在非洲采用国际标准保护关键基础设施

数字互联的世界有着巨大的 潜在的. 基于互联网的技术包括 成为每一个关键的组成部分 基础设施. 美国网络安全 基础设施安全机构(CISA)定义 关键基础设施作为资产、系统和 被认为至关重要的物理或虚拟网络 对民族国家，这样他们的妥协就会 对安全，公共卫生有削弱作用吗 或安全.¹ 关键基础设施的例子 包括发电和配电 系统，水和废物管理系统， 国防工业，运输和交通管制 systems. 传统上，这些系统在 隔离，主要使用传统的专有软件. 互联网技术在变革中的运用 关键的基础设施有很多好处，但它也 会带来风险和许多脆弱性.

越来越老练的对手， 决心和动力看得多 利用相关漏洞的机会 随着互联网技术的应用日趋重要 基础设施控制系统. 打击这些 威胁和确保支持互联网的系统的弹性需要一种系统的方法 健全的网络安全标准. 网络威胁 目标是关键的基础设施和规模 安全的风险和后果 违规行为凸显了为什么采用国际 国际自动化学会 电工委员会(ISA/IEC)标准 是否已经可以补充这些倡议 在非洲大陆开展并帮助实现 连贯的方法和基线水平 非洲网络安全.²

尽管这些标准占主导地位 它们是为工业过程部门开发的 已经应用于楼宇自动化， 医疗设备和运输部门.³

关键基础设施对手

针对关键基础设施的对手越来越多是拥有资源和动机对这些资产造成破坏的民族国家. 根据ISA，这些威胁的影响包括:

• 危及国家安全
• 健康、安全和环境损害，包括生命损失
• 关键服务不可用
• 负面宣传
• 失去公众信任
• 数据盗窃

在大多数非洲国家， 政府和监管机构 资金和其他方面不足 资源开发全面 资讯保安标准.

对关键基础设施的攻击正在变得 更倾向于摧毁资产，而不是 赚钱.⁴ 几起涉及 关键的国家基础设施说明了问题的严重性 这些威胁及其严重程度 潜在的影响:

• Stuxnet-这个恶意软件首次被发现于 2010年1月，在伊朗南塔兹核设施. 据信从 至少在2005年，震网的目标是监控和 数据采集(SCADA)系统 负责损坏离心机用于 铀浓缩. 震网被称为 世界上第一个数字武器.⁵
• Shamoon-这种病毒是在2012年发现的. The 第一次袭击因其破坏性而具有新闻价值 自然和恢复系统的成本. Shamoon可以通过一台被感染的机器传播 给网络上的其他人. 病毒可以编译一个 系统中特定位置的文件列表， 上传给攻击者，然后删除. It can 还要覆盖受感染计算机的引导记录 机器，有效地使其无法使用. 敌人利用Shamoon清除数据 沙特阿美公司的3万个计算机工作站， 人们相信另一个版本的 病毒被用来对付卡塔尔的拉斯气田.⁶ 一般来说, 这种性质的攻击在轻微的情况下不断发生 不同的复杂程度.
• 挪威海德鲁公司遭受勒索软件攻击—On 2019年3月19日，海德鲁，一个全球参与者 矿业和金属板块受到了重创 广泛的网络攻击影响了所有业务 操作. 虽然损害的程度 这些行动的代价各不相同 估计在46美元之间 百万美元和5200万美元.⁷
• 生命医疗安全漏洞据《医疗 是在南方开展业务的医疗保健提供商吗 非洲和博茨瓦纳. 2020年6月9日，该组织报告称，它受到了一次 网络攻击. 这次袭击影响了招生 系统，业务处理系统和 电子邮件服务器. 尽管没有技术细节 向公众公布了这次袭击是如何发生的 是案件发起后，突出威胁是什么 关键基础设施遭到网络攻击 在非洲大陆.⁸

抗击非洲威胁

鉴于威胁的严重性和 网络安全漏洞的影响程度， 非洲国家必须加强 他们预防、发现和应对此类疾病的能力 事件. 这些能力是可以开发的 通过一套一致的，可信的，连贯的 整体实现的标准，与其他 培训和宣传等战略举措.

