办公室、车间和工厂继续讨论。由于信息技术和操作技术难以理解彼此的安全,这种讨论可能会导致两个团队之间的对抗。
所有的计算机和处理系统不一样吗?
答案是:绝对不是!SANS协会工业控制系统安全技术总监Tim Conway2013年8月与《计算机工程》杂志的一次采访中指出:
当你接受IT当有背景的人把他们带入工业控制系统环境时,操作人员不明白他们为什么在这里,IT对特定控制环境的需求缺乏了解。
随着基于TCP/IP、以太网、Linux及Windows系统进入工业控制系统和数据采集和监控系统(SCADA)在网络中,操作技术面临IT安全挑战。
IT/OT整合
绝大多数安全高管对信息技术有很好的了解;本质上,IT是业务的关键基础—它保持信息流动、email填写服务操作和数据库。操作技术(OT)这是最近提出的一个术语。它涉及工业控制系统,保持电厂运行,管理工厂生产线,从根本上合作实现制造、运输、能源生产等工业目标。根据技术咨询公司 Gartner 定义,OT 由软硬件组成,通过直接监控和/或控制企业中的物理设备、工艺或事件进行检测或变更。
为了更好地理解这些细微的差异,让我们来看看IT与OT系统管理员之间的差异。IT业务部门工作”企业侧”,通常向上报告***信息官。IT技术人员和工程师的一般工作Windows工作站和服务器,email以及企业资源规划体系。OT技术人员则工作在运营或生产管理团队下。他们专注于工业系统设备的平滑作业,如可编程逻辑控制器;压力、温度与水平传感器;阀与电机控制器等等。
历史上,OT系统和组件是不连接的独立设备,它们一直与企业或企业合作IT侧隔离。或者,即使有这些设备"计算机化",使用专用软硬件通常是运行专有协议。然而,随着时间的推移,IT 能力被引入现有的物理和 OT 系统;例如,用于电机和蒸汽发动机的传统机械调速器已被嵌入式数字控制器所取代。
IT/OT本质差异
用于生产的旧工业控制系统正在被分类IT系统的OT但是IT与OT两者之间仍存在差异。美国国家标准和技术协会(NIST)SP 800-82《工控系统安全指南》(修订版1)中列出了一个比较好的对比表,易于理解。这张表总结在第25页IT与OT系统之间的本质差异,并添加了一些额外的观点。#p#
NIST安全对比:IT系统与工控系统
源:NIST SP 800-82修订版《工控系统安全指南》1
正如NIST对比表显示,IT与OT两者之间仍存在显著差异,这些差距将产生许多问题,包括操作实践、软件修复、系统升级等安全和网络功能。
修补IT系统相当简单,本质已经成为IT员工的日常工作。他们例行处理微软月度”星期二补丁”,继续修复软件缺陷。由于工业系统是系统的,微小的变化可能会产生巨大的影响,因此OT工程师将首先保存这些补丁,并在车间或工厂的下一个停电期安装这些修复包:不允许简单的补丁包和重启。工业系统也可能运行旧版本的嵌入式Windows系统,这对很多人来说IT由于生产系统不遵循,部门意味着安全风险IT由于环境中常见的较短升级周期。
厂房联网
涉及IT环境和工业控制系统的变化正在酝酿之中。随着15年后老化的生产系统最终退休,越来越多的工业控制系统正在变得TCP-IP以中心为中心。这些更新的组件和操作计划更像它们IT表亲。
劳动力和技能也正不断演变:许多曾管理旧式 HMI 工业控制系统技术人员(使用专用软件和触摸屏)正在退休或离开劳动力市场。年轻,受过训练TCP/IP技术人员进入OT很难找到经验丰富的运营商。有了这个职位。IT安全和OT两个团队之间的词汇逐渐一致,人员更换可能有助于润滑两个孤立团队之间的阻力。
安全高管和管理层需要意识到IT与OT管理好建立安全网络环境的预期。Gartner在其《OT2012年技术成熟度报告中提到的机会很大IT与OT整合,但短期内不容易获得。
IT与OT文化融合需要耐心。了解这种差异的高管需要采取行动来促进IT安全团队与OT为了避免两者之间的组织边界纠纷,团队之间的对话。
高管需要认识到,IT与OT安全策略、实践和步骤不同。OT负责实时高系统可用性,IT专注于保护复杂的数据环境。许多信息安全专家擅长IT但不擅长工控系统安全。SANS该协会正在启动包括培训和全球工业网络安全专业认证在内的工业控制系统和网络安全认证计划。
一家主要的消费品制造商CISO他意识到了这种差异。他设立了一个工业控制安全经理职位,不仅专注于OT在安全问题上,我们还应该帮助两个群体进行对话。当两个团队在旧系统中一起工作,朝着更多的方向发展时。”IT中心”工控安全经理在控制方向发生变化时尤为重要。
安全和风险专家必须仔细审视那些IT治理、采购、配置管理等领域的流程和步骤已经正常运行。为避免今后IT与OT经营组织必须融入治理过程和对话之间的争议。此外,两组的高管需要意识到IT系统与OT系统之间的系统结构差异,并致力于整体规划和实施计划,帮助所有团队专注于业务结果,而不是技术纠纷。
***,Belden***技术官兼Tofino安全创始人Eric Byres,建议消除以下措施IT安全与OT间的分歧:
· 年度员工调查用于衡量IT安全与OT审视资源使用、信任、冲突、目标和目的的明确性;
· 跨部门培训不仅提供两种技术培训,还支持有望促进合作与沟通的价值观和行为。
· 跨职能团队,从IT与OT共同开发政策、标准和项目。
· 过墙,鼓励IT安全和OT两个团队相互影响,有意设身处地。安全和运维管理团队采取一致行动,支持建设”桥梁”。
大处着眼 小处着手
花时间审视”快速点击”以及未开发项目的机会,比如新工厂,有IT安全及OT团队一起为项目努力。***,我们需要意识到,两个各自为政的技术团队需要时间才能合作。然而,当IT和OT看到安全高管的参与和努力,员工将提高士气,迅速促进合作。