当世界碰撞

最近，我参加了一个由安全专家组成的小组讨论过程控制系统安全性的会议。这次聚会有很多惊人的发现包括需要确保你的设施的控制系统不会被发现一个名为Shodan的搜索引擎．它可能听起来像一些赛博朋克小说中的恶棍，但它可能是对控制系统安全的真正威胁。

我从来没有听说过Shodan，所以我对这样的东西的存在感到非常吃惊，而且经常被黑客用来攻击工业控制系统。听到可以使用这个搜索引擎找到的系统的数量有数千个，更令人震惊。

我在这个行业工作了很长时间，我知道我接触过的大多数安装的控制系统仍然使用默认管理员的密码，所以听到每个人都应该回到他们的工厂，对这个漏洞进行审计，这已经是旧闻了。我很惊讶地听到一位与会者说，在他的工厂里，控制系统中使用的所有pc的USB端口都被强力胶封住了。我从未见过即使是最严厉的IT人员也建议将其作为一种安全措施。

这就引出了这篇博客的主题:控制系统组和IT组之间发生的冲突。

通常情况下，当我与过程控制组谈论扩展他们的控制基础设施时，他们的第一个问题是我们是否可以在不参与it人员的情况下完成它。虽然他们一开始可能会这样反应，但很快他们就会意识到这种方法根本不实际。更重要的是解决安全性和可靠性等问题上的冲突。

当我与IT人员交谈时，我经常听到他们抱怨流程控制人员对最新技术知之甚少。当控制系统和公司系统必须进行通信时，运行工厂的人员尤其关心。当一些经理想要远程查看控制系统数据时，这种担忧会加深。

许多冲突来自于需要保护系统，同时仍使操作人员易于使用。除非你所在的行业受到严格监管，比如生物技术行业，否则你所在的工厂可能有通用的用户名和密码，用于操作人员和技术人员等功能。您还关闭了自动注销功能，并且没有要求密码过期。上帝不允许操作员在开始轮班时必须登录。如果你有个人用户名和密码，它们很可能与你公司的活动目录相关联，所以如果有人成功侵入了该目录，他们就自动获得了访问控制系统的权限。如果你不在现场，对系统的远程访问可能会受到VPN的保护，但如果你在现场，就跳过这个。因此，如果有人入侵了公司网络，他们就入侵了你的控制网络。您最近可能还没有给软件打补丁，因为作为控制系统的系统管理员，您很可能还在做许多其他具有更高优先级的事情，至少在您的心目中它们具有更高优先级。毕竟，控制系统并没有对互联网开放，即使它是开放的，it部门也应该守住那扇门。

那么，控制系统经理该如何做才能将系统风险降至最低呢?您可以从了解ICS-CERT及其提供的帮助开始。它甚至通过控制系统安全计划(CSSP)提供免费培训。(培训是免费的，但路费和生活费由你自己负担。)这包括为期一周的高级网络安全课程，以12小时的练习结束，让学生对抗黑客。最重要的是，国土安全部这个部门的主管是由一位前流程控制工程师领导的，而不是什么对我们的工作一无所知的官僚。您还应该询问您的控制系统供应商是否遵守阿喀琉斯保证平台指南或拥有阿喀琉斯认证。最后，您需要解决控制系统和IT人员之间的差异，以便他们理解为什么不是所有好的IT策略都是好的控制系统策略，反之亦然。最后一个建议必须在足够高的级别上进行，以便所做的决定得到实施。

你的公司是如何应对这种数字鸿沟的?你和她和好了吗?如果有，你是怎么做到的?

本文由Bruce Brandt撰写。Bruce是MAVERICK Technologies的DeltaV技术领导者，MAVERICK Technologies是一家领先的系统集成商，在制造和过程行业提供工业自动化，运营支持和控制系统工程服务。MAVERICK在工业自动化控制、分布式控制系统、制造执行系统、运营战略和业务流程优化等广泛领域提供专业知识和咨询。该公司提供全方位的自动化和控制服务——从PID控制器整定和HMI编程到作为主要自动化承包商。此外，MAVERICK还提供工业和技术人员配备服务，提供现场自动化、仪器仪表和控制工程师。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。