每个人都知道,当公司在工业环境中使用以太网时,安全性成为一个问题。但是,企业往往很难批准所需的时间和资金,来建立高效且具有成本效益的安全系统。在当前的经济低迷时期,证明这些支出的合理性是确保企业资产安全的一个关键方面。
避免浪费是至关重要的,但如果病毒、攻击或其他问题导致网络关闭,它可能会推迟投资,使公司容易受到关闭和其他问题的影响。当发电等环境的监管机构迫使供应商加强保护时,情况就会发生变化。2007年,北美电力可靠性公司(NERC)开始对公用事业公司实施安全合规规定,此后,负责监控加拿大安大略省电网的独立电力系统运营商(IESO)采取了重大举措。
要满足NERC的要求,就需要对网络进行重大检修。IESO信息安全官本•布莱克利(Ben Blakely)表示:“我们从头开始,拆除所有的网络,然后对它们进行升级,并在我们的设备上安装现代操作系统。”
这家总部位于多伦多的公司还增加了一些其他软件工具。“我们添加了一个补丁管理系统,安装了很多反病毒扫描程序,并添加了TippingPoint技术,”布莱克利说。TippingPoint Technologies Inc.位于德克萨斯州奥斯汀市,是3Com公司旗下一家提供基于网络的入侵防御系统的公司。“我们想要一个能够收集数据并监控电线上发生的事情的系统。但我们也想确保我们没有屏蔽适当的信息,”布莱克利说。
钱在哪里?
这些措施在不受监管的行业同样重要。但在采取行动之前,许多公司都在从一个新的角度看待安全问题。安全性必须对底线做出贡献,帮助增加正常运行时间并降低风险,同时证明所有时间和金钱支出是合理的。鉴于经济低迷,对投资回报率(ROI)的关注变得越来越重要。“没有良好投资回报的证券是浪费钱。但如果你做得好,你会得到很好的投资回报率,”埃里克·拜尔斯说,他是网络安全咨询和产品公司拜尔斯安全公司的首席技术官,该公司位于加拿大不列颠哥伦比亚省的兰茨维尔。“就像安全一样,安全也会自付费用。”
众所周知,向以太网和传输控制协议/互联网协议(TCP/IP)转移的缺点使安全性更加重要,抵消了提高企业兼容性和降低成本的好处。但这种理解并不总能转化为减少风险的努力。制造设备供应商指出,监管是企业对安全重视程度的关键驱动因素。那些在受监管领域的人没有选择,而许多在不受监管领域的人在将宝贵的资源投入安全系统和流程之前正在慢慢来。
“公司几乎可以分成两部分。位于俄亥俄州梅菲尔德高地的供应商罗克韦尔自动化公司的业务开发经理Doug Wylie表示:“过程自动化通常更先进、更成熟,这在一定程度上是由石油和天然气等领域的政府指令推动的。“在工厂自动化方面,对安全的关注没有那么大。”
运行安全
随着企业希望削减任何开支,将安全和安保联系起来正变得越来越普遍。两者都与工业世界中最关键的参数之一密切相关:正常运行时间。当安全或安保受到损害时,无论问题是由员工还是外部人员引起的,通常都会停止生产。
“安全通常意味着防止恶意攻击,但也意味着保持系统正常运行。公司需要控制人类行为通常带来的意想不到的后果。“企业需要超越成本,关注保护信息和设备的价值。”
去年年底,霍尼韦尔(Honeywell)开始提供由TÜV莱茵(Rheinland)创建的安全课程,强调安全、正常运行时间和安全之间的联系。TÜV莱茵是一家为欧洲工厂提供认证的机构。位于凤凰城的过程自动化供应商霍尼韦尔过程解决方案(Honeywell Process Solutions)的营销总监斯科特•希尔曼(Scott Hillman)表示:“培训模块旨在为制造商提供实用建议,帮助他们更好地准备应对潜在事件、避免停机并保护员工。”
安全的最大因素之一是了解整个网络,并承认其弱点和长处。首先要创建一个可靠的体系结构,然后进行大量测试,以充分了解整个网络的细微差别。后一个步骤是成功的关键方面。
“管理风险的真正关键是要比任何黑客都更了解你的系统。你不能根据规格表建立网络。Perry Pederson是位于加拿大不列颠哥伦比亚省温哥华的工业网络安全供应商和咨询公司Wurldtech Technologies的分支机构——Wurldtech Labs的副总裁,他说:“在你把组件放在一起并通过严格的测试之前,你不会知道有一些突发行为。”
与此同时,管理者必须确定他们可能看到的威胁类型。在一些设施中,外部人员可能会花时间设计一场社交攻击,通过下载包含病毒的文件来欺骗员工创建漏洞。
为保护创建层次结构意味着确定关键资产的位置并确保它们受到保护。但这种等级制度必须保护整个网络,因为很难确保进入系统的问题不会转移到其他领域。最好设计一些技术,把问题隐藏在外面。
Byres说:“威胁建模首先要弄清楚所有网络资产的位置,然后查看所有入口和出口点,并确定当有人试图拦截、更改或阻止消息时会发生什么。”
不幸的是,执行威胁分析并不是一项简单的任务。这是工具提供商在很大程度上忽略的一个领域。缺乏自动化工具意味着这项工作将是乏味和耗时的。“一个问题是,进行威胁分析仍然很痛苦。现在,你需要大量的电子表格。Byres说:“许多工具都在啃问题的边缘,但在这个领域,IT(信息技术)并没有远远领先于工业。”
