宾夕法尼亚州塞勒斯维尔(Sellersville)的exida安全服务主管约翰•库西马诺(John Cusimano)指出,德语单词“sicherheit”既有安全的意思,也有安保的意思。这家总部位于美国的工业安全服务公司最近增加了网络安全服务。
库西马诺说,这种双重定义只是安全和安保学科相互交织的一个例证。特别是在工业世界,越来越多的迹象表明,安全和网络安全领域正在变得更加紧密。
这一趋势的一个驱动因素是安全集成系统(SIS),一旦完全孤立,越来越多地与连接到外部世界的过程控制系统连接或集成。这引起了一些阵营的担忧,黑客可能会导致安全系统出现问题。
根据许多人的说法,一个更大的驱动因素是,人们越来越认识到安全和安全生命周期之间存在许多相似之处,并且将这两种方法结合起来可以提高效率。
这就是为什么安全专家exida正在进军网络安全服务领域。“我坚信,我们在功能安全认证工作中获得的技能、分析技术和经验绝对可以直接应用于安全领域,”exida联合创始人兼管理合伙人比尔•戈贝尔(Bill Goble)表示。该公司打算为安全和安保服务提供“一站式购物”——既为寻求产品安全和网络安全认证的供应商,也为寻求这两方面帮助的最终用户。
功能安全和网络安全学科之间的重叠也是国际自动化学会(International Society for Automation)最新举措之一的推动力ISA99该委员会负责制定工业自动化和控制系统的安全标准。今年5月,ISA99联合主席宣布成立一个联合工作组,不仅包括ISA99的成员,还包括ISA84安全委员会的成员。到6月中旬,被称为ISA99第七工作组(WG7)的联合小组吸引了50多名参与者,其中包括安全和网络安全方面的知名专家。
“有些人可能会得出结论,认为这是一个工作组,试图确定如何使SIS系统更安全。但事实并非如此,”七国集团联合主席迈克·布德罗说。“第7工作组的重点是寻找方法,从现有的功能安全领域获得许多最佳实践和概念,并将其应用于功能安全领域,”ISA84成员、自动化供应商艾默生过程管理公司的DeltaV SIS产品经理Boudreaux解释说。
ISA99委员会联合主席Bryan Singer补充说:“我们希望使安全措施尽可能易于采用和实施,而实现这一目标的方法是尽可能与现有的(安全)工程实践保持一致。”他还与Boudreaux共同主持了七国集团工作会议。辛格解释说:“这就是为什么引入像ISA84这样与这些工程学科更合拍的专家是完全有意义的。”“他们可以帮助我们在有意义和需要的地方将这两者融合在一起。”辛格补充说,通过吸取安全方面的经验教训,并在适当的地方借鉴,ISA99还希望能够缩短制定有效的网络安全标准和相关工作流程所需的时间。
位于阿拉巴马州佩勒姆的Kenexis Security公司首席顾问辛格说,工业网络安全界可以从安全方面学到很多东西。他指出,经过几十年的学习,安全标准和相关的工程实践已经成熟且完善。辛格说,尽管安全和安保学科确实存在显著差异,但许多安全流程和程序在安保方面有相似之处。
博表示同意。例如,他说,“在安全生命周期的前端,你试图弄清楚你的风险是什么,你所做的风险分析与你为安全所做的风险评估非常相似,你要识别不想要的后果,评估这些后果发生的可能性,并在此基础上,你有一个需要实施防范措施的风险水平。”
在安全领域,诸如国际电工委员会的IEC 61508和IEC 61511等标准描述了分配安全完整性等级(SILs)的方法,以指定由安全功能提供的不同级别的风险降低。类似地,ISA99委员会正在研究一个被称为sal(安全保证级别)的安全概念。正如安全完整性级别范围从最低的SIL 1到最高完整性级别的SIL 4, SAL方法,正如目前所设想的,将涵盖SAL 1到SAL 4,指定网络安全保护的上升级别。
辛格说,这个概念的简单性是迄今为止工业网络安全领域所缺乏的。他讲述了他最近参加的一次安全咨询工作评估面试的故事。在面试过程中,一位潜在的终端用户客户称他为巫医。这位终端用户告诉他:“你来到这里,在系统上摇鸡,让它看起来非常复杂,我真的不知道你在做什么。”“我无法理解我是否真的从中得到了什么体面的东西。”
