网络安全:工业工程师的安全常识

不存在完全安全的控制系统。即使是市场上最好的工业产品也无法阻止所有不必要的流量和恶意攻击。但是，通过将时间和精力投入到持续的安全措施中，控制工程师可以显著降低网络事件的威胁。背景和实用的建议如下。

工业通信对以太网、无线和TCP/IP的接受使得使用不同供应商的产品设计网络变得更加容易。然而，这些技术所提供的一些优势——它们广为人知，使您的工厂车间与办公室网络连接成为可能——也带走了自动化专业人员几十年来所依赖的固有安全。

随着网络变得更加开放和互联，工厂遭受网络攻击的风险比以往任何时候都要高。意外事件，如故障办公设备发出的广播风暴，也可能构成威胁。

2010年7月，Stuxnet病毒的发现给控制工程师敲响了第一个重要的警钟。关于震网病毒及其对伊朗核计划影响的文章已经有成千上万篇了。Stuxnet是第一个以工业部门为目标的主要病毒，但最近的发现包括Nitro和Nightdragon，旨在窃取化学和能源行业的敏感数据，以及Duqu(又名“Stuxnet之子”)，它仍然是一个谜。不幸的是，我们听到一个更新更大的威胁可能只是时间问题。

今天，自动化专业人员意识到他们不能再忽视网络安全了。但与此同时，决定从哪里开始可能会感觉是一项艰巨的任务。虽然没有办法完全确保您的控制系统的安全性，但有一些简单而经济的步骤，您几乎可以立即采取。

小心选择和使用密码

密码保护你的数据、设备和程序。如果不使用好的密码，您的网络基础设施将非常脆弱。

密码应该是:

私密:不要在公共场所张贴你的密码。

•仅限员工使用:有时，多个员工需要共享一个设备密码。如果其中一个员工离开了公司，立即更改密码，即使这个人离开得很好。

你的密码不应该很容易被猜到。不要选择常见的单词，比如“password”、“123456”、“qwerty”或“abc123”。孩子的名字或其他个人信息也是一个糟糕的选择。相反，想出一个你能记住的句子，并使用缩写来创建一个记忆工具。例如，“我想保护我的控制系统”可以变成“I12sMcS”。不同的数字，符号，大小写字母之间的变化，最安全。事实上，一个由大写字母和小写字母和数字组成的8个字符的密码有超过200万亿种可能的组合。加上标点符号，这种可能性就超过500万亿。

虽然有些人建议经常修改密码，但这会增加你忘记密码或在创建新密码时打字错误的几率。如果你经常更改密码，你更倾向于把它写下来——这就回到了保护密码隐私的重要性。

限制上网

您的员工可以从工业PC或HMI上上网吗?当他们访问Facebook、查看电子邮件或以其他方式访问互联网时，他们就为病毒和其他恶意软件打开了大门。

拥有面向公众地址的控制设备是更大的威胁。当你享受在路上查看HMI的便利时，黑客可能会享受在关键时刻关闭你的机器的便利。如果您的系统有一个任何人都可以访问的公共IP地址，那么您的系统就很容易被找到，因此通常也很容易被黑客攻击。要想知道有多简单，请访问shodanhq.com——一个让黑客很容易搜索和发现公开面对互联网的plc、hmi等的网站。

虚拟专用网络(VPN)是更安全的选择。当敏感数据在互联网上传输时，vpn会对其进行加密。它们已经在办公环境中普遍使用多年，但工业网络有特殊的要求。工业VPN将具有工厂车间所需的坚固外壳，并能够在更宽的温度范围内运行。针对工程师编程而不是IT“命令行”编程进行优化的VPN也将更容易使用。

u盘:如果必须使用，请做好预防措施

u盘传输文件的便利性使其非常受欢迎。但是，正如Stuxnet所证明的那样，它们也是传播恶意软件的最佳途径之一。

完全防止病毒通过u盘传播的唯一方法是禁止在控制系统上使用u盘。然而，即使你制定了这样的规则，也不能保证你的员工会遵守这个规则。你可以采取一些预防措施。

首先是实施一项政策，即用户在控制系统设备上使用u盘之前，必须先通过IT部门检查。IT部门可以通过一系列测试来运行USB，以确保它没有病毒。这需要花费每个人的时间，包括用户和IT部门，而且这不是万无一失的。在控制pc的BIOS中禁用USB也是明智的。

另外一个措施是使用通用互联网文件系统(CIFS)完整性监控。这是某些防火墙软件程序上的一个选项，一旦在被监控的设备上添加或更改文件，就会向系统所有者发出警报。系统管理器对CIFS防火墙进行编程，以确定要监视哪些目录和/或文件类型(例如，.exe和.sys)。这将作为CIFS协议监控的基线。

CIFS下次执行扫描时，它将注意到是否有任何文件被删除、添加或以其他方式更改。这并不能防止感染的发生，但通过更快的通知，你可以减轻任何损害。

正在进行的安全

上面列出的步骤只是开始该过程的几个基本建议，但是您可以采取其他步骤来为安全性添加层。工业级防火墙可以过滤不需要的流量，并且不会忽略潜在的不安全无线连接。高级安全选项包括IPS/IDS、补丁管理、日志和审计系统、人员深度培训等。

- Dan Schaffer是美国Phoenix Contact公司负责网络和安全的业务和发展经理，Dan Fenton是产品营销专家，负责控制和软件;由CFE Media内容经理马克·t·霍斯克编辑，控制工程，设备工程,Consulting-Specifying工程师，网址是mhoske@cfemedia.com。

工厂安全保障渠道://www.globalelove.com/safety

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。