數(shù)字時(shí)代繼續(xù)打開新的可能性之門。企業(yè)領(lǐng)導(dǎo)者正在尋找創(chuàng)新的新機(jī)會(huì)，但這種創(chuàng)新伴隨著挑戰(zhàn)。應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是企業(yè)領(lǐng)導(dǎo)者面臨的最重大挑戰(zhàn)之一，它需要對(duì)組織結(jié)構(gòu)進(jìn)行非常規(guī)的變革。這些變化是有效地灌輸組織文化和采用新業(yè)務(wù)流程來解決系統(tǒng)和生命周期復(fù)雜性所必需的。

創(chuàng)建和解釋數(shù)據(jù)的新型智能邊緣設(shè)備的快速采用是復(fù)雜性呈指數(shù)級(jí)增長(zhǎng)的原因。這些數(shù)據(jù)之所以有價(jià)值，是因?yàn)闆Q策是根據(jù)數(shù)據(jù)做出的，數(shù)據(jù)越精確和準(zhǔn)確，其價(jià)值就越高。但實(shí)現(xiàn)這一價(jià)值是復(fù)雜的。它需要一個(gè)能夠及時(shí)訪問和解釋數(shù)據(jù)的基礎(chǔ)設(shè)施，以便能夠在相關(guān)的時(shí)間內(nèi)做出決定。這種需求正在推動(dòng)互聯(lián)世界的發(fā)展，在工業(yè)自動(dòng)化方面，推動(dòng)互聯(lián)工廠的發(fā)展。設(shè)備必須在分布式網(wǎng)絡(luò)上互連，以便通過及時(shí)訪問和解釋數(shù)據(jù)來創(chuàng)造價(jià)值。

隨著工廠控制系統(tǒng)變得更加敏捷、準(zhǔn)確和高效，被稱為工業(yè) 4.0 的大趨勢(shì)正在為創(chuàng)新開辟新的機(jī)會(huì)。解決網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)并確保數(shù)據(jù)和后續(xù)決策的有效性對(duì)于實(shí)現(xiàn)互聯(lián)工廠的寶貴成果至關(guān)重要。隨著實(shí)施網(wǎng)絡(luò)攻擊的動(dòng)機(jī)與資產(chǎn)價(jià)值成正比地持續(xù)增長(zhǎng)，解決風(fēng)險(xiǎn)并非易事。考慮到網(wǎng)絡(luò)安全的復(fù)雜性以及在系統(tǒng)級(jí)別解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的必要性，企業(yè)領(lǐng)導(dǎo)者正在尋求指導(dǎo)。

該指南由國(guó)際自動(dòng)化學(xué)會(huì)（ISA）和美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）等理事機(jī)構(gòu)根據(jù)新的安全標(biāo)準(zhǔn)找到。盡管各地區(qū)可能采用不同的標(biāo)準(zhǔn)變體，但這些標(biāo)準(zhǔn)彼此相對(duì)恒定。然而，標(biāo)準(zhǔn)只是解決這一復(fù)雜問題的一部分。它們?yōu)槿绾卧u(píng)估風(fēng)險(xiǎn)以及可以使用哪些方法來防范風(fēng)險(xiǎn)提供了指導(dǎo)。為了成功實(shí)施安全的互聯(lián)工廠，需要進(jìn)行自上而下的組織改組。

實(shí)施安全的互聯(lián)工廠需要一個(gè)能夠解釋標(biāo)準(zhǔn)和構(gòu)建安全基礎(chǔ)設(shè)施的組織。解釋安全標(biāo)準(zhǔn)以按比例解決網(wǎng)絡(luò)風(fēng)險(xiǎn)會(huì)導(dǎo)致安全要求。關(guān)鍵安全基礎(chǔ)設(shè)施的開發(fā)對(duì)于在不斷變化的威脅環(huán)境中的整個(gè)產(chǎn)品生命周期中管理資產(chǎn)是必要的。要迎來新的互聯(lián)時(shí)代，首先要建立一個(gè)能夠自上而下推動(dòng)業(yè)務(wù)流程的組織。這將使產(chǎn)品開發(fā)團(tuán)隊(duì)能夠評(píng)估安全權(quán)衡，并制定解決系統(tǒng)和生命周期復(fù)雜性的產(chǎn)品安全要求。

