安全入门:构建安全基础设施的8个步骤

无论工艺设备的年代如何，它都很有可能连接到企业并反过来连接到互联网。保护它意味着在整个过程中建立和应用安全基础设施，包括硬件和软件以及策略和过程。控制对控制系统的物理访问与创建安全的基础设施密切相关。

任何保护工厂资产的系统都应该遵循“纵深防御”战略，采取包括创建安全区在内的多层方法。以下是我们认为所有安全措施都应采取的八项关键行动:

• 创建安全的体系结构。规划和定义区域，将设施划分为具有监控接入点的安全单元。区域间的通信和数据交换应严格监控。不允许从外部直接进入控制系统网络。每个细胞都应该能够自主操作。应该监视和记录单元访问。

• 建立“非军事区”(dmz)。专家们使用术语DMZ来描述支持外部和控制系统之间数据交换的pc的外围网络。DMZ将关键操作与污染隔离开来，允许连接到pc进行数据交换，但在DMZ内包含所有通信。没有直接连接或从任何DCS到外部。

• 使用防火墙。最著名的安全设备防火墙通常将安全区域彼此分开，管理对区域内网络的外部访问。防火墙按照一定的规则检查和过滤数据流量，必须仔细配置才能达到预期的目的。它们有各种各样的配置，包括专用硬件设备、路由器或个人电脑。

• 请仔细管理安全补丁。管理Windows、MSSQL等的Microsoft安全补丁在过程自动化环境中是必要的，但也有特殊的关注点。在自动化领域中，失败的风险和后果更大，因此在推出补丁时要更加小心。自动化和控制过程通常必须全天候运行。停机成本可能很高，数据丢失也无法恢复。在推出安全补丁之前，供应商或最终用户应该进行彻底的测试。考虑在冗余架构中部署，在不使系统脱机的情况下推出补丁更新，从而最大限度地减少对操作的影响。强烈建议使用Microsoft Windows Server Update Services。

• 阻止病毒。病毒扫描程序是另一种流行的安全措施。它们通常放置在接入点，过滤进出流量，以帮助保护系统免受病毒和其他恶意软件的侵害。要小心，以免病毒扫描程序影响系统性能，并将警报信息发送给适当的人员，以免分散操作人员的注意力。

• 适当地管理系统访问。采用严格的访问管理理念。基于角色的方法授予用户和计算机执行其功能所需的最小访问权限集。集中管理密码和权限。外交有助于协调和确立适当的准入权。

• 应用VPN和加密方法。虚拟专用网(VPN)技术有助于提供位置之间的安全连接。vpn假定通信的两端都是可信的来源。外部支持计算机具有网络权限，不能访问工厂内部的任何东西。还要考虑数据加密和服务器身份验证(例如带有HTTPS或IPsec的安全套接字层)。

• 培训员工;提供指导方针。不要忽视人的因素。制定清晰、书面的安全策略。工厂安全策略应该将操作的所有不同方面结合在一起，在满足安全需求和实现业务目标之间取得平衡。确保每个人都理解安全愿景。确保所有员工都接受了适当的培训，并将培训记录下来。行动中的情况是不断变化的。安全策略也必须是动态的，定期进行审查和修改。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。