用合理的安全策略保护控制系统
曾几何时,支持大多数制造流程的技术是独立的、专有的和不连接的。如今,这种情况已经发生了很大变化。互联网带来的即时连接,以及工业场景中开放网络和操作系统的出现,使得确保公司自动化和生产系统安全的需求比以往任何时候都更加重要。
曾几何时,支持大多数制造流程的技术是独立的、专有的和不连接的。如今,这种情况已经发生了很大变化。互联网带来的即时连接,以及工业场景中开放网络和操作系统的出现,使得确保公司自动化和生产系统安全的需求比以往任何时候都更加重要。
随着安全威胁的增加,制造商开始仔细研究如何通过新技术和最佳实践来降低风险。尽管这类危险历来被视为IT问题,但越来越多的公司发现,工厂车间也同样容易受到影响,而且影响往往要严重得多。
证明成本
在确保工厂安全的斗争中,最大的挑战可能是如何证明安全支出的决定是合理的。IT预算的缩减和用更少的钱做更多事情的推动使得展示ROI(也称为安全投资回报率或ROSI)成为这个过程中的一个重要步骤。
要证明安全工作的价值,就需要以一种将技术特性和流程改进转化为有意义的、切实的财务利益的方式来展示回报。许多公司长期以来一直专注于安全的“风险规避”方面,以至于很少有人意识到承担安全项目通常会带来可衡量的业务利益。
通过将工厂车间和IT安全计划与公司目标和盈利能力相结合,经理们可以更好地解释为什么投资具有坚实的财务意义。底线:如果管理层不完全理解风险降低和安全措施对组织的实际好处,他们就不太可能支持新的计划或额外的费用。
执行成功的安全策略需要依赖于关键的部门数据,以及将预期结果与底层业务驱动因素关联起来的能力。例如,改进您的网络架构将如何帮助提高生产正常运行时间并减少与生产损失和报废相关的费用?更具体地说,这将如何影响产品单价比率——一个潜在的管理目标?
在许多情况下,由于不必要的停机时间或延迟交付而造成的损失是不透明的,安全部门在保护生产资产和确保一致、安全、可靠的控制系统运行方面的作用没有有形回报。换句话说,如果你不能衡量价值,就很难为投资提供令人信服的商业案例。因此,许多公司严重低估了安全措施对公司底线的整体影响。
评估风险
另一个关键挑战是知道保护什么以及如何保护。许多风险经理依靠直觉和经验,认为他们的安全流程设计得足够好,可以满足生产目标。为了避免这种假设的盲点,第一步应该是对您的IT和控制网络安全以及涉及系统访问和控制的任何流程进行广泛的评估。
评估过程可以识别安全漏洞和生产风险,确定可以通过附加技术或新的安全实践实施的纠正措施的优先级。识别有价值的资产并检查可能的弱点有助于您了解要保护什么以及将安全工作的重点放在哪里。此外,这个详细的分析提供了关键的文档,管理员需要演示新的和现有的安全工作的价值。
风险评估
通过评估给定威胁的可能性并确定对已识别风险的容忍程度,安全风险管理人员可以开始制定明确的行动计划。该计划应该包括令人信服的文件,支持你的业务案例,并展示清楚的、可衡量的好处。它应该有效地阐明您打算完成什么,以及您的活动如何与潜在的业务目标相关联。
一旦评估完成,资产和漏洞被识别并确定优先级,管理人员就可以确定最具成本效益和最有益的措施,将安全风险降低到可接受的水平,并有助于实现总体业务目标。这可能涉及各种降低风险的技术和过程,包括限制对自动化系统的物理访问,只有那些有合法需要的人,为访问设备的所有人员分配用户名和密码,以及加强对自动化网络上使用的计算机和软件的控制。
持续的维护对于健全的安全策略也是必不可少的。这包括持续审计、监控和重新评估安全系统,以搜索新的、未识别的漏洞。维护安全解决方案的一个关键组成部分是实现业务连续性和恢复计划,以响应严重的业务中断。加强管理和车间人员的安全政策和程序也很重要。
实施权利保护