保護(hù)互聯(lián)工廠的隱形挑戰(zhàn)

將安全性應(yīng)用于復(fù)雜的運(yùn)營(yíng)技術(shù) （OT） 環(huán)境會(huì)帶來標(biāo)準(zhǔn)信息技術(shù) （IT） 解決方案無法解決的獨(dú)特挑戰(zhàn)。OT 設(shè)備存在于與 IT 環(huán)境不同的競(jìng)爭(zhēng)資產(chǎn)價(jià)值、優(yōu)先級(jí)和約束的環(huán)境中。在 IT 環(huán)境中，存在確保機(jī)密性的嚴(yán)重偏見;然而，在工廠車間，數(shù)據(jù)的可用性通常成為重中之重。此外，安全解決方案將存在于產(chǎn)品高度受限且生命周期超過20年的系統(tǒng)中。理解工廠資產(chǎn)、優(yōu)先級(jí)和約束需要一套獨(dú)特的技能和流程來制定足夠的產(chǎn)品安全要求。這些技能和流程通常超出了傳統(tǒng) IT 組織的能力。

保護(hù)OT環(huán)境是一種系統(tǒng)方法，需要識(shí)別高價(jià)值資產(chǎn)，評(píng)估這些資產(chǎn)的風(fēng)險(xiǎn)，并在其運(yùn)營(yíng)概念中進(jìn)行適當(dāng)?shù)陌踩珯?quán)衡。由于高度受限的環(huán)境和獨(dú)特的操作設(shè)計(jì)，并非所有安全風(fēng)險(xiǎn)都將在設(shè)備級(jí)別得到解決。定義的系統(tǒng)級(jí)方法將指導(dǎo)專家做出適當(dāng)?shù)陌踩珯?quán)衡。執(zhí)行威脅建模的方法有很多種，但組織必須采用一個(gè)流程來進(jìn)行所有新開發(fā)。

威脅建模的主要目標(biāo)是圍繞安全權(quán)衡展開討論，以最終確定安全要求和規(guī)范。為此，行動(dòng)概念將作為確定關(guān)鍵資產(chǎn)和分解系統(tǒng)的基礎(chǔ)。一旦存在，團(tuán)隊(duì)就可以開始使用建立方法識(shí)別威脅和漏洞，這些方法將作為初步的威脅模型。使用此模型，可以建立安全緩解措施，并應(yīng)進(jìn)行權(quán)衡討論。由于操作概念應(yīng)考慮整個(gè)系統(tǒng)設(shè)計(jì)，因此確保所有適當(dāng)?shù)睦嫦嚓P(guān)者都參與任何權(quán)衡討論至關(guān)重要。最終，任何未在組件級(jí)別解決的安全威脅都必須在更高級(jí)別得到緩解，或者被接受為可容忍的風(fēng)險(xiǎn)。采用標(biāo)準(zhǔn)流程進(jìn)行威脅建模和風(fēng)險(xiǎn)分析將有助于確保得出足夠的安全要求。

組織崛起以實(shí)現(xiàn)互聯(lián)工廠

OT的網(wǎng)絡(luò)安全威脅要求組織制定戰(zhàn)略，以實(shí)現(xiàn)互聯(lián)工廠。成功應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的復(fù)雜性通常需要組織變革。讓安全專家作為產(chǎn)品團(tuán)隊(duì)的一部分是朝著正確方向邁出的一步，但這還不足以使組織成功利用下一次工業(yè)革命。要做到這一點(diǎn)，變革必須發(fā)生在組織的最高層，并有贊助，以推動(dòng)和實(shí)現(xiàn)將延伸到整個(gè)商業(yè)企業(yè)的文化變革。這意味著網(wǎng)絡(luò)安全的中央組織將實(shí)施新的流程和程序來評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)，應(yīng)用網(wǎng)絡(luò)安全要求，監(jiān)控和響應(yīng)網(wǎng)絡(luò)安全事件，并執(zhí)行產(chǎn)品評(píng)估和驗(yàn)證。

