工控網(wǎng)首頁(yè)
>

應(yīng)用設(shè)計(jì)

>

黑客也頭痛:七大神器保護(hù)工業(yè)安全

黑客也頭痛:七大神器保護(hù)工業(yè)安全

2016/7/12 9:29:15

  重工業(yè)正逐漸成為網(wǎng)路攻擊的目標(biāo)。金融機(jī)構(gòu)或或許也承受著種種壓力,但無(wú)論是以次數(shù)或類型來(lái)看,工業(yè)網(wǎng)路遭受到更嚴(yán)重的攻擊。目前看來(lái),這些攻擊唯一的目的似乎都在探測(cè)弱點(diǎn),但卻足以危害到整個(gè)工業(yè)網(wǎng)路。為了保護(hù)工業(yè)控制網(wǎng)路免于遭受網(wǎng)路攻擊,美國(guó)國(guó)土安全部(DHS)建議采取七項(xiàng)保護(hù)措施。

  DHS所屬的工業(yè)控制系統(tǒng)緊急應(yīng)變小組(ICS-CERT)在日前發(fā)布了有效防御工業(yè)控制系統(tǒng)的7個(gè)步驟。ICS-CERT首先指出根據(jù)其研究,在2015年至少發(fā)生295起與工業(yè)網(wǎng)路有關(guān)的入侵事件,此外還有更多可能是未發(fā)布或未偵測(cè)到入侵事件。再者,這些事件還有愈演愈烈的趨勢(shì)。

  ICS-CERT強(qiáng)調(diào),簡(jiǎn)單地增強(qiáng)外圍防護(hù)(如防火墻)的網(wǎng)路已經(jīng)不再適用了。

  為了協(xié)助減輕遭受網(wǎng)路攻擊的可能性,ICS-CERT建議必須為工業(yè)網(wǎng)路建置7項(xiàng)重要策略,以提高其防護(hù)能力。該機(jī)構(gòu)宣稱,這7大步驟可讓FY2015年所舉報(bào)的攻擊中,有98%的事件都能幸免。

  七大神器保護(hù)工業(yè)安全,這七大關(guān)鍵策略是:

  1.建置應(yīng)用程式白名單:只允許預(yù)先經(jīng)認(rèn)可的應(yīng)用程式來(lái)執(zhí)行,讓網(wǎng)路能偵測(cè)并防止惡意軟體。SCADA系統(tǒng)、人機(jī)介面(HMI)電腦與資料庫(kù)系統(tǒng)特別適用這一策略。

  2.確保正確配置與管理增補(bǔ)程式:隨著對(duì)手不斷提高其能力,安全的實(shí)際作法也逐漸過(guò)時(shí)。其結(jié)果是,未經(jīng)增補(bǔ)的軟體越來(lái)越容易成為目標(biāo)。關(guān)鍵是必須落實(shí)安全輸入程序以及更新可信任的軟體增補(bǔ)程式。

  3.降低易受攻擊的表面范圍:關(guān)閉未使用的埠以及未用的服務(wù)。只有在絕對(duì)必要時(shí)才允許即時(shí)的外部連接。隔絕你的工業(yè)網(wǎng)路與不受信賴的外部網(wǎng)路。還有一個(gè)有用的技巧是,如果只需要單向通訊(如報(bào)告資料),盡量使用光學(xué)隔離方案(資料二極體),以預(yù)防回程訊號(hào)進(jìn)入。

  4.建立可防御的環(huán)境:正確的架構(gòu)有助于限制從外圍入侵的潛在損害。就像城堡擁有外墻和內(nèi)部防御工事一樣,將網(wǎng)路設(shè)計(jì)成一個(gè)可限制主機(jī)對(duì)主機(jī)通訊的系統(tǒng)集合,可避免因其中一個(gè)系統(tǒng)受損而影響其余系統(tǒng)。

  5.認(rèn)證管理:使用竊取而來(lái)的憑證可能讓攻擊者幾乎無(wú)法被系統(tǒng)偵測(cè)到。因此,透過(guò)雙重因素認(rèn)證、限制使用者權(quán)限的存取、為企業(yè)與控制網(wǎng)路存取提供不同的認(rèn)證,以及各種保護(hù)機(jī)制,都有助于強(qiáng)化認(rèn)證。

  6.安全的遠(yuǎn)端存?。喝绻斜匾褂眠h(yuǎn)端存取,更要采取保護(hù)措施,如使用硬體(而非軟體)資料二極體進(jìn)行唯讀存取、限時(shí)遠(yuǎn)端存取、要求操作員透過(guò)遠(yuǎn)端存取請(qǐng)求進(jìn)行控制,以及避免為供應(yīng)商與員工采用不同存取路徑的“雙重標(biāo)準(zhǔn)”。同時(shí),關(guān)閉任何可疑的存取物件、隱藏的后門等等。特別是防護(hù)數(shù)據(jù)機(jī)基本上并不安全。

  7.監(jiān)測(cè)與因應(yīng)計(jì)劃:網(wǎng)路攻擊正不斷地成熟壯大,所以目前看來(lái)足以因應(yīng)的措施可能成為明日的破綻。持續(xù)地監(jiān)測(cè)網(wǎng)路以避免可能的入侵跡象或其他攻擊,并且預(yù)先擬定偵測(cè)到攻擊時(shí)的因應(yīng)計(jì)劃。迅速采取行動(dòng)可限制受損害的程度,而且也有利于盡快恢復(fù)。

來(lái)源:比特網(wǎng)

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

新大陸自動(dòng)識(shí)別精彩亮相2024華南國(guó)際工業(yè)博覽會(huì)

派拓網(wǎng)絡(luò)被Forrester評(píng)為XDR領(lǐng)域領(lǐng)導(dǎo)者

智能工控,存儲(chǔ)強(qiáng)基 | 海康威視帶來(lái)精彩主題演講

展會(huì)|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會(huì)

中國(guó)聯(lián)通首個(gè)量子通信產(chǎn)品“量子密信”亮相!