Douglas Clifton是Invensys的关键基础设施和安全实践的全球总监,“网络安全就像人寿保险一样。你不必买它,但如果你需要它,你的家人很高兴拥有它。除非发生灾难性发生的事情,否则你不会欣赏它。“
克里夫顿表示,英维思自2001年以来就一直在就网络安全问题与客户进行咨询,目前在北美拥有20多名面向客户的网络安全专家。克里夫顿于2006年加入英维思,组建了英维思网络安全团队,此前他曾负责北电网络(Nortel Networks)的网络安全咨询业务。他看到了这些年来威胁和态度的变化,他很感激意识正在提高。
在解决这些不断变化的行业态度方面,Invensys对其网络安全咨询服务表示明确的目的。“在工业中很多人使用传统的IT方法来保护控制系统。虽然它安全排队,但它并非完全适合,“克利夫顿说。“我们与IT咨询组织不同,因为我们了解工业需求。我们可以填补运营技术与信息技术之间的差距。“
克利夫顿说,“机器制造商投入的和最终用户的需求之间也存在差距。”“我们帮助(这两个群体)发现这些差距,并想办法填补它们。”
克利夫顿补充说:“我们的大部分时间都花在有监管要求的客户身上,比如电力行业以及他们遵守国家能源监管委员会标准的努力。”但在过去18个月左右的时间里,不受监管行业的客户变得非常感兴趣,想知道他们能做些什么来避免漏洞。”
为了解决对网络安全的不断发展的行业兴趣,Invensys最近推出了正式的网络安全评估服务,以帮助客户了解可能影响其运营安全性和可靠性的风险。在现场执行,控制系统评估提供了用户当前安全位置的基线,它可以用作开发策略的起点。该服务包括以下元素:
•站点和系统评估。评估结果在一份结论性报告中提供,其中突出了关键资产、脆弱性和风险。
•合规性评估。Invensys通过审查所需公司合规标准的操作和流程来解决合规性状态。
•建立安全基线。这允许客户衡量对安全性的当前状态和操作模型的进展。
关于合规问题,迈克尔马丁内斯,一名前ISO审计师和当前的Invensys网络安全顾问,通过网络安全的合规方面向参加人员举办一次会议。
“过去,如果你在车间系统上有USB端口,保护它们的最佳做法是环氧树脂。现在有办法通过软件来禁用它们,”克里夫顿说。马丁内斯会议中讨论的最佳实践遵从性问题还包括防止通过使用Web服务和SQL数据库而出现的漏洞。
Other conference sessions on cyber security include: “Cyber Security in the New World,” which describes how Invensys’ own R&D efforts incorporate security at all levels, and “General session 05–GISCP Certification,” which is a new certification to help control people understand the language of cyber security.