制定產(chǎn)品安全保證計(jì)劃對(duì)于應(yīng)對(duì)未來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)至關(guān)重要。該計(jì)劃將確保開發(fā)團(tuán)隊(duì)了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、要保護(hù)的關(guān)鍵資產(chǎn)以及推動(dòng)運(yùn)營(yíng)績(jī)效所需的安全功能。支持該計(jì)劃的人員和流程必須到位，以確保在整個(gè)產(chǎn)品生命周期中解決網(wǎng)絡(luò)安全問題，并建立彈性基礎(chǔ)設(shè)施，以便快速響應(yīng)新的網(wǎng)絡(luò)安全威脅和事件。

組織需要通過展示一種在組織文化中路由并由標(biāo)準(zhǔn)流程和程序驅(qū)動(dòng)的意識(shí)和方法來響應(yīng)新的網(wǎng)絡(luò)安全要求。解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的組織方面是過渡到互聯(lián)工廠最困難的部分。所有公司都需要應(yīng)對(duì)這一挑戰(zhàn)，而那些引領(lǐng)文化變革的公司能夠更好地利用我們這個(gè)時(shí)代最重要的大趨勢(shì)之一。

ADI公司通過建立一個(gè)中央安全小組來應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全環(huán)境，負(fù)責(zé)在整個(gè)組織內(nèi)培養(yǎng)安全文化。發(fā)布與新產(chǎn)品開發(fā)流程集成的安全流程是在整個(gè)組織中推動(dòng)安全文化的關(guān)鍵步驟。這可確保對(duì)所有新產(chǎn)品的安全需求進(jìn)行評(píng)估，并為開發(fā)分配安全倡導(dǎo)者。安全倡導(dǎo)者負(fù)責(zé)確保安全要求充分保護(hù)關(guān)鍵資產(chǎn)，因?yàn)樗鼈兇嬖谟谕耆傻南到y(tǒng)設(shè)計(jì)中。由于安全性始終需要做出適當(dāng)?shù)臋?quán)衡，因此ADI公司的安全實(shí)施方案由負(fù)責(zé)互聯(lián)工廠安全的主要客戶進(jìn)行驗(yàn)證。與客戶利益相關(guān)者一起驗(yàn)證我們的安全實(shí)施，確保進(jìn)行安全權(quán)衡，從而實(shí)現(xiàn)操作環(huán)境。

作為安全文化制度化的一部分，ADI公司支持網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)，以評(píng)估新的安全威脅，響應(yīng)客戶網(wǎng)絡(luò)安全事件，評(píng)估產(chǎn)品影響并推動(dòng)產(chǎn)品安全更新。對(duì)管理大量產(chǎn)品組合的長(zhǎng)期影響可能是巨大的。進(jìn)行適當(dāng)?shù)囊?guī)劃，以促進(jìn)我們整個(gè)產(chǎn)品組合中安全解決方案的可持續(xù)性和管理。隨著系統(tǒng)集成商轉(zhuǎn)向其供應(yīng)基礎(chǔ)以解決嚴(yán)峻的安全挑戰(zhàn)并降低總生命周期成本，新產(chǎn)品選擇標(biāo)準(zhǔn)將產(chǎn)生強(qiáng)大的合作伙伴關(guān)系，以管理互聯(lián)工廠的總成本。ADI公司致力于為新系統(tǒng)設(shè)計(jì)提供最佳整體價(jià)值的長(zhǎng)期解決方案。

審核編輯：郭婷