工业网络安全的三大支柱

一个稳定的物理结构至少需要三个主要支撑。工业网络安全也不例外;一个稳定的系统需要支撑结构。有效网络安全体系的基础由三大支柱构成:技术、政策和程序以及人员。

技术:敲门，敲门

安全的第一个支柱是技术。安全技术是最容易识别和量化的，因此它通常是大多数组织网络安全工作的重点。然而，虽然技术很重要，但它并不比其他两个支柱更重要。安全技术涉及用户的识别、用户和系统的认证以及用户和系统的访问控制。它还包括防火墙、病毒防护软件、数据加密、时间控制资源可用性、网关、入侵检测系统、网络访问控制系统和无线网络安全。

基于技术的网络安全系统就像门窗上的锁和建筑物内的运动探测器。它们提供了一种防止非专业人员攻击的保护措施，但任何技术在受到专业人员攻击时都可以被克服。专业的锁匠几乎可以打开任何锁，并使大多数内部安全系统失效，而训练有素的安全专业人员几乎可以绕过任何只有技术的安全系统。

美国国土安全部国家网络安全部门的专家在最近的会议上进行了演示，展示了入侵控制系统是多么容易。即使系统在正确配置的防火墙后面，有多个级别的密码保护，并在具有网络访问控制的入侵检测系统下运行，也能成功入侵。这些模拟攻击表明，实现有效的网络安全工业系统需要的不仅仅是技术。

政策、程序

网络安全系统的第二个支柱是一套定义良好且易于使用的政策和程序。策略和流程定义了如何有效地应用技术安全解决方案。它们封装了配置、操作和评估网络安全系统所需的知识。策略和过程应该从安全策略开始。安全策略定义了策略的总体合理性，确定了可应用于其他策略和过程的风险-成本规则。安全策略不应该定义要使用的技术。技术解决方案将随着时间的推移而变化，但是策略应该定义任何技术实现都必须满足的特定需求。不要害怕使用多种安全策略，每个设备都有不同的基本需求。策略和过程应该指定安全组织，定义为有效使用安全技术而应该存在的特定角色和报告结构。其他政策和程序应涵盖资产管理、访问控制、事件管理、业务连续性计划、合规管理、供应商选择、安全系统维护和通信管理等领域。

重要的是要记住使这些过程在攻击中可用。如果过程只是在线存储，那么如果在线系统是被破坏的系统，那么它们可能不可用。因此，应该维护过程的多个独立副本和纸质副本，以确保它们的可用性，即使网络和服务器不可用。

训练有素的员工

网络安全的第三个支柱是一支训练有素、积极主动的员工队伍。如果没有合适的人员支持，最好的技术、策略和程序仍然不能提供有效的安全系统。大多数安全系统中最薄弱的环节是人。“社会工程”是安全专业人士用来描述诱骗人们泄露密码、打开微软Word或PowerPoint文件、下载文件和插入u盘的简单方法的术语。这些操作中的任何一种都可以并且已经被用于攻击系统。

您的员工必须接受安全技术和安全程序方面的教育。安全程序方面的教育通常可以以较低的成本进行，并可以与其他有关安全和法规遵从性的企业培训相结合。安全技术教育通常需要外部培训，而且可能很昂贵，但如果要有效地安装和使用技术，这是至关重要的。如果没有训练有素的员工安装和维护技术解决方案，很容易产生错误的安全感。

此外，即使是受过最好培训的员工也必须被激励正确地遵循政策和程序。动机来自于理解妥协系统的后果以及策略和过程的原因。对员工来说，重要的是要了解安全程序的不注意或草率执行会严重影响他们的公司、工作和社区。动机还来自于对策略和过程的接受，通常通过鼓励用户对安全策略和过程提出改进建议来实现。很多时候，IT部门会在不考虑对生产的影响的情况下开发安全策略，而必须实现策略的人员可能会提出一些简单的建议，这些建议可以在不降低安全性的情况下显著提高合规性。有效的培训和激励是有效安全制度的第三个支柱。

例如，所有三个安全支柱都可以用来保护一个简单的控制系统。技术支柱包括保护系统的防火墙和控制系统的登录帐户。在安全的环境中，控制系统的登录帐户与一般公司帐户是分开的。策略和程序提供了第二个支柱，具体规定了可以授予谁登录帐户，以及在授予访问权限之前需要进行哪些培训。第三个支柱是员工在被授予系统访问权限之前所需的实际培训。培训将包括安全环境的原因、任何已知的风险以及未能保护该环境的后果。

工业网络安全系统必须建立在技术、政策和程序以及人员的稳定平台上。如果缺少任何元素，那么系统可能看起来是安全的，但很容易受到攻击和破坏，对安全、公司、工作和社区造成严重后果。

- Dennis Brandl是北卡罗来纳州Cary BR&L咨询公司的总裁，www.brlconsulting.com。他的公司专注于IT制造业。与他联络:dbrandl@brlconsulting.com；由CFE Media内容经理马克·t·霍斯克编辑，控制工程。

-阅读更多工程和IT洞察专栏:顶部www.globalelove.com搜索:

“Brandl”

-请看下面七月封面故事的链接，流动的阴暗面。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。