在关键基础设施环境中管理可移动媒体使用的八个步骤

使用可移动介质可能是一个主要的风险，涉及关键和危险环境的公司需要采取严格的措施，以确保工业控制系统(ics)和其他关键组件不会受到损害。

通过史蒂文·保罗·罗梅罗 2016年7月3日

在德国核电站恶意软件感染的新闻发布后(Gallagher, 2016)，我们应该停下来考虑在工业控制系统(ICS)环境中使用可移动媒体所带来的风险。这一事件和其他类似事件应该作为一个理由，概述一个实用的、高水平的方法，用于在包含工业控制系统的关键基础设施环境中管理可移动媒体风险。关于在某些行业内禁止或严格限制可移动媒体使用的合规监管的假设或考虑将不会做出。

现实情况是，遵从性工作描绘了一个及时的快照，并且规则经常被破坏。公司和用户需要在方法上更加严格，因为潜在的损害可能是灾难性的。遵循这八个步骤可以帮助防止可怕的场景发生。

1)使用可移动媒体就像玩火。如果企业可以完全避免使用它们，那么它们应该这样做。这可能不是一种适用于所有情况的实用方法，在所谓的“气隙”环境中，或通过其他方式传输文件和数据的支持基础设施有限的环境中，情况往往如此。然而，应该把它作为一个目标来追求。至少，可移动媒体的使用应该受到控制，限制，并适合于目的。使用政策沟通有关可移动媒体使用的要求，并通过行政和技术控制来执行这一立场。

2)评估环境中可移动媒体的使用情况，以确定组织对可移动媒体使用的接受程度和成熟度。有很多方法可以做到这一点，但有效的机制是调查，然后验证回应。技术审计将提供一些关于过去和当前在目标系统上插入独特可移动媒体的披露性数据。使用正确的工具可以通过网络自动检索这些信息。将系统安装在可移动介质插入时发出警报，并启用对这些事件的集中记录，将允许对环境进行更可靠的持续监测。

3)维护一个经批准的可移动媒体池，并实施一个专用的sheep-dip系统，可用于在控制系统环境中使用之前扫描可移动媒体的恶意软件。反病毒(AV)扫描仪被证明不是100%有效，但即使40%到50%有效也比完全没有保护要好(Goodin, 2014)。将sheep-dip系统的功能限制为仅扫描可移动媒体中的恶意软件，并考虑使用高级威胁防护工具来触发您想在控制系统环境中使用的可移动媒体上的每个可执行文件，以进一步增加检测恶意软件的机会。可移动媒体也应该进行外扫描，这意味着当用户使用完设备后，应该再次扫描，以确保在“安全”区域内没有拾取任何东西。虽然听起来很耗时，但从事故中恢复过来也是如此(更不用说昂贵了)。

4)实施或将授权的可移动媒体使用整合到工作许可系统中，并利用伴随的工作安全和危害分析来识别危害和潜在结果，最终明确风险，并为您的工作制定最大限度地减少可移动媒体使用的计划。在开始工作之前立即执行最后一分钟的风险评估，以确保整个过程都经过了仔细考虑，并且计划中没有空白。

5)在可能限制使用的情况下，提供可移动媒体的替代品。一些选项可能包括使用Internet内容适应协议(ICAP)管理的文件传输解决方案或能够检测数据流中的恶意程序的应用层防火墙，以便在传输过程中扫描跨安全区域传输的所有文件和数据。选择这种替代方案还将迫使公司考虑加密流量，并在数据和文件入站和出站传输期间代理加密会话，或者完全禁止跨安全区域传输加密数据。

6)实施补偿控制。每个能够支持反病毒扫描器的系统都应该安装它们，即使它们的效果是有限的。同时强烈考虑应用白名单的使用。在所有节点上物理阻止或逻辑禁用USB海量存储设备，以防止未经授权或随意使用可移动媒体。对于不能支持更新的AV引擎或补丁的遗留系统(例如Microsoft Windows XP)， a)禁用AutoRun/AutoPlay和b)实现应用程序白名单，这已被证明是非常有效的(尽管很难实现)。

7)有效管理组织的第三方业务，使该领域的绩效期望与直接员工的期望相一致。通过合同强制执行，合同规定了明确的要求和责任。美国能源部维护了一些关于网络安全采购的非常有资源的文件，可以帮助公司在这些水域中航行(美国能源部，2014)。

8)建立一种意识到使用可移动媒体的风险的文化，以改变行为为目标(Lally, van Jaarsveld, Potts & Wardle, 2010)。为此，可以围绕可移动媒体的可接受使用制定书面政策、流程和程序。此外，实施有针对性的意识培训计划，教育工人不遵守适当程序的风险。组织的安全文化应作为加速行为改变和管理环境风险的跳板，就像任何其他过程安全或健康环境安全(HES)风险一样。

史蒂文·保罗·罗梅罗是雪佛龙的能源专家。由制作编辑克里斯·瓦夫拉编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

在线额外