社交媒体:为什么工程师应该反社交

最近的一项调查显示，IT部门正竭力放宽网络安全规定，允许用户访问Twitter或GoogleApps等社交媒体网站。这样的改变对你的过程控制系统来说不是一个好主意。

该调查由SearchSecurity.com发布，对全球1300名IT经理进行了调查。虽然这些通常是“办公”IT应用程序，但结果是过程控制平台操作员也应该注意的。调查的几个亮点包括:

• 47%的人表示，一些用户绕过安全策略访问这些平台;

• 86%的人对允许更多地访问社交网站感到压力;和

• 很多都缺乏Web应用程序防火墙。

你可能正在处理一些相同的问题。越来越多的人想要访问Twitter、Facebook、MySpace、GoogleApps等等。虽然这些是有用的，适合家庭甚至办公室使用，但它们在您的控制系统网络中没有位置。

2007年4月，控制工程发表了一第十条控制系统的安全威胁，由NERC(北美电力可靠性公司)概述。再看看这篇文章，有两个威胁特别适用于这里:

6.使用非专用通信通道进行指挥和控制。

基于internet的SCADA就是这种情况。此漏洞还可能包括不适当地将控制系统网络带宽用于非控制目的，例如VoIP (Internet上的语音)。

ISA SP99委员会主席布莱恩•辛格表示:“许多IT人士购买了‘融合网络’系列产品，并认为它没问题。”“我们已经看到摄像头、VoIP、处理工资的商业系统以及一大批其他问题在控制网络上导致拒绝服务条件。IT专业人员通常关注应用程序的性能，而接近实时的控制是一个陌生的概念。多花300-500毫秒来接收电子邮件或网页基本上是不引人注意的;300-500毫秒的控制消息或安全消息可能是灾难性的。通常，从IT角度来看，可接受的饱和度或利用率水平可能会给控制带来灾难。”

霍尼韦尔过程解决方案的全球安全架构师Kevin Staggs警告说，善意的个人可能会在基础设施上犯错误，因为“增加额外的通道需要花费相当多的钱，而且在事后很难增加基础设施布线。但是，您确实需要了解信息在哪里以及它需要流向哪里，并相应地布局您的网络。使控制流量远离业务网络，反之亦然。不要使用相同的渠道。这真的是一种不好的做法。”

艾默生过程管理的DeltaV产品经理Bob Huba表示，将控制系统用于非控制通信，“无论有多少‘额外’带宽可用，都只能导致在尽可能快地分发关键任务控制信息方面出现问题。”

8.在关键主机上安装不适当的应用程序。

最重要的是，西门子PCS 7市场经理Todd Stauffer说，控制系统需要安全有效地控制过程。“唯一必要的应用是那些直接涉及到过程控制的应用。额外的软件程序，如电子邮件、游戏和媒体播放器是不必要的，可能使系统易受攻击。为了加强系统，有必要删除所有不必要的应用程序，并防止引入新的应用程序。任何时候与控制系统外的世界交换数据都可能引入不需要的程序或恶意软件。”

霍尼韦尔过程解决方案市场经理Marilyn Guhr回忆道:“一位客户在某些操作站遇到减速，他们无法找出问题所在。这个‘问题’是由运营商的一个电视连接引起的。”

阅读完整的文章:10控制系统安全威胁”

你的控制系统只有一项工作，这应该是它的全部工作。虽然连接到更大的系统甚至互联网可能是各种功能目的所必需的，但在控制室关注某人的Twitter账户并不是其中之一。

读了控制工程网络安全博客．

——peter Welander，过程工业编辑，PWelander@cfemedia.com
过程与高级控制每月eNewsletter
在这里注册，选择您选择的免费电子通讯．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。