辛格说,他一开始觉得被冒犯了。但在仔细考虑了这句话之后,他认为最终用户是对的。辛格承认,在网络安全领域,“我们都认为这个想法太复杂了,我们不可能把它归结为一致和可重复的东西。”他说,当最终用户聘请网络安全顾问时,他们被迫“依赖此人的可信度”,因为没有可测试、可重复或可理解的方法来自信地知道所提供的解决方案是合理的,并将提供所需的保护。
辛格说,在安全领域,SIL模型“无法否认安全是一个非常复杂的技术话题这一事实。”“但是,从车间一直到顶层,组织中任何级别的任何人都可以很快理解它。”他希望SAL模型可以在安全方面做同样的事情,同时——在安全方面——提供一个清晰、可重复和高效的基于工程的过程,网络安全从业者可以使用它来评估和设计过程。
虽然许多人同意安全和网络安全在其生命周期的前期部分有相似之处,但这两个学科之间也存在一些显着差异。一个大问题涉及威胁的性质。位于俄亥俄州梅菲尔德高地的供应商罗克韦尔自动化公司网络与安全服务首席安全顾问、WG7成员Bradford Hegrat表示:“安全和安保的主要区别之一是,安全不考虑恶意意图。”
其他人很快表示同意。“安全领域的重点是设计具有可预测硬件故障率的设备。因此,当我在那里安装一个设备时,我可以预测它在未来20年的整个生命周期中发生故障的频率,”布德罗说。“但是,可预测的、随机故障的概念并不适用于安全,”他继续说,因为威胁来自黑客、罪犯和恐怖分子。“在安全方面,当你采取保护措施时,你无法预测它的使用寿命会有多长。”
一些人认为,这些差异可能会妨碍安全和安保方法的有效统一。“安全是基于一般的统计数据。因此,如果我有1000台仪器,我就可以根据演示的MTBF(平均故障间隔时间)率,知道每年会有多少次故障。当我知道这一点时,我就可以计算出SIL,”位于荷兰Rijswijk的油气巨头壳牌全球解决方案国际有限公司的过程控制安全和架构全球经理Ted Angevaare说。
但是,安格瓦雷说,安全是基于一种完全不同的方法,涉及到一些因素,比如你的系统加固得有多好,你的人员培训得有多好,你是否有防火墙,以及你修补系统的速度有多快。安格瓦雷说:“这决定了你的设施面临的风险,你无法将其与(用于安全的)故障统计分析进行比较。”他断言,安全性与MTBF无关。因此,我认为开发一种工具来进行安全评估将是极其困难的,就像我们对SIL安全所做的那样。”
威胁差异还对安全生命周期的操作和维护阶段产生重大影响,这一阶段与安全生命周期的相应阶段明显不同。“安全在某种程度上是一个固定的过程。一旦你发现了风险,流程到位,并将安全系统投入使用,它就不会改变,”艾默生过程管理公司DeltaV产品经理兼安全架构师鲍勃·胡巴(Bob Huba)说。
胡巴说,这与安全领域形成了鲜明对比,在安全领域,新的威胁不断出现。他指出:“你安装了杀毒软件,它的寿命是按天计算的,因为总会有新的东西出现——下一场冲突,或者下一个Sasser蠕虫。”“所以它在不断发展,在我看来,安全方面的管理要比安全方面的管理复杂得多,也繁重得多。”
尽管在某些领域存在重大差异,但安全与安保相结合的支持者认为,这些重叠之处使这个想法非常值得追求。例如,在exida, Goble同意安全领域使用的统计分析不太可能在安全生命周期中发挥作用。他表示:“但其余部分实际上大同小不同。”尤其是在流程的前期风险评估和设计阶段。
从今年开始,exida在其长期的安全服务组合中增加了网络安全服务,包括供应商产品认证和最终用户咨询服务。在供应商方面,exida于今年3月宣布与位于加拿大不列颠哥伦比亚省温哥华的Wurldtech Security Technologies建立合作伙伴关系,exida将获得Wurldtech的Achilles网络安全认证项目的授权。exida的Cusimano说,这将补充exida在安全方面为供应商提供的IEC 61508认证工作。在宣布收购Wurldtech仅两周后,exida宣布收购位于加拿大不列颠哥伦比亚省Lantzville的Byres Research,此举也加强了面向终端用户的网络安全服务。
Goble说,通过一种更有效的方法,将会节省成本,从而为现有客户(包括供应商和最终用户)带来好处。他解释说:“我设想一种综合的(安全和安保)风险分析,这样你就不必重复这一过程了。”这意味着雇佣一个单独的第三方,而不是两个独立的公司,来处理安全和安保流程。
