对制造商来说,幸运的是,迄今为止的大部分攻击能量都针对商业目标和个人。然而,许多相同的攻击和工具可以影响具有关键工业操作的企业。这里的情况不同。
操作通常有不同的系统和风险,需要单独的安全团体关注这些问题。这个社区已经工作了很多年,但问题仍然存在。此外,新的需求正在出现,今天的既定做法可能不适用。当然,我们必须继续对现有的计划和计划进行投资,但我们也需要发现持续存在的问题,检查新的需求,并寻找思考解决方案的新方法。
试图从不同的角度解决网络安全问题有很多原因。最引人注目的是,网络安全活动相对成熟,但许多工业操作仍处于高风险之中。现在是重新考虑一些问题的时候了,以便为把一些精力重新集中在更有效的方向上提供一个背景,并找到认识到今天趋势的一些新的解决途径。
大多数已安装的控制系统在设计时没有考虑到安全问题,而且大多数传统设备协议没有安全条款。组件的设计假设要么是受信任的(隔离的)环境,要么是其他组件实现各种保护的环境。日益复杂的威胁和内部威胁不断挑战这些假设。
爱达荷国家实验室的Craig Rieger、David Gertman和Miles McQueen在2009年5月为第二届人类系统交互国际会议撰写的电气与电子工程师学会(IEEE)论文中提出了一个有趣的弹性控制系统(RCS)概念。RCS包括恶意攻击者的假设,以及以前在控制系统设计中没有考虑到的其他因素。RCS概念为扩展我们对控制系统的传统思维提供了一个框架,至少从这个角度来看是值得探索的。
传统上,网络安全工作采取的是一种设计视角,即设计和实施保护措施,培训人员,并在问题发生时进行处理。然而,网络安全是一个非常动态的活动,执行速度和一致性是成功的关键。此外,许多这些活动跨越了组织和系统的边界。这一切都表明,网络安全与其他端到端业务流程相似,可以从相同的分析、结构化和自动化方法中受益。
降低风险
在安全性方面使用流程视角可能有几个好处。一些安全流程,如补丁管理和身份管理,需要更多的集成和自动化来降低成本和风险;现在有太多的时间花在手工处理和查找信息上。对过程的分析也将促进最佳做法的发展,并为安全信息和通信的标准化提供一个框架。最后,更好的安全流程结构和自动化将提供安全度量和可见性,以帮助平衡安全开销。
政府有保护国家(及其公民)的总体责任,但企业必须实施大部分的网络安全保护,无论攻击来自何处,动机如何。因此,政府和企业应该从合作伙伴的角度来应对网络安全的挑战。
尽管该行业的许多人继续为网络安全进步做出宝贵贡献,但一些问题仍然存在,这表明一些反思是适当的。这可以通过多种方式来实现,例如简单地在当前环境中重新检查问题,尝试应用其他学科的技术,以不同的方式组织和其他。首先,我们需要确定一份简短的清单,列出行动中需要解决的持续网络安全问题。我很乐意听到《自动化世界》的读者们给出他们自己的短名单。
罗伯特·米克(bmick@arcweb.com)是ARC咨询集团公司企业系统副总裁,位于马萨诸塞州戴德姆。
操作通常有不同的系统和风险,需要单独的安全团体关注这些问题。这个社区已经工作了很多年,但问题仍然存在。此外,新的需求正在出现,今天的既定做法可能不适用。当然,我们必须继续对现有的计划和计划进行投资,但我们也需要发现持续存在的问题,检查新的需求,并寻找思考解决方案的新方法。
试图从不同的角度解决网络安全问题有很多原因。最引人注目的是,网络安全活动相对成熟,但许多工业操作仍处于高风险之中。现在是重新考虑一些问题的时候了,以便为把一些精力重新集中在更有效的方向上提供一个背景,并找到认识到今天趋势的一些新的解决途径。
大多数已安装的控制系统在设计时没有考虑到安全问题,而且大多数传统设备协议没有安全条款。组件的设计假设要么是受信任的(隔离的)环境,要么是其他组件实现各种保护的环境。日益复杂的威胁和内部威胁不断挑战这些假设。
爱达荷国家实验室的Craig Rieger、David Gertman和Miles McQueen在2009年5月为第二届人类系统交互国际会议撰写的电气与电子工程师学会(IEEE)论文中提出了一个有趣的弹性控制系统(RCS)概念。RCS包括恶意攻击者的假设,以及以前在控制系统设计中没有考虑到的其他因素。RCS概念为扩展我们对控制系统的传统思维提供了一个框架,至少从这个角度来看是值得探索的。
传统上,网络安全工作采取的是一种设计视角,即设计和实施保护措施,培训人员,并在问题发生时进行处理。然而,网络安全是一个非常动态的活动,执行速度和一致性是成功的关键。此外,许多这些活动跨越了组织和系统的边界。这一切都表明,网络安全与其他端到端业务流程相似,可以从相同的分析、结构化和自动化方法中受益。
降低风险
在安全性方面使用流程视角可能有几个好处。一些安全流程,如补丁管理和身份管理,需要更多的集成和自动化来降低成本和风险;现在有太多的时间花在手工处理和查找信息上。对过程的分析也将促进最佳做法的发展,并为安全信息和通信的标准化提供一个框架。最后,更好的安全流程结构和自动化将提供安全度量和可见性,以帮助平衡安全开销。
政府有保护国家(及其公民)的总体责任,但企业必须实施大部分的网络安全保护,无论攻击来自何处,动机如何。因此,政府和企业应该从合作伙伴的角度来应对网络安全的挑战。
尽管该行业的许多人继续为网络安全进步做出宝贵贡献,但一些问题仍然存在,这表明一些反思是适当的。这可以通过多种方式来实现,例如简单地在当前环境中重新检查问题,尝试应用其他学科的技术,以不同的方式组织和其他。首先,我们需要确定一份简短的清单,列出行动中需要解决的持续网络安全问题。我很乐意听到《自动化世界》的读者们给出他们自己的短名单。
罗伯特·米克(bmick@arcweb.com)是ARC咨询集团公司企业系统副总裁,位于马萨诸塞州戴德姆。
![Mps035 Sm 1200x628 D[2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