尽管一些非洲国家的政府是 开始制定相关的立法框架 网络犯罪和网络威胁，大多数是非洲人 国家没有国家网络安全 制定指导保护工作的标准 国家重要信息网络和 systems. 根据国际的一份报告 电信联盟(ITU)， 44个国家中只有8个 非洲国家有标准或框架 网络安全的实现. 非洲国家 在发展和采用方面取得了长足的进步 标准包括肯尼亚、毛里求斯、卢旺达和南非 南非.⁹

标准的制定可能是一个漫长的过程 过程，在某些情况下需要数年时间. 这个过程 需要大量的金钱，时间和 专业知识. 在大多数非洲国家，政府 监管机构没有足够的资金和其他 资源开发信息全面 安全标准. 因此，采用 ISA/IEC 62443标准可以帮助政府 私营澳门赌场官方下载通过提供安全保障 基线和参考框架在很多方面 更低的成本.

非洲大陆经历了重大的变化 知识流失作为专业技术人员，包括 信息安全人员，已经迁移 到海外寻找更好的工作条件. A 2016年电气系研究学习 卡耐基梅隆大学计算机工程专业 非洲大学(卢旺达基加利)发现有 约7000名合格的信息安全人员 专业人士为整个大陆的人口 1.340亿年.¹⁰ 非洲国家可以利用ISA 标准，以弥合技能差距的指导方针 根据共识和专门知识制定的 来自世界各地的从业者. ISA/IEC 标准已被广泛采用 world. 联合国经济委员会 欧洲(UNECE)确认了ISA/IEC标准 将纳入共同规管 网络安全框架(CRF). CRF服务于 作为联合国对欧洲的官方政策立场声明. CRF的作用是建立一个共同的立法 欧盟贸易中网络安全实践的基础 markets.¹¹ ISA/IEC 62443标准已经通过 在亚洲、欧洲、拉丁美洲、中东采用 东部和北美. 在中东，国家 如卡塔尔，都是利用这些标准来发展的 拥有自己的国家AI工业控制系统 安全标准.¹²

isa / iec 62443系列 标准可以有所帮助 组织开发 强健的csm 提供更多粒度 比较指南 与其他标准相比 网络安全.

近日，一批来自全国各地的40家澳门赌场官方下载 全球(ISA全球网络安全联盟)来了 共同加强工业网络安全 意识和准备通过发展和 实施ISA 62443的最佳实践 标准. 这些澳门赌场官方下载包括毕马威、 霍尼韦尔，江森自控，罗克韦尔自动化 和施耐德电气.¹³

ISA/IEC标准的好处

ISA/IEC标准提供了一个灵活的框架 能广泛应用于工业控制吗 系统(ICS)环境，而不考虑 技术的使用. 这些标准还涉及 当前和未来的信息安全 漏洞. 还有其他标准，例如 国际标准化组织(ISO) 27000，涉及各个方面 cybersecurity; however, these 标准 have not 旨在解决安全，完整性， 工业自动化的可靠性和安全性 控制系统(iacs). 这主要是因为 成功的网络攻击的后果 IACS基本上是不同的. 关键含义 对IT系统进行成功的网络攻击 一般由于财务和隐私损失 信息披露. 相反，这意味着 也可能包括生命损失或 健康，对环境的破坏，或损失 产品的完整性.¹⁴

ISA/IEC 62443系列标准可以提供帮助 组织开发强大的网络安全 管理系统(csm)，因为它们提供更多 与其他标准相比，精细的指导方针 在网络安全. ISA/IEC 62443-3-3 -3系统安全 要求及保安级别详列 定义系统安全需求的指南 安全级别. 它定义了以下七个 IACS的基本安全要求:

• 识别和身份验证控制
• 使用控制
• 系统的完整性
• 数据机密性
• 受限数据流
• 及时响应事件
• 资源可用性

对于这些IACS安全需求中的每一个 标准定义了三个安全级别:目标 安全等级，达到的安全等级和能力 安全级别. 组织可以利用 评估他们现有安全状况的标准， 为每个基础定义目标安全级别 安全需求和安全评估 他们的技术部署能力 在它们的生命周期中.

采用ISA 62443的另一个主要好处是 标准就是控件内嵌的 文件可以映射到其他框架， 比如美国国家标准协会和 技术(NIST)网络安全框架(CSF). 这对已采用的实体很重要 CSF用于IT系统，62443用于操作 技术环境. 映射键的能力 控制消除不必要的重复 同时展示两者的遵从性 标准和框架.

ISA标准提供了一个通用的分类法和 产品供应商语言. 非洲 经历了各种ICS设备的激增 来自中国、欧洲和美国的供应商. 考虑到供应链的全球影响和 技术供应商标准的差异; 非洲国家可以通过采纳标准而受益 如ISA 62443-4-1 安全的产品开发 生命周期,¹⁵ 因为很多国家还没有定下来 严格的设备规格 关键基础设施. ISA/IEC 62443-4-1 标准可以被组织在开发中使用 招标文件(ITT)的编制 IACS投标的供应商技术评估标准 评估投标.

