博客
GXP监控系统网络安全的问答
生命科学
欢迎来到另一个视频问题,并回答我们的网络研讨会:“您的GXP监视系统中的网络安全”。在此视频中,我们的高级GXP监管专家保罗·丹尼尔(Paul Daniel)回答了我们在网络研讨会期间没有提出的问题。如果您错过了直播网络研讨会,则可以立即观看。
如果您还有其他疑问,请在视频笔录下方的评论部分中发布它们。
如果您还有其他疑问,请在视频笔录下方的评论部分中发布它们。
[00:00:05]您好,欢迎来到另一个Vaisala视频博客。今天的博客正在回答我们在最近一次网络研讨会上收到的问题:“”您的GXP监控系统中的网络安全”。
欢迎来到我们的高级监管专家保罗·丹尼尔(Paul Daniel(Paul Daniel)([电子邮件保护])。
第一个问题:
“我必须访问许多不同的系统,每个系统都有不同的密码。我可以使用密码管理器在GMP设施中管理密码吗?”
保罗:哦,我喜欢密码管理人员,并在我的个人生活中使用它们。这样,我可以为所有在线帐户提供复杂,安全的密码。但是我只需要记住一个密码即可进入经理。但是我并没有真正考虑过工作中的使用,因为我们的大多数系统都是单签名(SSO)或它们使用Active Directory。我认为,如果您在一家大公司中,您还会使用单签,您不需要记住很多密码。但是,如果您是一家较小公司的一部分,那么您可能会陷入这种情况。我认为使用密码管理器四个GMP密码的概念上没有任何错误,只要以下方式:
- 您正在满足密码复杂性要求。
- 您没有共享密码
- 您不是在纸上写下它们
由于密码实际上是在密码管理器中存储的,这是一个具有密码密码的保护环境,因此您从技术上满足了GMP要求的精神。但是,这里可能存在逻辑问题,因为您的密码管理器需要在工作站上安装。这可能违反了公司政策。您最安全的课程可能是将这个想法带入您的质量和IT小组,并了解他们要说的话。
下一个问题:
“在基于云的监视系统中被黑客攻击的风险是否增加?云中的安全性更好还是坏?”
保罗:这是一个大问题,因为那里有很多[类型]的云,很难知道从哪里开始。通常,安全性在云中会更好。为了限制我的答案范围,假设我们正在谈论软件作为服务(SaaS),在这种情况下,您的应用程序正在运行在Microsoft Azure或Amazon Web Services(AWS)等公共云服务上。
一方面,您的风险降低了,因为大量基础架构和编程直接来自亚马逊或微软。与平均I.T.相比,它们具有更多的资源,经验和能力部门,特别是关于安全的部门。
另一方面,风险将保持不变,因为您仍然需要确保自己对云工具的实施是安全的。最后,您必须遵循与我们在网络研讨会中涵盖的相同的四个基本安全实践:
- 遵循密码的良好实践
- 用户需求文档中供应商的要求要求的安全功能要求
- 选择有能力的供应商并审核
- 遵循有关备份,恢复和控制的最佳实践
总体而言,您可能会通过云服务安全,但是您仍然需要遵循良好的练习。现在,如果我们谈论的是仅限基础架构作为服务的云,那么您仍然负责服务器部署以及随之而来的所有责任。在这种情况下,它不像SaaS那样低风险,但仍然可能比传统的前提系统低风险。
下一个问题:
“工业互联网(IIOT)使人们感到紧张,因为它会导致系统跳跃普渡大学模型级别,这是互联网的2级。你能告诉我什么让我对IIOT感到满意?”
保罗:如果您像我一样,而您刚刚听说过Purdue模型,那您就是什么?基本上,普渡大学企业参考体系结构(PERA)是通过将层中的部分分开来理解和工业控制系统的一种方式。第二级是控制器和传感器在制造线上居住的地方。互联网将在第五级要高得多。因此,这个问题基本上是在说:“如果我使用IIOT并赋予制造线上的传感器能力,我是否在互联网和制造业线之间打开门户。
我不得不说我同意这听起来很冒险。我们的网络研讨会是关于如何为网络攻击辩护的基于复杂的服务器系统。在我们自己的软件中 -ViewLinc连续监视系统- 我们有许多已知的修复程序,很多资源可以轻松解决任何错误。
但是有了IIOT,您可能正在处理许多第三方设备,这些设备没有大量用于安全控制或升级性的资源。我同意我们将这些设备暴露于通过互联网上的潜在攻击中。我认为我可以说什么会让您对IIOT感到满意,因为我对此不满意。直到对物联网设备的安全程序进行标准化,我认为风险太大。我喜欢被联网的事物的想法。我们可以通过私人网络中的互连来提高生产率,但是我对接触互联网的关键工业设备不满意。
毫无疑问,我们将在未来几年看到这方面的更多进展。我的意思是,互联网安全需要30多年才能到达今天的位置。IIOT安全只需要一些时间来赶上。
最后问题:
“ Vaisala是向安全公司付款来审核ViewLinc的利用,还是为发现的Bugs赏金提供赏金?”
保罗:否。瓦萨拉(Vaisala)没有进行任何安排,以支付我们系统中发现的错误的赏金。是的,我们确实使用外部安全咨询公司对系统进行审核,以帮助我们识别弱点并改善软件。我们最新的安全更新基于我们在安全咨询公司的帮助下发现的四个特定问题。我通常不会将其描述为寻找漏洞利用,但是由于它确实有助于我们改善软件。我想我们雇用他们寻找利用是不正确的。
结论:感谢所有加入我们的直播网络研讨会的人!如果您观看录制的网络研讨会并有任何疑问,请电子邮件保罗或在下面的字段中留下评论。
您可以了解有关特定的更多信息ViewLinc 5.1中的安全更新这里。
添加新评论