石油和天然气行业可能希望将其运营从外界关闭,因为对网络安全的不断升级,特别是对于这些关键基础设施而言。但关联资产的收益对忽视的难点太为至关重要;企业优化是关键动机,远程访问是一个重要的考虑因素。雪佛龙保持其关键系统是气隙式的,但最近关于网络安全的任何讨论都包括这样一个观点:将你的操作完全隔离几乎是不可能的(你可能想检查一下刚安装的新打印机,看看是否需要关闭它的网络连接)。
将数据从工业自动化和控制系统(IACS)转移到外部世界的不可避免性 - 以及保持数据,网络和核心环境安全的重要性导致了链接石油和天然气工业,以改善网络安全(Logiic)到委员会一个报告详细说明应考虑的因素,即实时数据传输(RTDT)产品。
众所周知,传统控制系统在构建时并没有考虑到网络安全。自动化供应商在过去几年中一直在取得进展,为客户提供如何通过强大的深度防御实践来最好地保护其网络的建议。最近,他们中的一些人甚至开始更多地谈论如何通过设计使他们的工业自动化和控制系统安全。然而,仍有改进的空间,石油和天然气公司需要关注的很多方面,以保护他们的安全。
自动化联盟代表logic发布了一份公开报告,详细介绍了在选择和实现商用RTDT产品之前应该评估的技术、安全和操作因素。尽管该报告确定了一些自动化供应商已经采取的积极的安全措施,以改进他们的产品,但它也详细介绍了可能产生威胁向量和危及数据完整性的领域。
由于RTDT技术在IACS环境之外转移实时数据,因此必须符合严格的标准,以确保保护这些核心资产,数据和运营稳定性。Logiic的目标实时数据传输项目报告是为了突出在考虑RTDT项目时应该权衡的关键因素,并帮助关键基础设施运营商理解他们应该向他们的自动化供应商提出什么要求。
通过一系列的研究调查和研究,logic特别关注了收集并将数据从2级和3级转移到3.5级、4级及以上的可用产品的适用性和网络安全能力(包括位于核心IACS架构中的数据收集系统,以及操作这些数据集的服务器和客户端)。他们对RTDT用于健康和监测、趋势分析、决策支持和态势感知以及与战略合作伙伴系统的数据共享特别感兴趣,他们在IACS实验室环境中对RTDT产品进行了实际研究,以测试各种场景。
该研究在RTDT产品中揭示了一些积极的安全属性,使它们更加安全:
- 加密的正确实现
- 使用数据包完整性和数据包隐私
- 最新的补丁
- 禁用不必要的端口和服务
- 在整个传输过程中,通过数据库安全或访问控制保护休息点的数据
- 使用访问控制保护应用程序日志文件,并确保内容能够支持攻击者收集关于应用程序、证书或密钥交换的详细信息的尝试
- 删除默认设置
- 仔细考虑所有级别的网络设备
在查看可能解决方案之间的差异时,这肯定是一个很好的起点。该报告还确定了应在选择和实施之前分析RTDT产品的其他关键因素,包括:
- 自动化供应商和第三方解决方案之间的差异
- 产品足迹和管理
- 在自动化供应商解决方案中使用第三方组件
- 网络组件
- 加密的重要性
- 网络和数据包处理
- 分层安全
- 产品的使用和维护
该研究指出了自动化供应商和第三方供应商提供的产品之间的一些有趣差异。自动化供应商倾向于将硬件、软件和网络组件打包在一起,从而造成更大的占用空间,需要更多的组件进行安全和管理。另一方面,第三方供应商倾向于在现有资产上实现纯软件解决方案,从而造成较小的攻击面。不过,较大的软件包通常由自动化供应商安装,经过认证,并包含在更广泛的补丁管理计划中。
据logic称,该项目帮助其成员——包括BP、雪佛龙、壳牌和道达尔等大型全球石油和天然气公司——不仅了解新兴RTDT产品当前的漏洞和风险,还与供应商进行持续讨论,以引入进一步的解决方案。
逻辑是由石油和天然气行业的成员与美国国土安全部(DHS)、科学和技术理事会(S&T)、网络安全部门(CSD)合作成立的,专门研究石油和天然气行业的IACS网络安全问题。的自动化联盟充当逻辑主机组织。
你可以点击这里阅读报告全文.