工厂地面安全工作的核心是部署适当的风险降低策略。这包括实现防火墙、补丁管理策略、业务连续性计划、变更管理、入侵检测系统和用于用户认证和授权的软件等技术,以及为工厂人员定义策略和程序。最重要的系统应该由多个防御层保护,以防范已识别的威胁。一旦系统就绪,就应该对已知的安全漏洞进行验证和测试。
虽然有许多技术选项可供选择,但制造商倾向于实现他们熟悉的技术,这可能适合也可能不适合环境。在许多情况下,IT环境中可接受的内容可能并不最适合工厂,甚至可能引入更多风险。这并不意味着你不应该利用现有的技术来提高生产力。利用现代It技术构建有效的安全系统是可能的,但是盲目地应用它而不了解威胁的风险和后果并不是一个好的业务实践。
一般来说,您只需要保护为业务提供价值的东西,并且您应该只根据风险和价值的比例应用保护。安装过多的安全性会产生不必要的费用,并限制授权访问人员的访问权限。另一方面,缺乏安全性会使人员、流程和利润面临风险。
虽然工厂每天都有安全漏洞发生,但其中许多只是程序错误或人员监管不力的结果。换句话说,技术并不是安全的限制因素。人们必须了解并遵守安全流程和程序。持续的培训是必要的,以使员工了解并意识到他们必须做些什么来保护工厂及其信息。这项投资将加强一个强大的安全计划,并提供最好的投资回报。
在线额外
实现法规遵从性
随着消费者和政府机构要求确保产品真实性和安全性的压力越来越大,企业需要考虑安全解决方案,以保护生产流程和资产,并帮助保持法规合规性。随着新法规的出台,制造商对这些要求的法律后果保持了解和更新是很重要的。
实现法规遵从性的关键是让所有商业领袖都参与进来。这意味着组建一个内部团队,包括涉及监管问题的所有主要业务部门,包括工程、运营、风险管理、安全、质量、法律和IT。这将帮助每个人理解问题、风险和潜在的后果,并使组织的每个职能部门朝着相同的目标工作。
要实现这种一致性,需要建立一个安全重要性的案例,以激励组织的每个级别都参与其中。如果您的公司不了解安全风险和法规遵循问题,请聘请自动化安全专家,他们可以使用先进的安全技术和最佳实践帮助您构建有效的法规遵循策略。此外,ISA等组织(通过其ISA- sp99委员会)正在制定标准和最佳实践,以指导制造商实现控制层安全。
每个公司在如何配置和管理其系统和网络应用程序的细节方面都是独一无二的。因此,您的安全策略必须足够灵活,以适应独特的环境和实现。与此同时,重要的是要将安全视为一项持续的投资。技术、生产过程和人都在不断变化。为了持续维护一个安全的环境,公司还需要改进他们的安全战略和潜在的战术方法。
更多信息:ISA-SP99委员会
ISA-SP99委员会将制定标准、建议做法、技术报告和相关信息,以确定实施电子安全制造和控制系统的程序以及安全做法和评估电子安全性能。该委员会的重点是提高用于制造或控制的组件或系统的机密性、完整性和可用性,并为采购和实施安全控制系统提供标准。
更多访问ISA。
| 作者信息 |
| Bryan Singer, CISM, CISSP, ISA S-99委员会主席,罗克韦尔自动化 |
实现法规遵从性
随着消费者和政府机构要求确保产品真实性和安全性的压力越来越大,企业需要考虑安全解决方案,以保护生产流程和资产,并帮助保持法规合规性。随着新法规的出台,制造商对这些要求的法律后果保持了解和更新是很重要的。
实现法规遵从性的关键是让所有商业领袖都参与进来。这意味着组建一个内部团队,包括涉及监管问题的所有主要业务部门,包括工程、运营、风险管理、安全、质量、法律和IT。这将帮助每个人理解问题、风险和潜在的后果,并使组织的每个职能部门朝着相同的目标工作。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
