为超连接世界提供的8个ICS网络安全提示

工业控制系统(ICS)可以通过建立纵深防御网络安全计划并遵循以下八个提示来降低网络安全风险。十年前，许多ICS通过气隙保护免受互联网威胁，以确保ICS网络在物理上是隔离的，以防止恶意的未经授权的远程访问通过互联网。在当今这个高度互联的世界里，仅靠空气隔离并不是一个现实的选择，而且它从一开始就没有提供足够的安全性。

在智能制造的现代时代，物联网(IoT)和工业4.0带来了重要的竞争优势-连接是未来的方式。一些公司在拥抱网络安全方面处于领先地位，但其他公司在遇到威胁或漏洞之前并不认真对待。建立一个强大的网络安全战略来帮助防止网络攻击需要一个整体和分层的方法。遵循以下关键提示是制定稳健的ICS网络安全计划的关键。

“要有一个计划，”霍夫曼工程公司的电气工程师肖恩·克里格说。“做一点研究，采取一些小步骤，它们真的会有帮助。这些步骤可以是不昂贵的，比如教育员工。有一个合适的计划是无价的。记住，这是一段旅程，而不是目的地，所以你需要不断思考和更新你的计划，并随着技术的发展监控情况。”

纵深防御网络安全计划

“纵深防御”是用来描述保护ICS的规划策略的术语;它指的是拥有多层安全系统和访问控制的理想状态。首先确定控制系统面临的内部、外部、物理和虚拟威胁。评估每个威胁构成的风险有多大，这应该是如何为成功的网络安全计划最佳分配预算的指南。

制定一个全面的计划，将这些风险降低到一个“可接受”的水平(这对每个实体来说是不同的)。如果威胁或破坏确实发生了，跟进如何处理的过程。计划系统监控和警报，以通知用户违规正在进行或已经发生。

1.分割

分段是一种纵深防御策略，使用划分网络的原则来限制可能造成的破坏数量。分段在较大的网络中创建孤立的、自包含的网络(段)，以防止不必要的访问并限制整个系统的脆弱性。可以通过使用额外的硬件(如电缆和交换机)物理地创建分段，但这比虚拟地创建分段更耗时，成本更高。

隔离网络通常通过使用虚拟局域网(VLAN)在较大的系统中创建。分段可以是非常基本的，例如将制造网络从业务网络中分离出来，或者通过为每个制造单元创建不同的分段来更加复杂。例如，在制药工业中，每个生产单元或包装线可以彼此单独分割。如果网段需要通信，防火墙可以提供额外的保护。防火墙是一个独立的设备，它决定网络流量是被允许通过还是被阻止。

电力、天然气、水和废水等公用事业行业是国家或非国家行为体的潜在目标，因为它们是国家基础设施的一部分。所有这些实体都需要查看安全策略并计划纵深防御策略。公用事业工厂通常被划分为一个制造单元。当工厂是区域性的，每个作为一个部分保护整个系统免受潜在的灾难性故障。如果需要进一步分离，可以在每个工厂中为仪表、控制和可视化网络等系统创建段。

2.非军事区

分割的一个特殊情况是公司的工业和制造系统、其业务和IT网络或internet之间的非军事区(DMZ)。尽管在ics中没有普遍实现，但DMZ对于某些情况很重要。正确设计的DMZ不允许流量从业务网络或internet直接穿越DMZ到ICS网络。在DMZ内，服务器或设备充当跨DMZ通信的中介。例如，可以设置DMZ中的远程访问管理设备，以便来自业务网络或internet的用户可以连接到控制系统网络。

3.定期备份和更新

确保系统定期备份。为所有硬盘创建镜像，备份虚拟机，并在存储设备(如NAS设备)上存储配置和程序。备份应复制到另一个非现场设备，以提供额外的保护。无论多么安全的防御，都不可能是百分之百的。备份是快速无痛恢复的关键。

