工业资产的网络安全

当涉及到保护工业网络时，企业(it)和制造方面的策略可能不同。合著者分别来自罗克韦尔自动化和思科系统的Gregory Wilcox和Dan Knight给出了关于“计算机加固”和“控制器加固”的具体建议，以便保护整个制造企业。

由制造业务技术人员负责 2009年8月8日

制造和企业网络的融合增加了对制造数据的访问，这使得制造商能够做出更好的业务决策。这种业务敏捷性为采用融合的制造商提供了竞争优势。然而，挑战伴随着这些机遇而来——网络融合使制造资产暴露于传统上在企业中发现的安全威胁之下。

全面的安全

保护制造资产需要一种“纵深防御”的安全方法，以解决内部和外部的安全威胁。这种方法通过应用针对不同类型威胁的策略和程序，在不同的制造级别使用多层防御(物理和电子)。例如，多层网络安全保护网络资产、数据和端点，多层物理安全保护高价值资产。没有一种技术或方法可以完全保护工业控制系统。用于保护制造资产的纵深防御层包括物理、网络和应用程序安全，以及计算机和设备加固。

在实现“纵深防御”方法时，需要一个操作流程来建立和维护安全能力。安全操作过程包括识别优先级、资产、潜在的内部和外部威胁和风险、建立需求、理解所需的功能，以及开发体系结构和策略。

设计和实现全面的制造安全模型应该作为制造过程的自然延伸。用户不应该将安全性作为制造过程的附加组件来实现

制造安全策略

成功的安全策略的关键是了解需要解决的潜在问题，包括保护什么以及如何保护。建立专注于制造需求的安全策略为应用安全技术和最佳实践来保护制造资产提供了路线图，同时避免了不必要的费用和过度的限制性访问。安全服务不应限制或损害生产操作。
正如ISA-99所定义的那样，安全策略“使组织能够遵循一致的程序来维护可接受的安全级别”。安全策略由物理和电子过程组成，这些过程定义和约束制造系统内人员和组件的行为。一个由IT、运营和工程专业人员组成的团队应该一起工作来定义制造安全需求。

安全策略开发从评估潜在风险开始。风险评估过程由内部或外部团队进行，识别潜在漏洞，并通过程序和/或技术确定缓解技术。例如，程序可以限制物理制造系统对授权人员的访问。技术缓解技术可能涉及更改管理软件以授权和验证用户凭据。

开发一个健壮和安全的网络基础设施需要保护控制和信息数据的完整性、可用性和机密性。用户在发展网络时应注意以下事项:
•网络基础设施是否有足够的弹性来提供数据可用性?
•数据的一致性如何?它可靠吗?
•如何使用数据?它是否安全不受操纵?

IT职责包括保护公司资产和知识产权(IP)。IT部门通过实施企业安全策略来保护数据机密性、完整性和可用性(CIA)来实现这一点。尽管在制造安全策略实施方面存在相似之处，但它必须将连续制造操作置于最高优先级。制造安全策略的实施依次保护数据的可用性、完整性和机密性(AIC)。

企业和制造业的安全策略在处理升级的方式上有所不同。对于操作系统、应用软件补丁、防病毒定义更新等企业应用，用户应尽快进行升级。对正在运行的制造服务器应用升级可能会中断操作，导致生产损失。生产安全策略应该将升级定义为生产停机期间的计划活动。

计算机硬

应用于企业计算机的IT最佳实践也应该应用于制造计算机。最佳做法和一般建议包括:
•保持电脑正常运行
•部署并维护杀毒软件，但关闭自动更新和自动扫描功能。
•部署和维护防间谍软件，但禁用自动更新和自动扫描。自动防病毒和反间谍软件扫描导致数据丢失和停机在一些制造设施。
•禁止直接上网。实现非军事区(DMZ)提供了制造区和企业区之间的屏障，但允许用户安全地共享数据和服务。来自DMZ两侧的所有网络流量都在DMZ中终止。企业区和制造区之间的交通并不直接往来。
•为制造区实施单独的Active Directory域/森林。这有助于在与Enterprise Zone的连接中断时确保制造资产的可用性。
•实现以下密码策略设置:

•在客户端和服务器上禁用guest帐户。
•要求建造-
•制定并部署备份和灾难恢复策略和程序。用户应该定期测试备份。
•对网络、控制器和计算机资产(如客户端、服务器和应用程序)实施变更管理系统。
•使用Control+Alt+Delete以及唯一的用户名和密码登录。用户应该需要域凭证才能访问联网的计算机资产，并拥有唯一的非
•保护不必要或不经常使用的USB端口，并行和串行接口，以防止未经授权的硬件添加(调制解调器，打印机，USB设备等)。
•制定并实施企业园区内客人访问政策。
制定并实施合作伙伴进入生产区域的政策。
•卸载生产系统不需要使用的Windows组件、协议和服务。

控制器硬化

用户可以通过物理程序、电子设计、认证和授权软件以及灾难恢复软件的变更管理来保护罗克韦尔自动化Logix可编程自动化控制器(PAC)。最佳做法和一般建议包括:
•物理程序:这限制了只有授权人员才能访问控制面板。用户可以通过实现访问过程或锁定面板来实现这一点。将PAC密钥切换为“RUN”可以防止远程编程，包括可能损坏PAC的远程固件闪存。为了允许程序配置更改，这需要在PAC上更改物理密钥。未经授权的访问(有意或无意)不能更改PAC，直到密钥开关从“RUN”更改。
•电子设计:实现PAC CPU锁定功能，拒绝对PAC的前端口访问，从而防止配置更改。
•通过实现FactoryTalk进行身份验证、授权和审计
•灾难恢复的变更管理:FactoryTalk

关于作者:
罗克韦尔自动化业务发展经理Gregory Wilcox和行业解决方案经理Dan Knight，思科系统公司，共同帮助制造商实现制造与it的融合。罗克韦尔自动化和思科共同发布参考体系结构并开展了一系列市场教育活动，迄今已触及四大洲8000多名利益相关者。此外，罗克韦尔自动化公司和思科公司还共同开发了基础设施产品，直接解决了制造业和IT组织中广泛的网络融合活动。