西门子:必须制定安全生命周期计划

老练的攻击者对于制造业自动化安全专业人员来说仍然是一个挑战，但领先一步比坐等被攻击更强大。

西门子网络安全业务发展主管Jay Williams在题为“工业控制系统网络安全”的网络直播中表示:“现在，保护我们的控制系统比以往任何时候都更加重要。“网络威胁形势的变化比以往任何时候都更加活跃。首席执行官们现在认识到全面解决网络安全问题的重要性。”

说到安全，人们记得的第一次真正的攻击是2010年的Stuxnet攻击，当时美国和以色列合作渗透了伊朗纳坦兹的核浓缩设施。他们能够渗透到一个系统中，向工作人员表明，该系统运行正常，而离心机却疯狂地失去控制。然而，在2008年，土耳其发生了一起管道爆炸事件，这在网络安全雷达的雷达范围内。威廉姆斯说，这次攻击是从一台视频监控计算机开始的，攻击者能够进入并攻击控制系统，造成过度增压和爆炸。此外，后来在2014年，有一个鱼叉式网络钓鱼活动渗透到一家中国钢铁厂，造成了巨大损失。再看看索尼(Sony)遭到的攻击，该公司仍未完全运作。

开放的环境

在20世纪90年代，没有必要真正担心安全问题，但转向更开放、更依赖于以太网和互联网连接的标准现成技术，允许环境的变化。这些变化非常有效，可以实现更大的业务移动性、连通性和生产力。问题是连通性和开放软件为制造商提供了安全漏洞。

西门子(Siemens)工厂安全业务负责人肯•凯泽(Ken Keiser)表示:“工业控制系统出现了很多90年代没有的漏洞。”

问题是，现在用户已经了解了对安全的需求，但他们只是在进化到下一个阶段，为网络安全创建了一个生命周期，大多数工厂都必须经历这个过程。凯泽说，问题是大多数制造商甚至还没有开始这一过程。

看看防火墙、反病毒、白名单和补丁管理等等。“他们都有一个共同点，那就是管理。你不能放进去就忘了。你必须考虑你想要承担的风险以及你已经承担的风险。在达到维持水平之前，您需要知道您拥有什么，并有一个良好的基线。你需要建立一个底线。”Keiser说。

以下是创建基线需要关注的领域:

• 网络评估
• 政策及程序
• 意识培训
• 技术安全培训
• 操作系统加固:组/本地策略设计和部署
• 操作系统加固:一次性验证补丁部署
• 防病毒:一次性代理部署
• 白名单:一次性代理部署
• 周界防护:设计、实施和集成
• 分割/分区:设计和实现

一旦工厂通过评估和实施阶段并达到维持水平，那么艰苦的工作就开始了。

“对于ICS工程师来说，网络安全生命周期中最困难的方面之一是维护阶段，”Keiser说。这是因为不断变化的动态环境，其中一个进程可能已经连续运行了两到三年，但是持续的攻击可能会破坏系统并使进程崩溃。

安全vs.保障

虽然安全和保障有相似之处，但它们也有不同之处。

“在安全方面，你是在遵循自然的物理定律。是的，你必须维护和更新安全系统，但工厂的物理结构不会改变。”“在安全方面，你面临着一个非常老练的对手。外面有人想进入你的工厂。环境是不断变化的。你需要知道实时发生了什么。你可以做的一件事是每天查看日志，因为你有报告出来。”

安全性本身就是一个实体，它很容易陷入比特和字节的细枝末节。但事实并非如此。一旦生命周期计划写在纸上，制造商开始运行，它就会开始演变成一种很难渗透的力量，工厂就能保持运行。

凯瑟对人们说的一件事是，“必须记住，要明白工厂的首要任务是生产产品。你不想担心安全问题。”

格雷戈里·黑尔是《工业安全和安全来源》的编辑和创始人(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容原载于ISSSource网站．由CFE Media数字项目经理Joy Chang编辑，jchang@cfemedia.com

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。