公司需要制定网络安全计划

有时候，你可以从零开始，把想法和想法一块一块地拼凑在一起，直到它们联系起来，最终形成一个产品，从而达到你的目标。

没有最初的设想，但在工作和生活经历之后，这些设想就形成了。就像周一早上的四分卫一样。

其他时候，来自高层的愿景或某人有了一个想法，然后简单地说，这是一个计划，让我们执行它，它将帮助我们前进。

无论它们是如何结合在一起的，最终的结果都是使命。当涉及到安全问题时，令人惊讶的是，专业人员很快就会陷入日常经验的泥潭，而忽略了真正的使命是什么。

每个制造商的大局是保持系统正常运行，生产产品，保护知识产权，保证每个人的安全。很简单，对吧?

今天的安全与五年前(如果你与一些行业专家交谈，甚至可能是一年前)相比，是天壤之别。虽然还没有达到行业应有的水平，但已经比以前更先进了。

“多年来，我们一直钦佩这个问题。今天，当你购买一个具有更多安全增强功能的控制器时，这并不罕见，”SANS研究所工业和基础设施实践ICS/SCADA负责人Mike Assante在佛罗里达州奥兰多举行的SANS ICS安全峰会上发表主题演讲时表示。“从根本上说，安全性被设计成控制元素。还有更多领域的安全需要跟上，但我们正在努力做到这一点。随着时间的推移，我们看到了技能组合。这是进步。”

只有在被要求时才在建议中添加安全性的日子已经一去不复返了，因为最终用户希望它包含在解决方案中。

“越来越多的公司将其归为安全类别，”阿桑特说。但在这个不断变化的环境中，“这不是进步的问题，而是我们能否跟上。在不断变化的环境中，模式在变化，我们是动态的。这是主要事件。越来越多的公司正在转向数字技术。”

人们过去常说的是，攻击的可能性现在与对真正关键基础设施的真正攻击一致。

最近发生在乌克兰的袭击就是一个很好的例子。在那次袭击中，公用事业受到网络攻击后，平民失去了一个多小时的电力。

“随着攻击面不断扩大，风险也在增加，”阿桑特说。“我们了解我们在建筑中的暴露程度。我们看到了袭击动机和多样性的转变。我们一直都知道它们是可能的，现在我们看到它们被证明了。我们看到的攻击是从固件层面破坏设备的。”

随着乌克兰的袭击事件被用作晴雨表，阿桑特表示，安全行业必须后退，并利用安全运动的增长和稳定作为援助。

“我们在安全方面做了令人难以置信的事情，”他说。“我们很好地处理了事故、风暴和错误。现在最大的挑战是在网络领域。其复杂性和抽象程度一直难以看出。软件的复杂性和抽象性带来了挑战。我认为我们能够迎接挑战。”

桑福德·赖斯(Sanford Rice)每天都面临着这种挑战，他是天然气管道公司Atmos能源公司的SCADA系统开发人员。

Rice是一名控制工程师，也是安全领域的新手，他谈到了对ICS安全新手的建议:“不要惊慌。”

他还列出了启动安全项目的一些基本想法:

• 从基础开始
• 采用一种文化，把安全当作安全
• 学习如何说话。

“我们的任务是提供信息并保证其安全。我们的系统被设计成静态的。我们的制度没有改变，它很简单。我们处于利用率和负荷的低端。”

Atmos知道安全是一个大问题，他们并不害怕投资。

赖斯说:“我们在安全方面实施了比在可操作性和可用性方面更多的改变。”

在技术方面，赖斯不需要一直出去重新发明轮子。

“商用现货(COTS)可以提供帮助。我们一路走来都很成功，也找到了可以提供帮助的人。我们利用信息技术(IT)解决方案进行改进。”

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑，CFE Media，cvavra@cfemedia.com．

在线额外

参见下面链接的ISSSource的相关故事。

原创内容可在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。