网络安全:通过用户组解决遗留问题

上个月，我们承诺在网络安全领域取得一些积极进展。从一开始就帮助新的控制和SCADA系统更加安全的工具也可以帮助传统设备。SANS研究所的研究主任艾伦·帕勒说，提出了以下具体建议。

过去几年最强大的安全工具之一既不是硬件也不是软件。这是一份由纽约州最初起草的规范清单，旨在帮助定义一个系统必须具备哪些条件才能被认为充分保护免受恶意软件和黑客的攻击。这控制系统网络安全采购语言由爱达荷国家实验室、美国国土安全部、纽约州CISO和SANS研究所扩展。它可以免费下载并将在未来进行更新，以扩大覆盖范围。

虽然本文档最初的目的是帮助公司购买新系统，但一些老用户发现，它对于清点现有平台也非常有帮助。这个应用程序特别令人兴奋，并提供了广泛的用途，但是如何使它工作呢?

帕勒建议这个过程分为两个步骤。

首先，将现有系统与采购语言进行比较。帕勒说:“你需要根据你目前的情况对采购规范做一个映射。”“采购规范说，‘当你订购它时，确保它能做到这一点。现在你不确定你的系统是否能做到这一点。你必须找到答案。”

第二，落实整改。你的公司可以自己完成这两项工作，也可以聘请外部承包商为你完成。然而，这是一种昂贵的方法。

更经济的方法是要求最初构建系统的供应商为您完成这两项工作。如果您可以与使用同一平台的其他公司一起提出请求，则可以分摊成本。帕勒建议:“你可以问你的供应商，‘你们做这些事情吗?给我们一个映射。或者你也可以与拥有同一套设备和软件的其他用户合作。关键是供应商要在其客户基础上针对所有常见的东西开展工作。解决方案不会是100%，因为用户可以定制这些系统，但它可以是80%。个人终端用户只负责公司特有的最后20%。”

这个信息在每年的这个时候尤其重要，因为自动化公司开始了用户群季节。当您接近您的原始供应商时，寻找其他客户加入您将为您的请求提供额外的影响力，并且用户组会议是您找到志同道合的用户的绝佳机会。告诉你的指导委员会成员，你想要这个项目。每个人都受益于更安全的系统和更低的成本。

帕勒说:“当你说，‘我们该怎么办?真的没有别的路可走了。你们必须共同努力把价格降至合理的水平。唯一的选择就是雇佣这些网络安全特警队中的一个，但世界上很少有了解底层系统并且你可以信任的人。用户群体比单个公司自己尝试做要好得多。在这个地方，他们可以为每个人节省很多钱。”

根据帕勒的说法，这已经在世界其他地区发生了。“欧洲人的行动要快得多。在过去的两三个星期里，我们听到他们对采购规格的做法感到震惊。政府正在给国内的系统供应商写信，问他们:“这些东西你们实施了哪些，没有实施哪些?”他们比美国更能感受到风险。当然，从哪里开始并不重要，因为一旦我们有了几个模型，它就会在任何地方被采用。”

——peter Welander，过程工业编辑，PWelander@cfemedia.com，
《过程与先进控制月刊
在这里注册并向下滚动以选择您选择的免费电子通讯。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。