工业控制系统安全指南

虽然计算机安全领域及其与ICS安全的关系是广泛和高度技术性的,但这些建议可以帮助减轻许多最常见和最容易利用的安全漏洞。

通过Andrew Riedel, Cross公司 2015年7月20日

工业控制系统(ICS)存在的大部分时间都与外部访问隔离。但随着计算机和互联网在现代社会的日益普及,这些曾经孤立的系统正暴露在世界面前。

这种暴露产生了无数新的安全问题,这些问题在这些系统首次安装时是不可能预测到的,而且由于互联网和现代技术的可变性,许多这些系统对于未经授权的访问不再安全。

关于安全性需要记住的一个重要概念是,给定无限的资源和时间,攻击者总是能够访问受保护的系统。因此,安全系统的主要目标不是防止未经授权的访问,而是在不妨碍正常使用的情况下,尽可能地使攻击者难以获得访问。

前门上的锁就是一个很好的例子。一把锁可以阻止某人直接打开门走进去,但它不能阻止某人破门而入或找到另一种方式。解决这个缺点的一个选择是用水泥把房子包围起来,并在周围布置武装警卫,但这可能会干扰你的日常活动,而且成本高昂。更合理的解决方案是接受家里安全措施的局限性,并通过锁门、离开时不做广告等方式充分利用它。

然而,与你的房子相比,工业设施可能从未经授权的访问中获得更多的价值,因此有更多的预算和安全需求。合理的选择通常是围栏、大门、摄像头和访问控制系统。这些系统不能阻止一个坚定的入侵者,但它们通常提供了足够的威慑来防止未经授权的访问。

就像你的房子和工业设施一样,计算机系统只能在合理的程度上得到保护,这通常取决于预算和系统的正常运行。就像住宅和工业场所一样,计算机系统的安全性最容易通过利用人为错误来绕过。

常见的例子是社会工程,或操纵某人泄露受保护的信息,但其他的例子是由用户意外引入的计算机病毒或恶意软件。不幸的是,这也是最难最小化的安全威胁之一,因为它需要改变人类的行为。通常,更好的解决方案是让用户更难遵循不安全的做法。以下是一些简单的解决方案:

  • 要求每个用户都有个人帐户和强密码。
  • 要求定期修改密码。
  • 如果可行,请确保用户帐户在不活动时自动注销。
  • 除了用户名和密码外,还应使用智能卡读卡器。
  • 移除CD或软盘驱动器,并在需要时使用外部USB版本。
  • 在所有USB端口上放置物理端口屏蔽器,并通过PS2端口连接键盘和鼠标。
  • 如果支持的话,使用病毒扫描程序,并尽可能使系统的所有部分保持最新。
  • 定期提醒用户不要共享密码,并采取其他良好的安全措施。

上述大多数做法都相对便宜,不会干扰正常操作,但将有助于缓解许多常见的安全弱点。

一个特别值得注意的主题是强密码的概念。密码最常见的问题之一是创建一个强大但容易记住的密码。密码的强度主要与它的长度有关,在许多情况下,较长的密码更难记住。要解决这个问题,请尝试使用一个句子作为密码。与一般的8个字符的密码相比,这样的密码更容易记忆,也更难被电脑猜中。

第二个最常见的未经授权访问方法是安全性方面的糟糕设计。计算机和网络安全是一个庞大而复杂的领域,但基础知识简单易行,也是最重要的。由于工业控制系统本质上是不安全的,最好的做法是使它们与任何网络访问完全隔离。不幸的是,这并不总是可行的,所以下一个最佳选择是删除任何不必要的网络访问。

这可以通过正确配置的防火墙来完成。在这种情况下,正确配置意味着对所有入站和出站流量使用白名单。这是需要有知识的管理员设置的,并且通常是特定于某个站点的。重要的是要记住,防火墙应该放置在ICS的接入点,如下所示。

还可以安装和配置一个称为入侵检测系统(IDS)的附加系统。IDS的目的是提醒管理员注意网络或系统上的异常流量或活动。这些系统通常用于企业网络,通过适当的配置可以为ICS增加额外的安全性。如果网络访问只是偶尔需要,例如允许集成商远程工作(阅读:向DCS系统添加远程访问的好处),那么最好的办法就是在不需要时拔掉网线。

如果需要无线访问,或者系统需要通过internet进行通信,则需要应用额外的安全措施。对于无线网络,最好的选择是使用WPA2-PSK安全性和强密码。internet上的连接应该通过VPN进行,并且应该注意确保任何远程连接都是在一个安全的网络上。在设置VPN时,最好的选择是使用证书而不是密码,因为它通常更难破解。对于知识丰富的管理员来说,在大多数场景中设置VPN以使用证书是非常简单的。

虽然计算机安全领域及其与ICS安全的关系是广泛和高度技术性的,但上述建议可以帮助缓解许多最常见和最容易利用的安全漏洞。最后,安全的责任在系统的所有者,所以如果安全是您业务的主要问题,那么确保没有弱点的最佳方法是咨询ICS安全专业人员。关于ICS安全的更多信息,以及关于系统漏洞的最新信息,可以在ICS -cert.us-cert.gov上找到。

Andrew Riedel毕业于田纳西大学电气工程专业,具有工业控制系统、嵌入式电子和软件/固件开发方面的经验。在业余时间,安德鲁喜欢攀岩、音乐和摄影。本文最初发表于Cross Company集成系统集团博客。交叉公司集成系统集团是CFE媒体的内容合作伙伴。

Cross Company于2015年7月6日成为CSIA会员

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

相关文章
工程师新产品
搜索系统集成商和发现新的创新在您的行业
Avanceon

Exton,美国
太平洋蓝色工程

美国长滩
奥尼克斯工程有限公司

温莎,
ENTRUST解决方案集团(前身为EN Engineering)

美国总部
Hallam-ICS

曼斯菲尔德美国