DCS網路安全管理的核心是網路安全管理體系的建立、維護和改進過程, 宜按照GB/T 22080(ISO/IEC 27001)建立相應的組織管理體系。在明確體系建立和執行過程中必要的管理要素和具體要求,需要結合具體DCS應用實際情況選擇執行裁剪。
DCS網路安全管理體系(Information Security Management System) 旨在指導企業或組織在已有網路安全管理體系的框架或環境下, 建立、實施、執行、監視、評審、保持與改進檔案化的DCS網路安全管理體系(ISMS) 。DCS網路安全管理體系應綜合考慮資產重要性、資產地理位置、系統功能、控制物件和生產廠商等因素,將控制系統進行分割槽域管理。
企業可以參考管理要求,按照ISMS的建立、實施、執行、監視、評審、保持和改進過程中的安全要求。DCS使用者和DCS裝置生產企業和系統整合企業應成立相關的組織承擔相應的網路安全管理職責。最終,實現IT與OT科學融合。
透過,“規劃(Plan) -實施(Do) -檢查(Check) -處置(Act) ”,(PDCA) 模型來建立DCS系統的 ISMS過程,建立與管理DCS安全風險和改進DCS網路安全有關的方針、目標、過程和規程, 提供與組織或企 業總方針和總目標相一致的結果。
管理體系需要滿足符合法律要求 ,其實在各種標準中,都會提到合規性這個問題,其中很多國際標準都要求滿足當地法律,所以合規性是世界通用要求。在明確定義所有與DCS相關的法令、法規和合同的要求以及滿足這些要求企業或組織所採取的方法,並形成檔案,保持更新; 應實施適當的規程,以確保在使用具有智慧財產權的材料和具有所有權的軟體產品時,符合法律、法規和合同的要求; 防止重要記錄(如資料庫記錄、安全事件記錄、審計日誌等)的遺失,毀壞和偽造,以滿足法令、法規、合同和業務的要求;
應依照相關的法律、法規和合同條款的要求, 確保DCS重要工藝引數、資料的保護和隱私。 還需要符合安全策略、標準,技術符合性本項要求等。
參考檔案:
《工業自動化和控制系統網路安全 集散控制系統(DCS)第1部分:防護要求》
《工業自動化和控制系統網路安全 集散控制系統(DCS)第2部分:管理要求》
《資訊保安技術 網路基礎安全技術要求》
《資訊保安技術 網路安全等級保護基本要求》
工業控制系統安全:DCS防護要求思維導圖
美國喜歡賊喊捉賊,釋出工業控制安全警告
工業系統EtherNet / IP堆疊中報告嚴重漏洞
本田勒索攻擊驗證工業蜜罐研究的成果
工業環境中你要知道的七大安全漏洞
工控系統未來方向與克服IT與OT融合障礙的五種方法
