自动化专业人员面临的最大问题之一是工厂和工业控制系统的安全性SCADA将分散设施(如电力、石油和天然气管道、水分配和废水收集系统)连接在一起的系统。
上述所有实例都被设计为开放、坚固、易于操作和维修,但不一定安全。
工业控制系统需要主流和控制系统的专业知识,承认操作上的差异,接受相似之处
工业自动化安全考虑的因素:
- 对ICS网络安全有清晰的认识
- 明确了解行业、政府和公民对系统可靠性和安全性的相关影响。
- 尽可能广泛地定义网络威胁,包括有意的、无意的、自然的和其他电子威胁,如电磁脉冲(EMP)和无线电子战。
- 根据现场设备实际和预期的ICS网络事件开发安全技术和最佳实践。
- 开发ICS网络安全学术课程
- 使用合适的IT技术和最佳实践来保护使用商用现货操作系统(COTS)的工作站。
- 建立ICS流程、系统、人员和网络安全标准认证指标。
- 促进/强制所有关键基础设施或至少工业基础设施子集采用NIST风险管理框架。
- 为控制系统建立一个全球的、非政府的网络事件响应小组(CIRT),配备系统控制专家,以披露漏洞和共享信息。
- 建立、推广和支持ICS系统的开放式示范设施。
- 建立一种检查ICS专家的方法,而不是使用传统的安全许可。
- 为关键基础设施行业的网络安全提供监管和激励。
- 制定类似于萨班斯-奥克斯利法案的指导方针,以充分保护ICS环境。
- 在高级别网络安全规划会议上,邀请具有控制系统经验的主题专家参加。
- 改变关键行业的生产文化,使安全与性能和安全同等重要。
- 制定类似于萨班斯-奥克斯利法案的指导方针,以确保ICS环境得到充分保护。