结论

关键基础设施遭受网络攻击的风险是 随着技术的进步呈指数增长 操作技术. 地震的强度 安全漏洞的威胁和后果 对组织有深远的影响吗 以及赖以生存的澳门赌场官方下载 组织. IACS网络安全从业者 应该提倡采用和整体性吗 实施关键基础设施 网络安全标准，如ISA/IEC标准; 还有其他的举措，比如提高意识和 培训，以帮助组织建立弹性.

尾注

¹ 网络安全和基础设施安全局(CISA)，“关键基础设施部门”， http://www.cisa.gov/critical-infrastructure-sectors
² 国际自动化协会(ISA)，“ISA标准”， http://www.isa.org/standards-and-publications/isa-standards
³ 国际自动化学会(ISA)全球网络安全联盟 快速入门指南:ISA/IEC 62443标准概述2020年6月 http://gca.isa.org/hubfs/ISAGCA%20Quick%20Start%20Guide%20FINAL.pdf?utm_campaign = ISAGCA % 20通信&utm_medium =电子邮件&_hsmi = 85876950&_hsenc = p2ANqtz-8EWeH7LBuH_w4FPYDqssxo0DFrM1GMh6zf0DFZSJ7dbscZt3q8oaUO_Td0c7cttSGvb5QDZqZxdW5ZFKZTqYr25jb6eDZItoisg6rQjkwX3TXpo4M&utm_content = 85876950&utm_source = hs_automation
⁴ Lohrmann D.; “How Vulnerable Is Critical Infrastructure to a Cyberattack?《澳门赌场官方软件》，2020年10月23日，
http://www.govtech.com/blogs/lohrmannon-cybersecurity/how-vulnerable-is-critical-infrastructure-to-a-cyberattack.html
⁵ Zetter K.; “Countdown to Zero-Day Stuxnet, the World’s First Digital Weapon,” Wired, 2014年11月3日 http://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/
⁶ 布儒斯特T.; “Warnings as Destructive ‘Shamoon’ Cyber Attacks Hit Middle East Energy Industry,” Forbes2018年12月13日
http://www.forbes.com/sites/thomasbrewster/2018/12/13/warnings-as-destructive-shamoon-cyber-attacks-hit-middle-east-energy-industry/?sh=3e75f6bf278c
⁷ 《澳门赌场官方下载》，2019年， http://www.hydro.com/en/media/on-the-agenda/cyber-attack/
⁸ 路透社，“南非生命医疗保健遭受网络攻击”，2020年6月9日， http://www.reuters.com/article/us-life-healthcare-cyber-idUSKBN23G0MY
⁹ 国际电信联盟(ITU) 2017年全球网络安全指数:非洲报告，瑞士，2017; http://www.itu.int/en/ITU-D/CYBERSECURITY/Documents/Africa_GCIv2_report.pdf
¹⁰ Adomoko K.; N. Mohamed; A. A. Garba; M. Saint; “Assessing 网络安全 Policy Effectiveness in Africa via a 网络安全 Liability Index,” SSRN电子期刊, 2018
¹¹ Intrado全球新闻专线, 联合国将ISA标准纳入网络安全监管框架委员会,2019年1月8日, http://www.globenewswire.com/news-release/2019/01/08/1682362/0/en/United-Nations-commission-tointegrate-ISA-standards-into-cybersecurity-regulatory-framework.html
¹² 卡塔尔国家信息保障， 卡塔尔国家ICS安全标准2013年1月，卡塔尔; http://www.motc.gov.qa/sites/default/files/documents/National%20Industrial%20Control%20Systems%20Security%20Standard-English.pdf
¹³ 巴塞特,R.; “网络安全 Standards Hit Their Stride,” International Society of Automation, InTech2020年11月至12月;
http://www.isa.org/intech-home/2020/november-december-2020/columns/cybersecurity-standards-hit-their-stride
¹⁴ Op cit ISA标准
¹⁵ Arampatzis,.; “What Is the ISA/IEC 62443 Framework?” 安全状况2019年9月10日 http://www.tripwire.com/state-of-security/regulatory-compliance/isa-iec-62443-framework/

Patrick Katuruza, CISA, ACS CP, CISSP, ISA/IEC 62443

是Morison Menon的首席技术审核员(工业控制系统)吗 咨询及谘询. 他在工业方面有丰富的经验 自动化控制系统(IACS)网络安全保障和 咨询.