2010年11月10日,代表在工业自动化行业的全球制造商国际组织的国际仪表用户协会(简称WIB)宣布了为供应商文件的过程控制域安全要求的第二个版本——国际标准,并列出一组具体要求侧重于网络安全的工业自动化控制系统供应商的最佳做法。
“我们很高兴地宣布今天我们的网络安全标准的第二版,”WIB能力管理过程控制在DSM和主席劳动力投资经理的历山大代尔夫特说,“这是一个正在进程的重要一步,以改善我们的关键制造和生产系统的可靠性,并提供最终用户沟通的能力,现在对过程自动化,控制和安全系统安全的期望。”
“我们现在正进入一个时期的后果”
随着工业的网络正越来越多地连接到IT世界的敌对,频率和恶意软件的复杂程度成倍增长,工业利益相关方必须采取行动来保护他们今天的关键系统。无论是像Stuxnet针对性的攻击,或意外中断,一个网络事件可以在成本上百万美元的收入损失,损害员工及公众的安全,并可能破坏国家关键基础设施。
“我们越来越多地连接生产系统都面临着每天不断增长的威胁,我们必须竭尽所能,确保安全可靠的运行环境,”EMEA地区控制与自动化系统项目和壳牌技术战略与发展经理卡斯帕彼得说道,“这份文件提供了共同的语言,我们需要沟通我们的供应商在安全性和框架,共同努力,帮助改善我们的关键系统的整体安全状况的期望。”
各大公司,如壳牌,BP,沙特石油公司,陶氏化学,杜邦,Laborelec,温特斯和其他最终用户数十种,以及英维思和共通感等多个政府机构和领先厂商的带领下,集团花了两年时间开发要求和试验计划,以确保认证功能,可扩展并最终有价值的结果。
“安全文件中概述的要求,通过一个/来自50多个全球利益相关者的修订和受到过去8个月了彻底的试验认证程序注释一年过去了,”法国燃气苏伊士集团网络安全顾问,乔斯门狄说,“我们现在已经到了一个真正的网络安全功能的标准对最终用户的需求为基础,这是现在轮到我们,最终用户,利用这一优势,坚持努力,我们的供应商认证。”
通过WIB关系安全工作组的成员已经开始实施到他们的采购流程,世界其他地方也在关注这一动向。
“壳牌已授权是否符合所有供应将在壳牌的过程控制起2011年1月1日通过WIB环境中部署的系统供应商的标准,”柏高EMEA地区控制与自动化系统团队负责人泰德.艾格文略说,“这些条件,将成为我们的采购节省了大量时间和精力语言标准的一部分。”
工业过程控制和自动化系统的领先供应商也开始融入他们的组织的要求的过程。
“采用通过WIB的安全要求确保英维思有一个可衡量的做法,在地方执行一个更安全和更安全的关键基础设施的设置。不仅要求提供当前状态的措施,使我们能够继续改善和适应不断变化的安全形势,”程序的控制系统网络安全经理英维思运营管理者恩尼瑞卡莱克说,“从我们的角度来看,这个方案是一个重大转变,不仅在战术为重点,而是一个到位,满足业务战略要点提出改变。”
网络安全的工业产品生命周期的各个阶段
该标准旨在通过WIB符合该最终用户的需求-系统所有者/经营者,反映了石油和天然气,电力,智能电网,交通,医药,化工等行业的独特需求。我们的目标是解决网络安全的最佳做法和分配在工业系统生命周期各阶段的责任:组织行为,产品开发,测试和调试,维护和支持。
“安全不是一个一次性的应用,而是一个过程,每一个利益相关者必须作出贡献,以便实现在任何运行可靠性显着改善,”国家NICC基础设施项目经理奥克Huistra说:“劳动力投资管理局要求设计了这一核心原则,我们鼓励在荷兰重要的基础设施集成到他们的利益相关者网络安全计划的要求。”
所需经费还建造,以解决网络安全相关的专题工业利益相关者范围广泛,从对供应商的内部安全政策,程序和管理高层次的要求,有关访问/验证,数据保护,默认密码保护和具体要求补丁管理。当一个供应商的解决方案,这符合规定设置,该解决方案被认为是由通过WIB是过程控制域安全兼容。
这些要求是进一步细分为各种旨在反映全球供应商出发点,并提供一个可扩展的框架,随着时间的推移计划改善3个级别。在节目中,有金,银,铜奖级别,每个级别的设计,以验证适用的政策和做法,启用和供应商实行的地方,是一个集要求组成。
一个成功的全球合作
从一开始,业界领导人认识到,鉴于网络安全的全球性产业,任何努力,以规范网络安全所需的利益相关者从不同行业和在世界不同地区合作的最佳做法。该协会通过WIB是理想的渠道,引导鉴于其独立性质及成员组成的标准的建立。此外,该倡议需要反映并纳入网络安全的重要国际活动发生这么多的政府机构,行业工作组和标准制定机构进行协商,以确保和谐。例如,主要行业如ISASP99标准,NIST的800-53,NISTIR7628等各种自然环境研究理事会和/总督察进行了审查,并采纳适当扩大,以确保可测性或国际政府规章的努力。在劳动力投资管理局行政委员会已经开始引入的CEN/CENELEC的和IEC国际标准的框架内通过WIBPCD的要求的过程。
