网络安全:谁应该控制DCS防火墙?

在我们最近的Webcast“工业网络的网络安全”中，引起小组成员讨论最多的听众问题来自一家化工厂的最终用户，他说他的管理层决定让IT部门负责为DCS配置防火墙，而不需要控制工程师的任何输入。他认为这是个问题。小组成员也是如此。

Doug Clifton(英维思过程系统)不喜欢这个想法，但潜在的影响取决于防火墙的配置方式和通过防火墙的流量类型。在任何情况下，忽略控制工程师的输入都是目光短浅的，因为他们的输入只会增加政策的价值，因为他们对制造系统的了解。

Eric Byres (Byres Security)对此非常担心，因为根据他的经验，运行DCS的人员通常都是并且应该参与到这些防火墙中。控制系统的协议和需求不同于IT通常处理的内容。“IT当然可以学习如何为DCS运行防火墙，”他说，“但如果没有DCS和控制组的输入，它们之间的差异就足够大了，你就是在找问题。”

汤姆•古德(杜邦)认为，这与其说是“谁”的问题，不如说是“如何”的问题。他说，杜邦已经达成了共同管理的方式。他不认为让IT管理设置(意味着进入并物理修改配置)有什么错;然而，决定这些变化应该是什么是另一回事。到位的变更管理流程应该从最终用户开始，在本例中是DCS操作员。提议的变更然后通过定义的渠道，包括工厂管理和IT。双方都必须同意更改，然后才能将其发布给实际对设备进行修改的人。需要流程人员的输入，因为他们知道在正常操作中必须发生什么。他说，当这是一个程序时，让流程组以外的人来实际做出改变可能是一件好事。对DCS防火墙的更改很少(或者至少应该很少)，以至于过程控制工程师在处理这些系统时可能会生疏。 People who configure firewalls more frequently will keep those skills sharper.

这只是网络直播中讨论的主题之一，可以免费按需观看。这是一个宝贵的资源，只需点击几下鼠标。

-Peter Welander，过程工业编辑，PWelander@cfemedia.com，控制工程周刊新闻

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。