一家炼油厂安装了现代化的分布式控制系统，可以自动管理工业网络安全任务，从而减少错误和成本。

最近的网络安全事件表明，过程控制行业在面对威胁时维持防御水平的容错能力较低。 例如，今年3月，全球最大铝供应商之一的挪威海德鲁公司(Norsk Hydro)位于欧洲和美国的多个工厂运营遭受“大规模网络攻击”，影响了该公司多个业务领域的运营，并导致其全球业务受到严重影响。计算机网络系统瘫痪。 该系统受到了LockerGoga的攻击，这是一种相对较新的勒索软件恶意软件，它会加密目标计算机上的所有文件，然后要求支付赎金，就像其他勒索软件病毒一样。

不幸的是，日常现实往往成为执行安全任务的主要障碍，包括网络人数的限制以及需要各种安全补丁的旧设备。 好消息是风险管理软件可以帮助自动化安全监控，以检查服务器备份是否安装正确或报告风险评分。

DCS系统升级

一家大型欧洲炼油厂通过将专有的分布式控制系统 (DCS) 技术过渡到使用 Microsoft Windows 操作系统的现代 DCS，提高了其网络安全能力。 企业信息技术 (IT) 和领域领导者意识到，需要采取更多措施来了解和解决潜在的网络安全漏洞。 任何跨平台自动化和标准化的举措都需要相关的风险管理，组织需要在迁移的每个阶段考虑安全性。

第一个决定是尽可能减少手动工作流程。 这包括检查所有端点是否存在潜在的网络漏洞，例如过时的补丁或缺少防病毒更新。 过去，为这项耗时的任务分配人力资源可能会花费企业数十万美元。 除了降低成本之外，新系统标准化和自动化端点检查的能力将有助于消除人为错误，增加安全检查的频率，并允许通过一致的数据收集来衡量和改进关键指标。

该炼油厂拥有关键基础设施，需要满足 IEC 62243 SL3 安全保证级别。 因此，企业需要提高网络安全态势感知，更轻松地将系统日志（消息记录协议）转发到安全信息和事件管理系统，并将风险管理与现有仪表板集成。

该企业与一家主要的全球工业网络安全提供商合作进行网络架构评估，以了解潜在的差距并以安全和持续的方式支持网络的发展。 通过 5 年时间范围的规划，团队可以考虑对架构的近期影响，例如添加无线连接或扩展设施的需要。 此外，根据安全信息和事件管理要求以及仪表板访问视图，可以规划架构以满足合规性需求。

DCS 自动化升级包括网络安全系统评估，以确定安全迁移到新系统的关键要求。 这包括运营工程顾问和工业网络安全专家的专业知识。 专家利用其他组织的见解来提供客观数据，炼油团队可以使用这些数据来确定范围、预算并执行优先的风险降低工作。

自动化风险管理在整个工业控制系统 (ICS) 网络中提供急需的风险可见性和执行能力。本文图片来源：霍尼韦尔

风险管理软件

为了提高网络安全风险的可见性并改善管理，该炼油厂选择实施风险管理软件。 这包括对网络、端点和其他安全因素的关键风险指标进行 24/7 自动化监控。

该炼油厂的自动化人员在试点阶段发现了关键的网络安全漏洞，包括未使用的端口、不一致的备份、过时的安全补丁等。 风险管理软件为工作人员提供了一致的方式来衡量、监控和管理现场网络安全风险，而无需人工干预。 软件仪表板突出显示可能存在的问题，以帮助员工保护数百个端点的安全。 它还提供补丁、网络安全和备份状态的更新。 这允许员工更快地响应潜在威胁软件安全实现，从而提高站点安全性。

除了提高效率之外，实施工作还带来了人员和流程效益。 例如，公司需要讨论风险偏好，然后就定义的风险阈值达成一致。 由于该软件将相对于风险的算法评分作为监控功能的一部分，因此简化了安全态势的可见性。

由于员工看到了需要采取的行动，因此他们的技能和效率得到提高，特定优先事项的风险可以降低，资产监控的优先级也可以降低。 即使非安全人员也有能力遵循建议并影响风险评分。

在执行层面，自动化网络风险管理提供了工业控制系统 (ICS) 网络中急需的风险可见性和执行能力。 在运营层面，工程师可以在运营技术 (OT) 合规性和性能问题发生之前发现并解决它们。 在网络安全事件对公司的利润产生真正影响之前软件安全实现，对自动化、标准化和改进风险管理的任何投资都将具有明确的商业意义。

Experion PKS 解决方案的仪表板突出显示了可能存在的问题，以帮助员工保护数百个端点的安全。

关键概念：

■ 升级DCS 有助于改善流程操作和网络安全。

■ 风险管理软件提高可见性。

想了一下：

DCS 升级可以带来哪些好处？

-结尾-

本文来自《控制工程中文》（ConTROL ENGINEERING China）2019年10月号“封面故事”专栏。 原标题：自动化风险管理

本期杂志

好消息：《控制工程中文版》小程序上线了。 点击本杂志封面即可打开小程序阅读往期杂志。