Loading
《自动化前沿》第 82 期 | 专题报道

根据 NIST 最佳实践在制造业中实施网络安全策略

在技术驱动的世界中保护 IT 和 OT 系统的实用指南。
订阅

分享:

LinkedInLinkedIn
XX
FacebookFacebook
PrintPrint
EmailEmail
Tailor-cybersecurity-to-OT-environments
《自动化前沿》第82期
  • 专题报道
  • 管理视角
    • 风险管控
    • 风险管控
    • 关键基础设施弹性
    • 关键基础设施弹性
    • 半导体制造业
    • 半导体制造业
    • 丘奇&德怀特
    • 丘奇&德怀特
  • 新闻资讯

贵组织在多大程度上将网络安全视为业务策略的一部分?

第 9 版《智能制造现状报告》指出,网络安全首次在阻碍增长的因素中排名第三,进入前五名。从这个结果来看,企业显然需要在其 IT 和 OT 系统中提升网络安全的集成度。为了应对网络犯罪风险,制造商还将技术投资增加了 30%,着力于提升技能和雇用熟练员工。

此外,在 2024 年 Fortinet 运营技术和网络安全报告中,73% 的 OT 专业人士表示他们的 OT 系统在某种程度上受到了入侵影响。这一数字较前一年的 49% 有了显著增长。所有这些都表明,提高网络安全意识并采取行动来降低网络攻击风险的需求在上升。

 

通过 NIST 网络安全框架保障网络安全

为了应对这些挑战,国家标准与技术研究院 (NIST) 建立了专门的网络安全框架,供了一种结构化的方法来管理网络安全风险。NIST 最早于 2014 年推出该框架,用以支持关键基础设施,并于今年发布了 2.0 版本,旨在扩大其应用范围,惠及各大组织。

NIST Cybersecurity Framework

Credit: N. Hanacek/NIST

NIST 框架包括识别、保护、检测、治理、响应和恢复这六个部分。根据 NIST 规定,前四个环节应持续进行,同时为其余环节(响应和恢复)做好准备,以便在发生网络安全事件时能够及时实施。

这些基础方面引领企业朝正确方向迈进,并为解决网络安全威胁提供了起点。

随着行业和威胁形势快速演变,NIST 框架引入了多种实践,用于简化制造商根据自身风险偏好保障网络安全这一过程。
Loading

通过 NIST 确立以网络安全为先的思维方式

营造注重网络安全的组织文化并非一朝一夕之功。不过,通过正确的思维方式并加以指导,这一目标当可实现。此处提供以 NIST 框架为参考的入门指南。

Open All
Close All
评估与规划
Chevron DownChevron Down

确定贵组织拥有的资产及其风险。全面清查 IT 和 OT 资产,包括数据、硬件、软件、系统、设施、服务,甚至涉及的人员以及供应商和任何来自外部的相关风险。然后,评估并识别其中的潜在网络安全风险和漏洞。

接下来,执行差距分析。将贵组织当前的网络安全措施与 NIST 网络安全框架核心 (CFC) 进行比较,以识别任何差距并确定相应的补救措施。组织应寻找机会来改进策略、计划、流程、程序和做法,同时关注 NIST CFC 中的其他功能。

治理与策略
Chevron DownChevron Down

建立明确的治理结构。定义明确的角色和职责,包括成立网络安全治理团队。治理对于将网络安全纳入组织更广泛的企业风险管理 (ERM) 策略至关重要,因为治理为整个组织制定和执行网络安全策略提供可信数据来源。

制定策略:通过治理讨论制定与 NIST CSF 相符的网络安全策略和程序,并确保在整个组织中贯彻实施。明确角色和职责后,便可顺畅执行策略。

技术和工具
Chevron DownChevron Down

在评估需求并制定适当的策略和程序后,应部署相应的安全解决方案。实施边界控制、基于网络的解决方案和终端保护。

集成为工业控制系统 (ICS) 和 OT 安全构建的监控工具。这可确保及时检测并响应威胁。

培训和意识
Chevron DownChevron Down

对于任何组织而言,最重要的资产都是员工。定期开展网络安全培训课程,以使员工了解最新的网络威胁并清楚应对攻击事件的方法。

网络安全领域在浑然不觉间不断发生演变,因此开展持续性宣传活动以引起大家重视颇为重要。

事件响应和恢复
Chevron DownChevron Down

每个组织都应安排一个安全运营中心 (SOC) 和网络安全事件响应团队 (CSIRT),这样一旦发生网络安全事件,他们便可以及时应对。

制定 OT 专项响应计划。明确事件响应计划和需要采取的行动。确保恢复计划制定妥当,以尽快恢复运营。

持续改善
Chevron DownChevron Down

定期审计和评估对于确保合规性和发现不足之处至关重要。为有效防范新威胁和技术,必须不断更新网络安全措施。

为制造商提供端到端的网络安全支持

随着新技术的出现,网络安全风险不断扩大,必须持续不断地管理这些风险。无论组织处于网络安全之旅的哪个阶段,总有改进的空间。

罗克韦尔自动化可以帮助制造商遵循 NIST CSF,并通过结合利用合适的专业知识、技术和工具来保证合规性。使用 NIST 框架保护 OT 网络还有助于轻松满足未来法规的要求,例如欧盟《网络弹性法案》和《机械法规》(EU) 2023/1230。

罗克韦尔自动化工业网络安全服务:

  1. 整体战略
    覆盖企业 IT 和 OT 环境,提高我们产品、服务和解决方案在各类环境中的安全性和弹性。
  2. 治理和结构
    网络安全风险是我们整体企业风险管理计划的一部分,由包括首席信息官 (CIO) 和首席信息安全官 (CISO) 在内的安全领导者负责管理,并由董事会监督。
  3. 深度防御
    所有边界控制、基于网络的控制和终端保护都通过结合人类专业知识以及机器智能进行管理,以确保没有任何漏网之鱼。
  4. 事故响应
    全天候 SOC 监控和检测事件,并由 CSIRT 根据严重程度处理事件。这个专业团队将立即优先处理任何事件,并根据事件的性质、范围和影响与客户密切合作。
  5. 员工培训

     

    我们定期开展安全培训和网络钓鱼评估,以确保员工不仅了解网络安全最佳实践,还能充当组织的“人墙”。

 

归根结底,每个组织的安全性都取决于准备就绪的程度。通过遵循可靠的合规性标准并与具备相应专业知识的合作伙伴合作,企业确信自己始终拥有最佳解决方案,因而可以安心运营,避免可能严重影响公司利润、代价惨痛的网络攻击。

完善组织网络安全做法越早越好、永不嫌迟!点击此处开始。

主题: Cybersecurity
订阅 Rockwell Automation

在您的邮箱直接获取最新资讯、重要洞见和信息 。

立即订阅
为您推荐
Loading
  1. Chevron LeftChevron Left Rockwell Automation 主页 Chevron RightChevron Right
  2. Chevron LeftChevron Left 公司 Chevron RightChevron Right
  3. Chevron LeftChevron Left 新闻 Chevron RightChevron Right
  4. Chevron LeftChevron Left 根据 NIST 最佳实践在制造业中实施网络安全策略 Chevron RightChevron Right
请更新您的Cookies偏好以继续.
此功能需要Cookies来增强您的体验。请更新您的系统偏好以允许使用这些Cookies:
  • 社交媒体Cookies
  • 功能Cookies
  • 性能 Cookies
  • 市场营销Cookies
  • 所有Cookies
您可以随时更新您的系统偏好。如需了解更多信息,请参阅我们的 {0} 隐私政策
CloseClose