辛格在去年秋天与俄亥俄州哥伦布市的安全服务公司Kenexis Consulting Corp.合作成立了Kenexis Security公司,希望在安全和安保方面提供以终端用户为中心的服务。
辛格指出:“如果我们知道我们必须通过设计核电站来解决这两个挑战(安全和安保),那么我们能做的最糟糕的事情就是通过我们现有的工程学科,设计核电站,调试核电站,然后回过头来说,‘现在,我们需要担心安全问题。’”“多年来一直是这样做的。”他说,通过从一开始就从根本上解决安全和安保问题,资产所有者将能够避免以后执行第二个昂贵的过程来发现和解决安全漏洞。
同样,worldtech也在寻求将网络安全和安全流程结合起来。作为与exida合作的一部分,网络安全专家Wurldtech也获得了exida的安全专业知识。到目前为止,该公司一直专注于通过其阿基里斯项目为供应商提供网络安全产品认证服务。但据Wurldtech总裁兼首席执行官泰勒•威廉姆斯(Tyler Williams)称,该公司也在寻求扩展到终端用户服务领域,最终的目标是协调供应商和终端用户的安全和安全流程。
Williams表示,除其他事项外,Wurldtech正在与主要油气客户合作,制定一个流程标准,通过该流程,工厂现场验收测试(SAT)将纳入网络安全组件,以满足公司已有的SAT安全要求。然后,他说,“我们希望看到一个持续的过程,在同一过程中,每季度、每年或每两年对安全和保障进行监控、管理和更新。”
许多人指出,随着各种想法的提出,与安全相比,控制系统网络安全仍然是一个相对不成熟的市场,这一点很重要。
例如,WG7成员Graham Speake指出,SAL概念“确实处于早期阶段”,他是休斯顿能源公司BP的信息和技术服务、数字安全方面的风险管理顾问。“我认为我们可能都有不同的观点,我们可能必须把每个人的想法都扔到戒指里,然后说,‘好吧,让我们讨论它们的优点,’然后试着开发一些不那么复杂的东西,没有人会做,但足够准确,每个人都会说,‘是的,这是我可以把帽子挂上的东西。’”
七国集团联合主席布德罗补充说:“我个人认为,安全问题是10年前的问题,甚至可能更久。”“但我认为,安保方面的进展可能会比过去更快。”
拜尔斯研究公司(Byres Research)首席技术官埃里克•拜尔斯(Eric Byres)也是如此。拜尔斯目前隶属于exida。Byres说,他注意到最近网络安全标准的发展速度发生了变化。“《ISA99》已经真正开始得到支持。那里正在制定更加严格的安全标准,我认为这是因为将良好的安全实践转移到了安全方面。”
拜尔斯说,他甚至希望看到一些“新的数学技术”被开发出来,以更有效地处理网络安全领域的一些变幻莫测的问题。他指出:“安全领域的所有数学计算都是概率性的。”这种方法在安全领域是行不通的。但是Byres相信,通过借鉴其他领域——比如计算机软件和航空——安全从业者也许能够开发出更好的数学模型来观察控制系统的网络威胁。“这并不是简单地把安全领域的一切都直接应用到安全领域。我们必须修改它,让它发挥作用。”
位于密歇根州米德兰的陶氏化学公司的工程解决方案信息技术(IT)顾问Eric Cosman总结道,无论最终结果如何,目前将网络安全与完善的功能安全标准和实践紧密结合起来的努力几乎肯定会产生积极的结果。他与辛格共同担任ISA99委员会主席。
科斯曼说:“我不认为自己是这方面的权威专家,但我知道像布莱恩·辛格(Bryan Singer)和其他人这样的人决心尽可能地推动这一概念。”“还有一些人对我们在这方面能走多远持怀疑态度,因为与安全不同,你无法从统计数据上预测一个意志坚定的对手会做什么。”
但科斯曼表示,他个人并不关心所有这些。他认为,最大的好处之一将来自于聘请安全专家,并利用他们在过去10到20年里学到的所有知识。科斯曼指出:“随着我们与他们的合作,我们整个行业将会发现,这种模式在安全领域的应用能让我们走多远。”“即使我们在未来的道路上遇到了一堵砖墙,我们仍然会比今天走得更远。”
有关网络安全和安全的更多信息,请参阅“网络安全=安全”。明白了吗?“在www.myenum.com/feature - 5823.