如果说在过去的几年里我们都学到了一件事,那就是我们的工厂地面系统并不像我们曾经认为的那样安全。在车间和员工家中穿梭的u盘、cd和笔记本电脑的激增证明,将车间系统与企业系统分开的“气隙”根本不存在。
保护您的系统的最终方案各不相同,可能花费很大,需要大量的关注,并且可能非常复杂。但是,通过遵循这5个实际步骤,无论工厂规模大小,您都可以为工厂提供可靠的基线安全水平。
当你通读这些步骤时,你可能会发现这些建议非常简单和实用。虽然这是事实,但这与美国政府机构(包括DHS, INL, US-CERT, ICS-CERT和NSA)以及ISA和IEC等标准组织的建议是一致的。
1.你在担心什么?首先要认识到的是,不可能防止所有可能的安全漏洞的发生。这就是为什么大多数专家建议进行风险评估。简单地说,你需要创建一个列表,列出那些最有可能发生的、值得在你的业务范围内预防的真实事件——特别注意你最重视的事情。邀请你信任的同事和公司以外的人在这个过程中提供客观的帮助。在这个领域,避免被哗众取宠所左右也是很重要的。采取必要的措施来保护您的业务,但要保持正确的态度。为了确保你做到了这一点,根据问题发生的容易程度或可能性以及如果发生了问题会有多大来确定你创建的列表的优先级。考虑外部人员和员工有意和无意的行为。对于您列出的每个问题,创建补救计划以减少或消除最高的潜在威胁。
2.认为广泛。如果您从可用的选项中选取最广泛的选项,并优先考虑您的选择以解决列表中最高级别的风险,那么您的安全计划将是最有效的。你的选择范围应该包括:
- 公司政策和程序。虽然你期望自己的员工始终如一的行为有非常实际的限制,但这是开始和结束你的安全计划的好地方。您还应该更新您的策略和程序,以便在发生安全漏洞时做出适当的响应。
- 物理安全。过去的锁和钥匙阻碍了工人的行动,现在有了摄像头和传感器,可以在不显眼的情况下提供授权访问。在整个工业网络设施中运行的同一以太网网络也可以为安全摄像机和设备提供电源和信号。
- 网络安全。为了给正确的人和正确的应用程序访问权限,同时阻止其他人进入,需要创建一个以太网网络基础设施,将各种物理区域和逻辑功能划分(分段)。良好的设计和良好的工业交换机、无线设备和路由器使用vlan(虚拟局域网)、子网和第3层路由提供这种功能。如果您不熟悉这些设备,请向可靠的工业以太网设计人员寻求帮助。确保在整个系统设计中添加工业安全设备,而不仅仅是在网络的边缘。这意味着在区域之间包括安全层。这些领域最好的安全设备将提供一系列的监控和保护,以及特定于工业网络的功能。最好的安全设备的另一个令人满意的方面是,它们可以在不中断工厂操作的情况下进行更新。
- 设备安全。如今,许多自动化设备都包含安全特性,但重要的是要认识到这些特性的可用性通常不一致。虽然这些功能可以帮助您制定整体安全策略,但您可能会发现将这些设备锁在控制柜中或使用网络安全保护比处理设备之间的不一致更有效。
- 计算机安全。这是您的IT团队可以发挥重要作用的一个领域。这里的底线方法包括:使用来自知名安全公司的优秀杀毒软件;将应用程序限制为仅需要的应用程序;严格执行公司的政策和程序。不要忘记启用扫描USB驱动器、dvd和网络流量的功能,以及自动下载新的病毒定义。定期检查您的系统以确保这些功能保持启用状态。
3.去做吧。确定并执行你的计划。打开正确的功能。不要让这些功能在你不知情的情况下被绕过。
4.重新审视。最好的安全性包括使您的应用程序成为移动目标的元素。除非你的计划包括定期更新杀毒软件和防火墙保护,否则不要从安全开始。它还应该包括定期重新评估威胁和安全实现的整体有效性,并根据需要调整空间和预算。
5.考虑专业人士。无论您是否愿意处理上面列出的步骤,都不要忽视引入具有工业网络和安全专业知识的人来帮助您的计划和设计的想法。网络安全游戏每天都在变化,有时每小时都在变化,从专注于工业网络安全的人那里获得帮助,可以在保护、风险缓解和补救方面获得巨大回报。但要注意,如果你聘请的专家没有带你完成上面列出的步骤,那就选择其他人。
要了解更多有关设备和程序的信息,您可以使用它们来保护您的操作,请参阅百通白皮书,详细介绍“关键任务安全应用程序的网络解决方案”。
