CSIA 2014:网络安全人人有责
产品供应商、项目服务提供商和系统集成商、资产所有者和运营商都需要参与网络安全,埃克森美孚研究与工程公司控制系统商业技术负责人Johan Nye于4月25日在圣地亚哥举行的2014年CSIA执行会议上表示。
4月25日,埃克森美孚研究与工程公司控制系统商业技术负责人Johan Nye在圣地亚哥举行的2014年CSIA执行会议上表示,每个人都有责任保护网络安全:产品供应商、项目服务提供商和系统集成商、资产所有者和运营商都需要参与其中。他的评论和建议如下:
- 供应商必须在默认情况下提供安全的产品,而不应该提供完全开放的产品。(最近的一次控制工程网站调查结果显示,最近安装的大多数设备都不需要重置密码,尽管这是供应商的推荐交付实践。
- 如果不以管理员模式提供人机界面,90%以上的网络安全入侵都可以被挫败。
- 埃克森美孚公司使用的工具包括NIST网络安全框架、ISA99/IEC 62443行业标准等ISASecure而系统集成商也可以发挥作用。
最佳实践框架
NIST网络安全框架行政命令涉及许多正在开发的关键基础设施部门。它参考ISA/IEC 62443标准,可作为资产/所有者和运营商公司的高级框架。该框架的五个要素是识别、保护、检测、响应和恢复。
ISA和IEC有一个同时提交网络安全工作的过程。ISA/IEC 62443-1-1是涵盖基本要求、安全术语和安全级别的整体概念和术语文件。第二版正在进行中。这些标准的受众包括产品供应商、服务提供商和资产所有者。
该文件基于ISA84安全仪器系统(SIS)的安全级别概念,其中安全级别是根据SIS建模的。安全级别基于四个对手的能力:手段、资源、技能和动机。(见图)。
- 2-1覆盖基于风险评估的资产所有者受众。
- 2-4涵盖了解决方案供应商的要求,具有成熟度级别的概念,是系统集成商最感兴趣的。
- 3-2和3-3是系统级文档。3-2是基于风险评估过程的安全区域和安全级别,3-3是基于基础需求和安全级别的技术需求,帮助产品供应商。
- 4-1和4-2涵盖组件,包括主机、网络、嵌入式设备和应用。4-1涵盖产品供应商的开发生命周期,有补丁需求。4-2为对供应商的技术要求。
网络安全认证
的国际ISA安全合规协会(ISCI)提供产品认证,它们可能不包括尚未被发现的东西,这些东西被认为是零日威胁。该过程测试边界点和安全区域内的点。
认证的三种类型是:
- 一个EDSA嵌入式设备安全保证
- SDLA安全开发生命周期评估(将于今年晚些时候发布)。
- 一个SSA系统的安全保证系统。
系统集成商建议
系统集成商应:
- 建立公司政策和程序
- 采取生命周期的态度。
- 使用ISA/IEC 62443标准。
- 不要给你的客户留下惊喜。你必须培训员工,让他们知道你对不安全的网络安全行为零容忍。
- 鼓励供应商获得ISASecure认证。如果可以选择,请选择安全的产品。
- 基于角色的访问控制应该拥有最少的权限。
- 符合NIST网络安全框架。
- 请勿将IACS (industrial automation control system)接入Internet。黑客工具可以映射控制系统,如果它是连接的。如果你连接,它就会被发现和利用。
问题与答案
Q.产品和体系认证培训:是关于流程还是技术?
一个。两者都有,但实际上认证试图在供应商、服务提供者(si)和资产所有者之间建立信任,因为他们可能不具备所需的深入知识。
问:如果这个系统通过认证,它会持续多长时间?下个月当一个不可预见的威胁出现时怎么办?
一个。我们花了很多时间讨论这个问题。为了获得认证,生产供应商必须有适当的工作流程,并且必须获得安全补丁来解决该漏洞。他们还必须为系统中的第三方组件这样做。测试安全补丁。认证并不是永久的。触发器包括产品修订。认证期限;我想是两年。时间表因项目而异。
问:预算呢?这不是免费的。它需要培训和补偿;资产所有者需要支付更多。他们愿意吗?
一个。系统可靠性是附加选项吗?安全吗?安全是工业控制系统的固有组成部分。对于遗留系统,也有一些机制可以为它们添加安全性。
问:你如何处理外部联系?
一个。埃克森美孚将油气连接视为最大的威胁。如果你只给出观点,风险就会小一些。如果你把管理信任交给第三方,那么一切都完了。
- Mark T. Hoske是CFE Media的内容经理。控制工程,mhoske@cfemedia.com.
在线
请看下面的相关网络安全文章、研究和网络广播。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