防守位置
一旦团队弄清楚威胁和漏洞的位置,他们就可以开始安装防护技术。添加提供安全的硬件和软件是必要的一步,但它经常引起工业人员的怀疑,因为在专有网络通过模糊提供安全的时代,他们不必担心保护。然而,支持者表示,没有什么理由担心。“客户不应该担心安全问题。公司可以安装不干扰其操作的系统,”Wylie说。
防火墙是第一道防线之一。它们可以将前台网络与工业连接隔离开来,也可以站在设施各个部分的子网之间。虽然防火墙是一个重要的工具,但专家警告说,它们的有效性不应被高估。“你必须了解系统的弱点,并针对这些弱点调整防火墙。没有适当规则的防火墙是一种穿越装置,”世界科技实验室(worldtech Labs)首席技术官内特•库贝(Nate Kube)表示。
随着黑客和安全专家之间的军备竞赛继续进行,这一警告正变得越来越普遍。一个好的规则集使防火墙更有效,但没有什么是万无一失的。一位帮助IT公司发现商业网络故障的入侵专家指出,它们应该是众多障碍之一。“防火墙不再是一种安全的技术,我们的平均渗透时间是30到50秒,”新泽西州门德汉姆Netragard LLC的首席技术官Adriel Desautels说,“一旦你穿过防火墙,你就可以控制它后面的一切。”
使防火墙或大多数其他保护技术更有效的一种方法是减少他们看到的麻烦流量的数量。在使用标准设备的设施中尤其如此。例如,在只需要两个或三个端口的地方安装一个四端口的交换机通常更便宜、更简单。Wylie说:“你必须确保你所做的事情都是良好的实践,比如关闭交换机上未使用的端口。”
虽然这似乎是显而易见的,但这是一种经常被忽视的事情。一个相关的问题是确保所有设备正常运行,仅在必要时才将数据包放到网络上。这样可以提高安全性并减少网络流量,从而带来有效增加可用带宽的额外好处。“我们打算在一家炼油厂增加防火墙,但我们发现很多流量都不符合他们的预期。从像000这样的地址发送的大量信息必须清理,”拜尔斯说。
软的解决方案
还有一些软件技术可以帮助工业管理者保护他们的网络。操作系统近年来不断发展,提供了分区来隔离任务,而应用程序包则解决了补丁的挑战。
软件在整个电子行业中的重要性持续增长,因此它在网络安全中的作用越来越受到关注也就不足为奇了。华盛顿州雷德蒙德市。美国软件巨头微软公司(Microsoft Corp.)已经在IT界证明,操作系统是一个可能被黑客利用的关键组件。它的应用程序包也很脆弱,就像工业和前台市场上的其他供应商一样。
当管理者建立隔离设备的墙时,这个软件就像防火墙一样重要。“你只需要一个薄弱环节就能进入,”TippingPoint技术公司DV实验室集团的副安全分析师加内什•德瓦拉詹表示。“操作系统漏洞扮演了重要角色。其次是应用程序漏洞。”
许多操作系统现在对任务进行分区,以便一个部分中的问题不能跳转到另一个部分。这在很大程度上消除了恶意软件在整个设施中传播的能力。这种技术有时被称为填充电池技术,最初用于飞机和国防应用。它现在正在迅速扩展到工业应用中。
“当你有一个安全的操作系统时,它可以让你创建具有更高安全性的系统,”加利福尼亚州圣巴巴拉市绿山软件公司(Green Hills Software Inc.)的首席技术官戴夫·克莱德马赫(Dave Kleidermacher)说,“即使有人通过你的浏览器入侵,你也可以隔离节点。”
在无法迁移到更新、更安全的操作系统的环境中,有一些软件工具可以隔离各个部分。例如,这些工具可以防止消息进入未经授权的区域和具有昂贵设备的关键区域。“如果一个子网不应该与另一个子网通信,我们确保它们不会这样做
沟通,”德瓦拉扬说。
正在进行的挑战
建立网络安全系统的任务有点像得到一只宠物,它是一个不断赠送的礼物。那些制造病毒和其他疾病的人将不断发现新的漏洞,工厂里的设备可能会发生变化。
在灵活的工厂中,这种情况越来越明显,因为设备之间的联系是不断变化的。在保持不变的设施中,不断地生产相同的产品,仍然会有变化。
“这是一个动态的领域,你永远不会真正结束。即使硬件是静态的,软件也会发生变化,从而打开潜在的漏洞,”Pederson说。
软件升级是一个不断修订的领域。改进是零星出现的,它们可能并不总是提供足够的好处来保证安装。但补丁是另一回事。他们中的许多人将在安全方面发挥关键作用,关闭直到程序发布后才被发现的漏洞。
在工业应用程序中,补丁通常在发布几个月后才安装。这为那些想要利用漏洞的人创造了机会,这些漏洞通常可以通过任何人都可以在网上获得的免费程序成功攻击。软件和服务提供商正在提供填补这些空白的系统。
“我们在网络外安装了安全设备。它可以监控流量,防止任何东西进入并攻击未打补丁的端口。”3Com公司提供入侵检测工具。
去年年底,当一种病毒迅速爆发时,这对IESO来说很重要。“当微软的网络浏览器出现问题时,一些东西被发布到野外,并没有补丁。我们利用了TippingPoint工具来确保它不会进入我们的网络。
确保网络安全
公司现在期望安全能够帮助他们提高利润。
2009年2月3日