网络安全:你准备好面对联邦审讯了吗?

你想看到你的网络安全系统受到联邦政府的调查吗?TVA运营的发电厂和配送中心亲身经历了这种情况，他们看到自己的缺点被公布出来，并在国会委员会上进行了讨论。

的田纳西河谷管理局(TVA)它是美国最大的公用事业公司，为田纳西州和邻近州的870万居民提供电力，覆盖面积超过8万平方英里。该集团经营化石燃料、核能和水力发电厂。今年5月，美国政府问责局(Government Accountability Office)发布了一份长达62页的报告，标题十分直白:《TVA需要解决控制系统和网络中的弱点》。”(下载整个报告)。以下是开篇摘要中的一些陈述:

“TVA没有全面实施适当的安全措施，以确保用于运营其关键基础设施的控制系统和网络的安全。其公司网络基础设施和控制系统网络及设备都容易受到干扰。公司网络与政府问责局审查的控制系统网络相互连接，从而增加了公司网络上的安全弱点可能影响这些控制系统网络的风险。在TVA的公司网络上，某些个人工作站缺乏关键的软件补丁，安全设置不足，许多网络基础设施协议和设备的安全配置有限或无效。此外，入侵检测系统也有明显的局限性。在控制系统网络上，检查的防火墙要么配置不充分，要么被绕过，密码没有有效实施，某些活动的日志记录有限，控制系统软件的配置管理政策执行不一致，服务器和工作站缺乏关键补丁和有效的病毒防护。此外，多个地点的物理安全没有充分保护关键的控制系统。因此，运营TVA关键基础设施的系统受到内部和外部威胁的未经授权修改或破坏的风险增加。

“造成这些弱点的根本原因是TVA没有始终如一地实施其信息安全计划的重要内容。尽管TVA已经制定并实施了与应急计划和事件响应相关的项目活动，但它并没有始终如一地实施与制定系统清单、评估风险、制定政策和程序、制定安全计划、测试和监测控制的有效性、完成适当的培训以及识别和跟踪补救措施相关的关键活动。在TVA全面实施这些安全计划活动之前，它面临着因网络事件而导致运营中断的风险，这可能会影响其客户。”

当然，这是一个艰难的评估。在许多方面，所引用的项目读起来就像任何控制系统中要避免的事情的清单。看看这些直接摘自上述段落的观点:

• 公司网络与控制系统相互连接;

• 个别工作站缺少关键软件补丁;

• 防火墙要么配置不充分，要么被绕过;

• 密码没有有效执行;而且,

• 多个地点的物理安全不能充分保护关键控制系统。

这样的例子不胜枚举。这些是一些最基本的网络安全概念，应该成为任何战略的重要组成部分。许多人应该问的问题是，“我们的系统经得起类似的检查吗?”这个问题应该在你陷入困境之前得到回答。

——peter Welander，过程工业编辑，PWelander@cfemedia.com，
《过程与先进控制月刊
在这里注册并向下滚动以选择您选择的免费电子通讯．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。