工业网络安全最佳实践建议

对于那些部署工业物联网(IIoT)或工业4.0系统的人来说，网络安全是一个主要问题。通常，当操作技术(OT)系统连接到互联网或连接到其他信息技术(IT)系统时，它们会成为恶意攻击或意外数据丢失的弱点。那么，为什么网络安全经常被OT工程师忽视呢?

答案可以追溯到四个常见的神话，这些神话在当今高度互联的世界中已不再正确。

误解1:我的工业网络是物理隔离的，没有连接到互联网，所以我的网络是安全的。

这可能是十年前的情况，但今天许多工业物联网设备已经直接连接到互联网，绕过传统的IT安全层。一个经常被问到的问题是:为什么这么多工业物联网设备需要连接到互联网?主要原因是因为工业物联网系统需要收集大量数据以进行进一步分析。由于数据源可能不在相同的位置，因此有必要通过将系统连接到internet将数据发送到远程服务器。

即使你工业控制系统(ICS)或工业网络没有连接到互联网，他们可能仍然容易受到未经授权的连接。例如，第三方供应商或自动化工程师可能会通过连接未经授权的笔记本电脑或USB驱动器来更新系统，以进行定期维护或故障排除，这将使ICS面临不安全的访问，最终使ICS设备更容易受到攻击。

误解2:黑客不了解ICS、plc和SCADA系统，所以我的网络是安全的。

自2010年以来，已经发生了几起针对ICS网络的复杂网络攻击，也有针对工业控制设备的恶意软件。这一趋势表明，黑客正在将目标转向工业领域，如石油和天然气、能源和制造业，这表明未来对工业领域的攻击可能会增加。

误解3:我的网络太小，无法被攻击，所以我的网络是安全的。

内部入侵通常来自受信任的用户、员工和外部承包商，他们有权访问网络。通常情况下，无意的数据泄露是由于人为错误或设备故障造成的，这与公司的规模无关。尽管这些攻击是无意的，但它们仍然会对您的业务造成重大损害和经济损失。

误解4:我已经有防火墙来保护我的工业网络，所以我的网络是安全的。

防火墙可以提供第一级保护，但它们不是100%有效。此外，大多数防火墙不是为工业协议(例如Modbus、TCP、以太网/ IP因此，如果没有适当的配置，防火墙可能会阻止必要的工业协议并关闭工业控制系统。简单地说，实现防火墙不能保证对ICS网络的完全保护。相反，工业防火墙应该与分层防御(纵深防御方法)一起使用，以保护关键的控制设备、生产线和整个工厂。此外，工业设备应经常更新安全补丁，以防止网络攻击。

网络安全最佳实践

尽管保护工业控制系统与企业IT系统的优先级和技术存在差异，但一些行业协会已经制定了将ICS与IT系统连接或融合的标准和安全指南。特别是，工业互联网联盟(IIC)、国家标准与技术研究院(NIST)和国际电工委员会(IEC)专注于改善ICS网络安全的三个主要领域。

确保工业网络安全的三大支柱包括:

• 部署工业网络纵深防御。
• 在工业网络上启用安全设置。
• 通过教育、策略和监控来管理安全性。

基于这三个支柱，推荐以下最佳实践作为支持ICS网络安全的第一步。

支柱1:安全的网络基础设施

安全的网络是设计出来的。不幸的是，大多数自动化网络在几年甚至几十年的时间里都在缓慢地部署、添加和修改。许多PLC网络和设备并不是为了连接到工厂网络或互联网而设计的，而且往往缺乏强大的安全功能。由于首要任务是保持工厂的运行，因此网络的设计更多地考虑了简单性而不是安全性。

为了部署安全的工业网络，您需要考虑的第一件事是“纵深防御”网络设计。这将从将网络划分为逻辑区域开始，每个逻辑区域都由工业防火墙隔离和保护。在每个区域之间，设置导管，这是过滤或管理网络中区域间数据通信的防火墙规则。简而言之，纵深防御设计旨在从内到外保护网络。

以智能工厂为例。尽管在it网络和OT网络之间部署防火墙很重要，但这还不够。在OT网络中，还应该为关键资产(如分布式控制系统(DCS)的控制器)安装额外的防火墙。通过限制对单个区域的访问，而不是授予对整个网络的完全访问，使未经授权的人员难以访问关键系统，从而最大限度地减少了安全漏洞的潜在影响。

一个入侵防御系统入侵检测系统(IPS, intrusion detection system, IDS)是一种先进的工业网络系统。IPS/IDS将监视网络数据的恶意活动。它通常用于It /办公网络，但也可以用于ICS网络，因为有许多应用程序在基于windows的工业计算机上运行。

安全网络设计的另一个重要因素是安全远程访问。类似于在笔记本电脑上使用VPN软件从家中访问公司网络，也可以部署加密的VPN连接进行远程监控或远程维护。

支柱二:加强设备安全性

加强工业网络安全的另一个最佳实践是设备安全——通常称为设备加固。这是指保护网络交换机，路由器和其他设备连接到您的工业控制系统。其中一些方法包括用户身份验证，维护数据的完整性和机密性，以及使用身份验证来控制网络访问。

虽然这些概念很熟悉，但在部署的关键系统中很少甚至没有安全配置的工业设备是很常见的。

除了前面提到的安全设置外，还要考虑漏洞管理。由于漏洞可能影响几乎所有软件和设备制造商的组件，因此与具有明确定义的漏洞修补响应计划的供应商合作比以往任何时候都更加重要。

支柱3:安全管理和教育

第三个最佳实践是安全管理或监控网络安全的概念，其中包括教育/培训工程师使用ICS遵守新的安全策略。确保网络安全政策和实践得到贯彻的教育可能是最重要的最佳实践，也是最难成功实施的。为了促进遵从性，您可能还需要考虑投资专门的软件工具来更有效地管理ICS安全策略。

特别是，工业网络管理软件可以帮助扫描网络设备，给出库存清单，以便轻松识别不应该在那里的东西，并将其删除。有些工具甚至可以帮助一致地配置新设备以符合所选的安全设置，直观地验证设备是否已正确配置，甚至可以备份配置文件，以便在发生事件时帮助进行网络恢复。

另一个重要特性是实时事件通知和日志记录。日志记录可以帮助查明漏洞，并在造成损害之前修复它们。安全信息和事件管理(SIEM)系统是IT网络管理的重要组成部分。因此，一些工业网络管理系统还提供api(例如RESTful api)或对公共网络协议(例如SNMP)的支持，以便ICS与现有SIEM系统集成。

本文原载于欧洲控制工程的网站。由Keagan Gay编辑，数字媒体和生产协调员，CFE媒体，kgay@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。