前言：在新奧爾良召開(kāi)的（ISC）2安全大會(huì )上，安全專(zhuān)家開(kāi)始討論工業(yè)控制系統連接到云和物聯(lián)網(wǎng)所需面對的安全問(wèn)題。

埃森哲高級ICS經(jīng)理Graham Speake在本周于新奧爾良舉行的（ISC）2安全大會(huì )上發(fā)表演講時(shí)說(shuō)，物聯(lián)網(wǎng)正在發(fā)展，現在正在進(jìn)入工業(yè)領(lǐng)域。因此，安全專(zhuān)業(yè)人員必須考慮保護其系統處理的數據。

 “有些行業(yè)信息化發(fā)展有點(diǎn)慢，”他解釋說(shuō)，并指出以石油和天然氣行業(yè)為例。Speake說(shuō)，如果你在六到七年前告訴那些公司，他們會(huì )將數據發(fā)送到云端，他們會(huì )對此表示懷疑。但現在，情況不同了，工業(yè)互聯(lián)網(wǎng)正在迎頭趕上。

他繼續說(shuō)，聯(lián)網(wǎng)設備的數量每年都在增加10%，預計到2020年全球將擁有200多億臺設備。雖然許多聯(lián)網(wǎng)設備將用于個(gè)人，但在工業(yè)領(lǐng)域，將會(huì )有越來(lái)越多的設備與云連接，更多的員工使用可穿戴設備，這既是為了提高生產(chǎn)率，也是為了安全。

米勒說(shuō)，我們還不清楚工業(yè)環(huán)境中的威脅情況。我們大部分關(guān)于工控系統的知識都是聽(tīng)別人講述的;企業(yè)并沒(méi)有建立 ICS威脅相關(guān)的數據。缺乏這些安全威脅數據使安全成為一項挑戰：如果你不知道安全防護目標是什么，就無(wú)法分配資源保護這些系統。

Speake強調說(shuō)，企業(yè)必須綜合考慮工控領(lǐng)域既有的安全威脅，又要在使用原有系統和系統上云之間做出選擇。

以殺毒軟件為例:“它確實(shí)有效，但它不會(huì )阻止一切。防火墻也是如此。公司通常有這樣一種心態(tài)——如果我們只是把東西向數據流連接到防火墻，會(huì )起到安全防護作用，但防火墻也存在很多問(wèn)題，也就是說(shuō)，即使配置了防火墻，也會(huì )存在安全問(wèn)題?！?Speake說(shuō)。

密碼安全是另一個(gè)例子，在IT部門(mén)中，管理員提倡設置復雜的密碼并經(jīng)常更改它們。管理工業(yè)控制系統ICS的員工通常不使用密碼，因為他們知道誰(shuí)在使用它們，并且認為自己的系統是安全的，不會(huì )受到外界的攻擊。

供應商之間也缺乏產(chǎn)品測試和安全培訓，因為它們優(yōu)先考慮的是運行速度。

他補充道:“在這個(gè)領(lǐng)域，我們更感興趣的是將產(chǎn)品推向市場(chǎng)，而不是試圖建立安全和彈性?！肮痰膯?wèn)題是，他們不培訓安全人員”。雖然有些人開(kāi)始這樣做，但他指出，“這已經(jīng)晚了幾年?！?/p>

Speake建議從一開(kāi)始就建立安全體系，這樣系統就會(huì )受到默認保護。這意味著(zhù)不僅要測試設備，還要評估通信的可靠性。如果你必須要求一定程度的安全性，并威脅說(shuō)如果不提供，就要更換供應商。

采購文件應該明確提出某種級別安全需求，供應商如果不能滿(mǎn)足安全需求，就需要尋找其它有能力滿(mǎn)足安全需求的供應商。

來(lái)源： e安在線(xiàn)