保护自动化系统免受网络威胁

系统组件是作为专有的黑盒购买的，很少考虑与其他系统的互连。因此，当遗留系统包含在普通网络中时，它们通常是整个网络安全性的弱点。

今天的网络化控制系统通常使用与公司办公室和管理网络相同的硬件架构、软件和网络。通用网络的使用意味着重要的生产和过程控制系统可能暴露于企业信息技术(IT)部门多年来一直面临的垃圾邮件、病毒和安全威胁。

因为企业It人员有知识和经验，所以他们应该负责整个网络的安全，包括自动化和控制系统的安全。但这是错误的。问题是不同的，委派责任的冲动是误导性的。在目标和目标、需要保护什么方面的假设、对“实时”性能和“连续操作”真正含义的理解、以及对一些善意的基于软件的安全解决方案如何干扰实时自动化和控制系统的了解方面存在明显的差异。

除了普通的架构之外，许多商业网络现在可能与流程网络相连接，以“会议室传感器”界面为傲，这是foxboro——现在是英维思公司的一家企业——第一次出名。除非采取重要的安全预防措施，否则这可能会为黑客和病毒进入生产和流程环境打开大门。

没有邮件，没有游戏

大多数专家都认为，自动化网络应该与业务网络完全分离，使用专门为应用程序设计的路由器和防火墙。用户和应用程序应该被限制在这些过程中特别需要的那些——没有电子邮件，没有游戏，没有互联网浏览。通常，控制室人员需要电子邮件和业务应用程序，预算敏感的管理员可能建议使用网络通用性。但这是目光短浅的。它只是将自动化网络暴露在大量问题面前。平行安装独立的网络并不是一种奢侈——它应该被强制执行。

网络安全来自于正确的设计、操作和维护，提供定期更新的保护。良好的网络安全环境包括高安全性的路由器和防火墙，它们可以阻止外部入侵，但不会影响所需的性能。操作人员、主管和管理员应该有能力与系统进行交互，而不是经常被繁重、乏味和冗长的程序所束缚。如果它太难了，有见识的人会很快找到绕过系统的方法——善意、诚实但缺乏耐心的内部人士。

考虑周全的系统安全应该优先管理网络流量，限制外部流量，优先控制流量。系统必须有能力在问题发生之前防止其发生。插件内存端口不能被一般访问。应该预先配置组和组策略来定义桌面和控制台行为。

定期、一致的网络管理是安全防护的关键。正如他们所说的质量，业务性能，甚至是生活——网络安全是一个旅程，而不是目的地!

吉姆·平托是一位行业分析师和评论员、作家、技术未来学家和天使投资人。你可以电邮至:jim@jimpinto.com．或者在他的网站上回顾他的预言和预测:www.jimpinto.com