動。這種雙向的方法解決了高層次的能力和低層次的技術控制。例如，在C2M2 v2.1中，在第三方風險管理領域的管理第三方風險目標中，描述了與識別和實施網絡安全要求有關的活動。IEC 62443-2-4提供了指導，在實施時，可以實現C2M2的活動。

結論

對OT基礎設施的攻擊正在增加，企業必須開始解決OT網絡安全的需求，以減輕和對抗攻擊。應采用有組織、一致、可擴展和標準驅動的方法來制定OT網絡安全計劃。應利用特定的OT標準、框架或成熟度模型建立OT網絡安全計劃。理想情況下，從業人員應從具有測量方法的特定OT成熟度模型開始。這將有助于組織確定其當前的安全態勢并計劃未來的改進。此外，從業人員應采用特定于OT的標準和控制措施，以啟用和實施成熟度模型中的活動。