使用最新的补丁更新系统，并升级任何运行不受支持的操作系统(如Microsoft Windows XP或Windows 2000)的计算机。在这些过时的平台上，即使制造商不再提供补丁，漏洞也经常被公开。

加入自动化设备制造商的电子邮件分发列表，接收相关的安全公告。另外，报名参加通过国土安全部(DHS)发送ICS-CERT通知。

4.专用安全设备

一些制造商专门为ics生产网络安全产品。防火墙安全工具包括针对ics定制的硬件和软件。这些工具允许定义规则，控制允许哪些设备与系统通信，以及它们可以使用哪些端口和协议。防火墙可以锁定与现有设备的通信，以保证正常的流量。如果通信看起来不像它应该的那样，防火墙会识别，并且流量被阻塞。除了交通阻塞之外，还可以设置通知或警报。

另一个例子是安全的远程访问设备，如虚拟专用网(VPN)路由器。这些设备允许通过加密的VPN隧道连接在互联网上对ICS进行安全远程访问。

5.建立强大的安全文化

网络安全结合了常识和教育。许多威胁和攻击来自内部和意外，这强调了让人员参与到过程中并保持警惕的必要性。制定继续教育计划，并为未来员工制定培训流程。培训员工常用的社会工程策略。社会工程是一门操纵人们，让他们放弃机密信息的艺术——看起来来自合法来源的网络钓鱼邮件，或者欺骗人们泄露信息的电话。教他们注意什么，不要点击什么，以及如何避免其他常见的陷阱。

6.使用有限的访问权限和唯一密码

使用“最少特权”策略，只允许员工访问他们工作所需的内容，而不是其他内容。强制用户使用唯一的密码，并且永远不要将系统设置为默认密码。此外，用户不应在公共场所、设备附近或其他地方书写密码。尽可能通过使用滚动代码、生物识别等技术添加双因素身份验证。对于所有提供远程访问内部系统的设备，双因素认证应该是强制性的。

7.物理接入防御

适当的人身安全措施往往被忽视。对于物理访问防御，从确保设施的入口开始。考虑在关键基础设施系统(如服务器和监控和数据采集(SCADA)控制室)上使用保安、访问控制系统、围栏和上锁的门。移除可编程逻辑控制器(plc)上允许更改程序的钥匙，如果可用，并锁定控制柜，以防止未经授权的人访问它们。同时禁用或锁定控制系统的USB端口。通过这些USB接口可以传播病毒或窃取数据，员工也可以通过它们给手机充电，从而在无意中危及安全。

8.与系统集成商保持良好的关系

拥有另一组了解公司内部和外部自动化系统的人是一笔无价的资产。例如，去年，全球范围内的公司遭受了一系列勒索软件攻击。如果一个值得信赖的系统集成商对客户的ICS应用程序、流程和完整的软件程序文档(包括最近的备份)有深入的了解，那么该集成商可以在网络攻击中或攻击后提供帮助，并帮助提供快速恢复。

实施纵深防御的网络安全战略并不一定是一项昂贵和耗时的工作。实施一些防御措施将大大提高ICS的安全级别。控制系统集成商直接与客户的IT部门合作，设计和安装所需类型的制造网络安全技术，并提供培训。集成商与客户携手合作，如果需要，也可以充当顾问。

基斯Mandachit是工程经理，肖恩Creager是高级电气工程师吗杰伊•斯坦曼他是机械工程师，霍夫曼工程公司。编辑:Emily Guenther，副内容经理，控制工程， CFE传媒，eguenther@cfemedia.com。

更多的答案

关键字:网络安全

实现纵深防御的网络安全战略

如何确保帮助保护工业控制系统(ICS)。

在线

更多信息可以在美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)的网站上找到。

也可以链接到更多关于全球系统集成商数据库中的霍夫曼工程。

考虑一下这个

什么步骤可以添加到您的设施，以帮助保护您的ICS?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。