建立网络安全事件响应计划

播客

https://tinyurl.com/yjtwxhw

当今的现代工业控制系统是建立在开放系统平台和技术之上的。这意味着曾经的专有和封闭的东西现在更容易获得——因此也更容易受到入侵。虽然我们经常听到有关金融和消费者系统的网络安全漏洞的报告，但我们现在才刚刚开始听到有关控制系统的此类事件报告。其中许多是恶意活动的结果，其他是由于系统中某个地方的更改或系统的不适当使用而导致的意外后果的结果。

最好是做好准备，并有一个适当的事件响应计划。该计划的目的是当您的某个控制系统怀疑发生事故时，使您的组织更好地做好应对准备。该计划将允许您正确应对任何类型的网络安全事件——无论是关键网络组件的故障、在您的系统上执行的恶意软件，还是对您的控制系统之一的故意入侵。

计划的组成部分

计划的早期部分将描述系统上可能发生的各种类型的事件。这些故障包括简单的故障，如硬盘或CPU故障，系统感染蠕虫或病毒，系统更改导致的意外后果，或内部人员或外部人员对系统的故意攻击。

该计划将说明发生此类事件时向谁求助。该计划将包括应对人员需要遵循的程序，以确定攻击类型以及如何最佳应对。该计划还应包括允许流程或工厂在人员应对网络安全事件期间继续运行的程序。

该计划应包括必要时额外应对措施的定义。例如，如果安全事件是由于病毒或蠕虫病毒被引入系统造成的，则包括可以删除病毒或蠕虫病毒的操作，以及如何防止该事件再次发生的程序。这需要进行调查，以确定病毒或蠕虫是如何被引入系统的。

定义取证

该计划还应定义如果事件是故意的，将进行何种取证，以及如何维护作为调查一部分收集的证据的保管链。有时需要外部帮助来解决问题，或正确地报告问题以遵守规定。因此，报告程序和规定也应记录在计划中。在许多情况下，控制系统供应商在这方面的专业知识在创建计划时非常有用。

为工业控制系统制定网络安全事件响应计划还有很多方面。创建计划的一个好方法是与您的IT组织以及供应商合作。两者都已经制定了计划，他们将能够协助为您的工业控制系统制定计划。获得管理层对计划创建的支持也是至关重要的。

一旦制定了计划，组织的所有成员都需要接受关于他们在事件响应计划中的角色的培训。有些人可能只需要知道打电话给谁，而另一些人则需要详细培训如何回应。

最后一点:确保计划有效。计划的执行应该进行实践，并根据所吸取的教训进行更新。有了一个良好的网络安全事件响应计划，组织就可以最大限度地减少事件对其工业控制系统的影响。

参考文献

www.security.honeywell.com/industrial/solutions/cyber/index.html

作者信息

Kevin Staggs是霍尼韦尔过程解决方案的工程研究员，也是该公司全球架构团队的成员。这篇文章摘自控制工程播客。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。