七步提高ICS和SCADA安全
網(wǎng)絡(luò)安全在過(guò)去的兩年時(shí)間為工業(yè)自動(dòng)化行業(yè)真正敲響了警鐘。有史以來(lái)工業(yè)自動(dòng)化行業(yè)首次成為Stuxnet,Nignt Dragon和Dugu等復(fù)雜網(wǎng)絡(luò)攻擊的目標(biāo)。
另外,工業(yè)控制產(chǎn)品也出現(xiàn)了前所未有的大規(guī)模的安全漏洞。對(duì)制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的專業(yè)人員來(lái)說(shuō),網(wǎng)絡(luò)安全很快就成為了一個(gè)最嚴(yán)重的棘手問題。
如果你是一名過(guò)程控制工程師,或者公司自動(dòng)化部門的IT專業(yè)人員,或是負(fù)責(zé)安全保障的業(yè)務(wù)經(jīng)理,你可能很想知道你的企業(yè)如何才能實(shí)施更穩(wěn)健的網(wǎng)絡(luò)安全措施。
為了提供一些這方面的指導(dǎo),John和我從多個(gè)工業(yè)標(biāo)準(zhǔn)和最佳措施文檔中收集總結(jié)了一些資料,同時(shí)結(jié)合我們?cè)谠u(píng)估多個(gè)工業(yè)控制系統(tǒng)后得到的經(jīng)驗(yàn),給出了以下7個(gè)易于遵循的步驟。
第一步—評(píng)估現(xiàn)有系統(tǒng)
你需要做的第一步是進(jìn)行風(fēng)險(xiǎn)評(píng)估,量化并評(píng)定對(duì)你的業(yè)務(wù)有威脅的風(fēng)險(xiǎn)等級(jí)。這一點(diǎn)很重要,這樣的話你就能知道如何重點(diǎn)合理地安排你的安全資金和工作方向。我們經(jīng)??吹揭恍┨^(guò)風(fēng)險(xiǎn)評(píng)估這一步的做法,結(jié)果導(dǎo)致公司將錢投入到解決次要風(fēng)險(xiǎn)的方案中,一些更嚴(yán)重的主要風(fēng)險(xiǎn)卻未被解決。
風(fēng)險(xiǎn)評(píng)估似乎是一項(xiàng)令人頭疼的工作,然而如果你采取一個(gè)簡(jiǎn)單的、輕量級(jí)方法,風(fēng)險(xiǎn)評(píng)估其實(shí)是很容易進(jìn)行的。我們的白皮書提供了一個(gè)范例,以及如何進(jìn)行評(píng)估的一些技巧。
第二步—制定政策和規(guī)程
我們強(qiáng)烈建議組織機(jī)構(gòu)制定針對(duì)ICS的文檔,描述和控制系統(tǒng)安全相關(guān)的公司政策,標(biāo)準(zhǔn)和規(guī)程。根據(jù)我們的經(jīng)驗(yàn),分開的ICS安全文檔對(duì)那些負(fù)責(zé)ICS安全的人員很有用,能夠幫助他們清楚的理解他們的期望值和責(zé)任。
同樣,你也應(yīng)該熟悉一些行業(yè)相關(guān)的安全規(guī)程和標(biāo)準(zhǔn)。
第三步—對(duì)員工和承包商進(jìn)行培訓(xùn)
制定策略和規(guī)程后,需要確保員工能熟悉并遵守這些規(guī)程。在高層管理人員的支持下,對(duì)所有合適的員工制定一個(gè)培訓(xùn)計(jì)劃。接下來(lái)就是實(shí)施培訓(xùn)。我們強(qiáng)烈建議對(duì)控制系統(tǒng)安全進(jìn)行基于角色的培訓(xùn),同樣,在白皮書中我們也提供了一個(gè)范例。
第四步—對(duì)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行分區(qū)
網(wǎng)絡(luò)分區(qū)是提高工業(yè)自動(dòng)化系統(tǒng)安全的最重要的具有策略性的一步。在 “No More Flat Networks Please”一文中,我已談?wù)撨^(guò)這點(diǎn)。白皮書結(jié)合一個(gè)高級(jí)的網(wǎng)絡(luò)結(jié)構(gòu)圖,對(duì)“區(qū)域”和“通道”的概念進(jìn)行了解釋。
第五步—控制對(duì)系統(tǒng)的訪問
將系統(tǒng)劃分成不同的安全區(qū)域后,下一步就是要控制對(duì)這些分區(qū)中的設(shè)備的訪問。同時(shí)提供物理上和邏輯上的訪問控制是很重要的。
典型的物理訪問控制包括柵欄、上鎖的門和上鎖的機(jī)柜。這樣做的目的就是限制只有出于工作需要的人才能訪問關(guān)鍵的ICS設(shè)備。
同樣的概念也適用于邏輯訪問控制,包括多級(jí)控制和身份驗(yàn)證的理念。一旦驗(yàn)證通過(guò),就授權(quán)用戶執(zhí)行特定的功能。
第六步—增強(qiáng)組件
增強(qiáng)系統(tǒng)組件的意思包括鎖定系統(tǒng)中各組件的功能,防止未經(jīng)授權(quán)的訪問或更改,移除不必要的功能特性,修補(bǔ)任何已知漏洞。
在廣泛使用現(xiàn)成的商業(yè)化技術(shù)的現(xiàn)代控制系統(tǒng)中,這點(diǎn)尤為重要。在這類系統(tǒng)中,禁用未使用的功能,確保將配置選項(xiàng)設(shè)定為最安全的設(shè)置是很重要的。
第七步—監(jiān)控并維護(hù)系統(tǒng)安全
作為一名工業(yè)控制系統(tǒng)的所有者或操作者,在監(jiān)控并維護(hù)系統(tǒng)整個(gè)生命周期的安全時(shí)必須時(shí)刻保持警惕。不僅需要更新殺毒軟件以及在Windows服務(wù)器上安裝安全補(bǔ)丁,同時(shí)還需要監(jiān)控系統(tǒng)的可疑活動(dòng)。
最后,定期檢測(cè)并評(píng)估系統(tǒng)也很重要。評(píng)估系統(tǒng)包括定期審計(jì)系統(tǒng)配置是否仍然安全,也包括依據(jù)最新的標(biāo)準(zhǔn)和最佳實(shí)踐更新安全措施。
并非一次性工程
現(xiàn)在的問題是有效的ICS和SCADA安全并不是一次性工程,而是一個(gè)持續(xù)的、反復(fù)的過(guò)程。當(dāng)系統(tǒng)、人員、商業(yè)目標(biāo)或系統(tǒng)威脅發(fā)生改變時(shí),你需要重復(fù)這七個(gè)步驟,更新相應(yīng)的材料和措施。
你的努力工作將會(huì)使你的企業(yè)運(yùn)營(yíng)得到最大的保護(hù),從而預(yù)防各種破壞、安全事件和最新網(wǎng)絡(luò)安全威脅給企業(yè)造成損失。
提交
新大陸自動(dòng)識(shí)別精彩亮相2024華南國(guó)際工業(yè)博覽會(huì)
派拓網(wǎng)絡(luò)被Forrester評(píng)為XDR領(lǐng)域領(lǐng)導(dǎo)者
智能工控,存儲(chǔ)強(qiáng)基 | ??低晭?lái)精彩主題演講
展會(huì)|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會(huì)
中國(guó)聯(lián)通首個(gè)量子通信產(chǎn)品“量子密信”亮相!