日本va欧美va精品黑人,亚洲精品人妻无码

【專家博客】Jeff Smith的實用SCADA安全理念

2014/7/3 14:14:43

本文作者HeatherMacKenzie，最初發(fā)表于2013年12月17日。由青島多芬諾信息安全技術有限公司進行采編和整理，轉載請注明出處。

博客正文：

美國輪軸與制造公司(AAM)的Jeff Smith是工業(yè)以太網(wǎng)網(wǎng)絡和ICS（工業(yè)控制系統(tǒng)）安全領域的權威。我們很榮幸地邀請他出席2013百通工業(yè)以太網(wǎng)基礎設施設計研討會并發(fā)表演講。

在之前的一篇博客中，我概括了AAM公司選擇以太網(wǎng)/IP通信的原因，以及他們怎樣執(zhí)行最佳實踐，例如規(guī)范化網(wǎng)絡分區(qū)配置。今天我將介紹Jeff的ICS安全策略。

Jeff曾經(jīng)公開發(fā)表言論稱沒有人會在安全上花費金錢。然而現(xiàn)在，他發(fā)覺自己看錯了問題的角度。人們應當關心的是：“我需要花費多少金錢才能在面臨如此風險的情況下感到安心？”

為解決這一問題，Jeff建議先評估一下自身目前的安全性水平，然后確定出提高安全性水平的目標。

Jeff Smit表示最終用戶和供應商們現(xiàn)在不能再和以前一樣，每次提起ICS安全就如同面對10噸重的大象

確定你的ICS安全優(yōu)先區(qū)域

在AAM的實例中，他們劃分出了以下四個優(yōu)先區(qū)域：

1. 保護制造網(wǎng)絡（以太網(wǎng)/IP協(xié)議）網(wǎng)絡免受企業(yè)（非信任）網(wǎng)絡的影響。

2. 保障企業(yè)從內(nèi)部外部提供安全可靠的遠程支持的能力不受侵害。

3. 控制并跟蹤供應商連接入制造控制系統(tǒng)的動向——這是最大的挑戰(zhàn)！

4. 采取以下方式保護制造商網(wǎng)絡免受來自PC機的惡意攻擊：

a. 從控制網(wǎng)絡中移除該PC機，并將其合理安置在企業(yè)網(wǎng)絡中。

b. 將網(wǎng)絡邊界的PC機隔離并安裝具備深度包檢測和VPN能力的防火墻，從而將其與控制網(wǎng)絡連網(wǎng)。

Jeff的這一圖解強調了他對此問題的看法。對AAM來說，這一策略（包括移除能夠使PC機連入現(xiàn)場總線的NIC）能夠阻止雙宿主機器的干擾。

在確定好你的優(yōu)先對象后，你就需要執(zhí)行解決方案了。在演講中，Jeff演示了AAM的遠程連接系統(tǒng)，并展示了AAM的標準網(wǎng)絡圖。

Jeff對ICS安全的深入思考

在Jeff的演講中我最看好的一點是他強調出對ICS安全要有恰當?shù)恼J識。他幽默地引用SNL出版的《與Jack Handey一起深入思考》的說法將此也稱之為“深入思考”，并且他指出這些想法對最終用戶、供應商及集成商等組織都適用。以下列示了部分：

大部分企業(yè)都已經(jīng)不需要一個“10噸安全模型”——那種包含復雜的縮略術語和很多安全“物件”的策略了。供應商也應該停止用這樣的方式談論安全，而且最終用戶也不應該就這樣什么都不做。而應該評估用戶的需求，并圍繞這些需求進行討論。
強化基礎。提高安全的第一步是“修復”你的控制系統(tǒng)以太網(wǎng)策略，然后再使它更加安全。（對此如果您需要幫助，那么百通公司可以提供適當?shù)慕鉀Q方案）
應從管理組織的角度出發(fā)解決安全問題。例如，在企業(yè)界，安全防護已是一項成熟的規(guī)范運作。但在以太網(wǎng)為基礎的現(xiàn)場總線界，安全才剛剛引起管理組織的注意。而且ICS安全也還處于起步階段。
因此不要去跟控制工程師們討論關于以太網(wǎng)的太過寬泛的話題，縮小范圍至跟他們切身相關的。
要記住很多工程師并沒有以太網(wǎng)為基礎的控制網(wǎng)絡的工作經(jīng)驗。與此同時，企業(yè)的培訓經(jīng)費也很緊張。這些都導致了員工們只能在工作中學習，即使工作中技術變更的進程緩慢。因此，請為他們提供幫助。
面對以太網(wǎng)挑戰(zhàn)的工程師們，你對“從傳統(tǒng)的現(xiàn)場總線X向以太網(wǎng)現(xiàn)場總線轉變”的工程計劃是什么樣的？這是你馬上就要面臨的問題……所以，行動起來吧！
要記住“控制工程師們可以做控制相關的事情”，而且應該考慮一下把精力投注在提高自己實施安全防護解決方案的相關技能上
不要忽略那些來自內(nèi)部的有意或無意的網(wǎng)絡攻擊。
同樣要考慮入侵檢測和快速恢復。要成功阻止每一次攻擊是很困難的，因此你需要制定一個在遭受攻擊后能迅速恢復的計劃。