控制系统的网络安全:来自INL的更多提示和警告

休斯顿,德克萨斯州—控制系统受到网络安全入侵威胁。但通信和网络安全资源经理罗布·霍夫曼表示，有好消息也有坏消息，

爱达荷国家实验室(INL)

4月9日在横河用户大会上。
先说坏消息：
-控制系统不再安全嵌套模糊安全
前几次黑客大会上有很多关于控制系统入侵的会议
黑客团体，以他们的入侵签名为模式，消失了一段时间，然后“重新出现”，为颠覆政府工作;
除了可用的网络黑客工具和技巧，公开的互联网拍卖现在定期出售恶意代码，并明确说明它可以对什么造成损害而且
在一次安全测试中，一个2万磅的发电机通过互联网发送几个数据包就被摧毁了。
- - - - - -

几个美国。市政当局面临敲诈勒索的威胁

据美国中央情报局(CIA)称，他并不以发布此类信息而闻名。
霍夫曼说，他甚至接到过一个黑客的电话，这个黑客侵入了一个控制系统，意识到他在哪里，就打电话来试图在不造成任何破坏的情况下脱身(并避免被起诉)。
什么好消息？Hoffman的团队(从8个增加到32个)没有成功破解过的系统。Hoffman说，在四年多的时间里，有公司提供控制系统进行评估，INL有大量的资源(大量的时间和金钱)可以入侵;ABB的工程师仍在努力。此外，霍夫曼说，一般来说，自动化供应商很擅长验证和推出安全补丁，他们意识到全天候运行的重要性。现在有超过25人定期参加电话合作。学术界正在提供帮助。
需要更多帮助吗?Hoffman还提供了关于提高控制系统安全性的额外建议。可运行20年以上的控制系统所面临的挑战与仅能运行3至5年的it系统不同。
与所有利益相关者建立伙伴关系．控制系统安全中心(CSSP)的使命是帮助美国和国际组织创造一种安全文化，并展示这种文化如何提供价值。CSSP关注跨部门;创造思想领导力;通过分析、技术评估和态势感知降低风险;并教育如何根据目标衡量进展。联邦各部门每周开会，以确保协调一致的努力，例如帮助建立一种可靠、安全和有弹性的文化;加强协作;改善信息共享;开发产品，使资产所有者能够以安全和具有成本效益的方式减轻后果; and support operational risk management.
报告控制系统的任何可疑情况填写并寄上附在

控制系统网络安全自我评估工具

．
利用可用资源，包括对标准开发人员的建议、公告、成本、口袋指南、漏洞通知、建议做法、控制系统安全意识和缓解培训课程，在线和亲自参加。信息共享站点有厂商补丁区。
进行技术评估，可以帮助供应商评估目标，识别漏洞，与供应商合作降低风险，通过补丁和产品为最终用户提供网络安全解决方案。INL提供了对设备进行攻击的实际环境。
获得资金来修复漏洞通过场景开发和漏洞发现。识别能够通过特定的战术、技术和程序实现物理破坏的网络攻击，以实现最大的后果。
用度量标准衡量进度，包括恶意更改天数、组件测试计数、最小密码强度、可达性计数、漏洞暴露、最坏情况损失、检测机制计数和恢复时间。
向他人学习．波音公司在其严重依赖无线技术的777自动化生产设施中，使用了屏蔽和信号衰减技术，以确保信号不超过建筑物外10码(物理安全提供保护)。

Control Engineering提供网络安全帮助

．

量化网络安全风险:基本的风险分析技术可以帮助您了解工业控制系统和监控电力公用事业分配的SCADA系统的网络威胁。制定防御策略。

ISA99更新:网络安全标准和技术报告解决了工业自动化和控制系统(IACS)的网络安全问题。

安全资源:控制系统网络安全自我评估工具(CS2SAT):美国国土安全部(DHS)和爱达荷国家实验室(INL)已经开发了一些优秀的网络安全培训工具。

网络播客提供更多信息，包括:: Byres Security与Peter Welander讨论在工业控制环境中深度创建网络安全防御的挑战。

- - - - - -马克·霍斯克，总编辑
控制工程新闻的桌子
在这里注册，向下滚动选择您选择的免费电子新闻。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。