如果你是一个制造商,由于安全漏洞而暴露的风险——无论是物理上的还是网络上的——可能会超过从车间到顶层的通信管道所固有的好处。
换句话说,通过调制解调器、Web浏览器、内部网和因特网,将制造厂连接到企业办公室和远程人员所获得的回报可以在一次恶意攻击中被消除。
你应该有多担心?许多专家坚持认为,敌人不在大门,敌人是通过大门和我们基于计算机的业务和制造平台。Carnegie Mellon University,在其计算机应急响应团队统计(CERT,www.cert.org)中,引用了2003年报告的137,529条,从1998年的3,734起报告。
在我的旅行中,这对各个行业活动和用户组会议的最后几个月来说,我已经听到了自动化专业人士讨论了他们对制造中的网络安全的担忧。虽然有些人很舒服地依赖于其分布式控制系统内置的固有安全级别,但大多数都涉及那个风险,打开调制解调器进入工厂。
开放的威胁
制造业面临网络安全威胁的主要原因是越来越多地使用建立在事实上的标准平台上的开放系统,如Microsoft Windows,以及用于计算机和网络的商用现货(COTS)技术。
Bill Moore,副总统有Arc咨询小组,在Dedham,Mass。,在5月份在新奥尔良举行的最近横河川用户小组会议上的主题演讲中的这些风险。在过去,自动化系统建立在专有的架构上,用户可以依靠“通过默默无闻的安全性”,“摩尔说。搭配婴儿床,这不再是这种情况。
虽然开放式技术已在自动化中受雇超过10年,但它是互联网的婴儿床的结合,导致漏洞。矛盾的是,这是一个相同的组合,以便继续提高生产力提高和更好的制造业决策。正如摩尔所说,“现在没有回头。”
摩尔建议制造商在网络安全方面联系多个渠道。一个来源是国际标准团体,他们制定了ISO 17799等标准。国际标准组织(www.iso.org)称其为“信息安全管理实践准则”。
第二个信息来源是工业群体,如化学行业数据交换(CIDX,www.cidx.org)。CIDX CIDX网络安全倡议为化学工业建立了最佳实践,并鼓励技术和解决方案发展。
第三种信息来源来自国家和国际政府组织,例如2003年6月美国国土安全部下属的国家网络安全部门(NCSD, www.dhs.gov)。
今年5月,在新奥尔良举行的CIDX大会上,NCSD主任Amit Yoran向化学制造专业人士发表了讲话,这是一个政府与工业的案例。Yoran的演讲集中在政府已经实施的短期战术方法上,如国家网络警报系统和改变国家如何处理网络安全的长期研究。Yoran说:“在过去,追赶和修补是一场猫捉老鼠的游戏。“我们需要为私营部门提供投资网络安全解决方案的经济理由。”制造商已经明白了经济上的理由。让我们确保我们有适当的信息安全解决方案,以最大限度地减少漏洞,同时最大限度地利用网络工具,以提高生产力和决策。