工业领域和IT方面的安全性:理解差异

西门子工业工业服务运营主管Tamer Soliman在“风险驱动工业控制系统网络安全投资”网络直播中表示:“为了使我们能够在制造车间实现工业安全，我们需要拥有同时理解控制和安全的资源。”“我们不能直接使用开箱即用的企业安全概念，并将其应用到工厂车间。”

索利曼表示，工业安全与IT安全之间的区别在于，在OT方面，用户使用AIC模型，而IT使用CIA模型。虽然所有的字母都代表同样的东西，但顺序的差异是非常重要的。

AIC代表可用性、完整性和机密性，CIA代表机密性、完整性和可用性。

重要性等级

工业方面的可用性最重要。工厂需要正常运行时间，即系统和流程保持运行状态。它们的停机时间不能少于0.3秒。在IT方面，几分钟的停机时间是可以接受的。

至于谁在部署系统，在工业方面是控制工程师，而在it方面是网络专家。在工业方面，受保护的资产是控制系统，而在IT方面，受保护的资产是pc、服务器和打印机。当安全性在工业环境中发挥作用时，有相当多的利益相关者对安全性有自己的特定关注。

工厂经理知道他们的预算有限，但他们希望保持生产线的运行，而生产经理希望生产线保持正常运行，而维护经理看到网络安全增加了对网络的可见性。从IT的角度来看，企业IT经理看到了车间视角的变化，并可以看到在预算范围内将其与企业网络一起保护的机会。网络安全官认为ICS网络安全正在成为现实，认为需要专业的工业网络安全专业知识。

安全三角

为了帮助创建一个安全的工业环境，有一个三角形的参与者来帮助设置安全场景:政策制定者、自动化供应商和制造商。简而言之，他们都需要传递想法、概念和解决方案，以确保一个安全的环境。这三个国家正朝着一个共同的目标努力，共同的目标就是保护我们的工业设施。

政策制定者制定了标准、认证和审计等措施。他们有共同的兴趣。对于自动化供应商来说，安全是产品开发不可或缺的一部分，制造商需要了解风险，并为他们所需的正确设备做出适当的安全决策。

每一方都可以发挥作用。政策制定者制定规则。供应商了解这些规则并将它们落实到位。制造商确保这些规则适用于他们，然后向供应商提供反馈。索利曼说，反馈非常重要，因为到2020年，全球将有500亿台联网设备，也就是说，全球人均将有近7台设备。相比之下，2003年有5亿台联网设备。“这就是世界发展的速度，”他说。

安全的本质意味着环境是动态的。威胁形势在不断变化，攻击成本在减少，但复杂性在增加。发动攻击的成本正一天天降低。解决攻击冲击的方法之一是采用标准来保护进程。随着攻击的增长，威胁是真实存在的，而且在暴露方面也不会有所改善。安全是一个持续的练习。为了保证您在设施中的安全，您需要每天和每次都有安全措施。以下是一家公司遭受攻击时可能发生的情况:

• 生产正常运行时间减慢，可能导致收入损失，停机时间增加
• 健康和安全
• 公众的影响
• 知识产权盗窃
• 损害品牌形象

标准的使用

在谈到标准时，Soliman讨论了他所谓的最广为人知的标准，即NIST安全框架。

美国国家标准与技术研究院(NIST)于今年2月根据奥巴马总统的13636号行政命令“改善关键基础设施网络安全”发布了自愿框架。该框架由现有标准、指南和实践组成，为关键基础设施内的组织降低网络安全风险提供指导。该框架是NIST作为行业、学术界和政府利益相关者召集人的一年过程的结果。

在使用该框架的过程中，用户需要能够识别威胁，然后应用更改，并将设施置于适当的保护级别。然后是检测阶段，它确保能够检测事件。然后是对事件的反应阶段，然后是恢复阶段。

该工作采用阶段框架，有三步走的方法:

• 评估风险，了解您的安全态势，并制定安全路线图
• 采用路线图并开始一点一点地实现它
• 通过监控和维持安全水平，持续提供安全服务。

索利曼说:“我们需要做好快速反应的准备，以减轻风险并从中恢复。”

格雷戈里·黑尔是工业安全和安保来源(ISSSource.com)的编辑和创始人，这是一个涵盖制造业自动化领域安全和安保问题的新闻和信息网站。本内容原载于ISSSource网站．由CFE Media数字项目经理Joy Chang编辑，jchang@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。