能源与油气行业运营关键基础设施,运营技术(OT)与信息技术(IT)的融合产生了传统审计无法覆盖的攻击面。专业评估涵盖工业安全控制、运营连续性和行业特定监管合规。
2021至2024年间,针对能源关键基础设施的攻击增加了87%。据ICS-CERT数据,62%的行业组织缺乏更新的OT资产清单。IEC 62443及与ISO 27001的整合是IT/OT融合环境中实现可追溯运营的最低要求。
IEC 62443 — 工业自动化和控制系统安全
ISO/IEC 27001:2022 — 信息安全
ISO 22301:2019 — 业务连续性
NIST SP 800-82 — 工业控制系统安全指南
ISO 27001是为IT环境设计的,其中机密性是优先事项。在OT环境中,可用性和物理安全至关重要:被入侵的PLC可能导致工业事故。IEC 62443通过工业控制系统的特定控制措施(包括区域分段和安全级别)补充ISO 27001。
融合使SCADA系统和PLC暴露于以前隔离的攻击向量。拥有企业网络访问权限的攻击者如果没有适当的分段,可以转向OT网络。工业安全评估映射这些融合点并评估现有隔离控制的有效性。
据ICS-CERT数据,该地区仅38%的能源行业组织拥有更新的OT资产清单。没有资产可见性,就无法评估风险或实施有效的安全控制。任何评估的第一步都是全面的OT表面调查。