纵深防御:保护网络系统的最佳实践

联网企业系统正在兴起。随着越来越多的设备通过物联网(IoT)连接，网络安全变得至关重要，因为连接的系统更容易受到恶意软件和攻击。一个错误的配置可以关闭整个系统。

罗克韦尔自动化业务发展主管Amadou Diaw表示，80%的工业网络运营商都面临过大规模的拒绝服务(DDoS)攻击;840万美元是网络停机每天的平均成本;2011年在全球网络安全上花费了6000万美元。Diaw补充说，91%的违规行为在不到一天的时间内完成;62%的人花了几个月到几年的时间才发现;53%的人花了几个月才控制住。

纵深防御

Interstates的制造业IT高级分析师Alan Raveling强调纵深防御对抗系统攻击。纵深防御需要用户重叠不同的安全系统，以防其中一个系统失效。一个例子是与入侵检测系统(IDS)相结合的防火墙。

在建立深度安全网络防御时，Raveling建议采取以下步骤:

1. 识别集成计算机系统(ICS)的漏洞
2. 建立漏洞意识并启动安全编程
3. 设置网络配置并遵循防火墙规则
4. 提供程序和维护政策方面的培训。

纵深防御并不仅仅局限于网络。它还涉及到I/O，应用程序，plc的安全性;plc加密;和用户访问控制通过活动目录。还有一些物理上保护网络的方法，比如禁用网络交换机上的以太网端口，控制对区域的访问，以及制定如何/何时连接到控制网络的策略。

防火墙、NAT和DMZ

拉维林建议使用防火墙和网络地址转换(NAT)，以及非军事区(DMZ)来保护工业网络。防火墙只允许预定义的网络流量通过，同时防止不受信任的流量到达设备。NAT可以作为内部网络之间通信的中介设备，并提供地址转换。DMZ用于在企业网络和制造网络之间创建缓冲区。当不受信任的外部人员请求时，DMZ可以保存数据资源。多个安全网络的使用将I/O网络从控制局域网(LAN)中分离出来，并根据功能对网络流量进行分区。这使得数据对细节更加敏感，增加了系统的复杂性。

Diaw还提供了一些防御集成计算机系统(ICS)的额外技巧:

1.控制网与企业网分离

2.加强与企业网络的连接

• 用强认证保护所有入口点
• 使从内部侦察变得困难
• 避免单点漏洞
• 挫败扩大妥协的机会

3.加强现场站点与合作伙伴的联系，建立“相互untrust”

4.监控周边和内部事件

5.定期扫描安全状态的变化。

- Joy Chang, CFE Media数字项目经理jchang@cfemedia.com

请参阅下面的其他Pack Expo故事。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。