网络安全和人为因素

昨天，我们收到了西门子的新闻稿，警告用户其一个系统存在潜在的网络安全问题:西门子收到关于恶意软件程序(木马)的通知西门子软件Simatic WinCC7月14日PCS 7。该公司立即组建了一个专家小组来评估这一情况，并与微软和病毒扫描程序的分销商合作，分析可能的后果和病毒的确切操作模式。到目前为止，该木马通过u盘传播，利用微软的安全漏洞，可以影响XP以上的Windows电脑。”

西门子显然正在采取适当的措施来解决这个问题。如果您的系统可能受到影响，请立即与您的西门子代表联系。

无论这种特殊情况是否影响到您，您都应该问问自己是否对系统采取了适当的预防措施。请注意，恶意软件通过u盘传播。这意味着你工厂里的某个人必须将一个受感染的u盘插入你的系统中，才会发生感染。如果没有内部人员的帮助，恶意软件无法进入您的系统。答案吗?确保你的员工知道他们不能把外部磁盘、记忆棒、软件等带进来。这样的东西不应该被加载到你的控制网络上。我听到一些用户建议在控制应用程序中使用的硬件上的开放USB端口应该填充环氧树脂。起初我认为这是夸张的，但这可能是一个非常实际的建议。

如果你关注网络安全问题，你应该知道人为因素与技术解决方案同样重要。如果有人把前门开着，再复杂的锁也帮不了你的房子。《控制工程》在2007年发表了一篇关于这一点的文章，《网络安全——人的因素》。请允许我引用一段相关段落:“黑客进入公司的一种攻击手段是在目标公司的停车场和场地周围散布u盘。上班的人发现了它们，就忍不住要插上一个。出现的文件名听起来很有趣(比如名人性爱录像带)，所以有人会出于好奇打开一个。一个程序启动，使个人电脑与黑客联系，并允许进入。一切都发生得太快了。这真的可能吗?“我们已经发布了一个关于蠕虫家族的警告，这种蠕虫通过复制自己到USB记忆棒等可移动驱动器上传播，然后在设备再次连接到电脑时自动运行。”

我们在2009年发表了另一篇相关文章，保护遗留控制系统。这里有一段有关肖恩·麦格克(国土安全部)和马蒂·爱德华兹(爱达荷国家实验室)的引用，他们提供了生活中的话语:“程序很重要，但人们必须了解他们在保证植物安全方面的作用。美国国土安全部报告称，社会工程是最大的攻击载体之一。McGurk哀叹道:“由于人们不理解安全需求，我们经常会看到由于糟糕的操作实践而导致的漏洞和利用。”

“爱达荷国家实验室DHS CSSP经理Marty Edwards概述了需要发生的文化变革:‘我们在安全方面面临的最大挑战之一——无论是控制系统、it还是物理安全——是创建安全文化，无论你拥有的设备是什么年代的，你都可以做到这一点。这是你的人事问题。这是你的训练。这是他们经营的文化。”

爱德华兹说:“从安全的角度来看，工业和加工领域有这种文化已经有一段时间了。他补充说，在工厂里做任何事情都要考虑到安全后果。“我们必须灌输同样的文化，这样在我做任何事情之前，我都会考虑安全问题。我是否应该在用户组会议上发布一个包含我们控制系统所有最私密细节的网络图?这是每个人都可以立即做出的改变，而且比更换设备的成本要低得多。’”

环氧树脂我说到哪了?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。