工业资产的基本安全特征和风险分析

工业控制系统(ics)广泛应用于工业领域，从制造和制造，发电和传输，到炼油和水处理。最近，许多这些传统的专有控制系统-分布式控制系统，可编程逻辑控制器(plc)，监控和数据采集(SCADA)应用程序-正在添加新的和更开放的技术，如以太网和传输控制协议/Internet协议(TCP/IP)。随着人们对工业物联网(IIoT)的兴趣日益浓厚，以及获取系统数据的商业优势，工业控制系统越来越多地连接到信息技术(IT)网络。

为了实现工业物联网的潜力，组织内的IT和工业控制(也称为操作技术(OT))小组正在朝着一套通用的通信语言、协议和编程标准迈进。这些标准基于互联网的开放架构。

然而，在大多数工业控制工程师的脑海中，一个巨大的问题是开放架构的安全危险。随着现有和未来的OT资产连接到工业物联网，在将工业资产连接到互联网时，必须考虑安全威胁。

工业资产风险分析

确定风险的基本公式是:

威胁是任何可能导致组织或工业资产不受欢迎或不想要的结果(例如破坏、损坏或损失)的潜在事件。威胁可能来自人、其他组织、硬件、网络甚至自然。

漏洞是资产中的弱点或缺乏防止企图利用数据的对策。漏洞可能包括软件或固件代码中的错误、程序中的漏洞、人为监督的失败或硬件设计缺陷。当漏洞被威胁源利用时，就会发生威胁事件。

为了分析工业资产被开发的风险，了解工业资产的估值是非常重要的。工业资产的价值是其货币和非货币成本，包括公众信心和知识权益(资产所含知识的价值)。最重要的是，如果工业资产被开发，可能造成的损害程度。

大多数工业系统都是为最小化人机交互而设计的。理论上，现代工业设备的静态设计意味着这些系统对威胁事件具有相当的抵抗力。

但是，如果对工业资产进行包括威胁级别和资产估值在内的基本风险评估，如果安全受到损害，任何漏洞都会大大增加风险。例如，黑客可能几乎不可能入侵核电站(低威胁)，但核电站被黑客入侵的后果(资产估值)可能在多个层面(高风险)是灾难性的。

降低工业资产风险

工业资产的风险可以通过保障措施或对策来减轻。例如，一个简单的物理保护措施或对策是在只有经过身份验证、已验证和可审计的操作员才能访问的锁起的门后保护工业资产。

工业资产保护和对策有多种形式，包括更新控制器固件、修复软件错误、更改系统配置以及修改网络基础设施设计和布局——例如，分段、防火墙、实现虚拟局域网(vlan)等等。

大多数现有的工业资产并没有被设计成与互联网相连。然而，随着它们连接到IT网络以构建工业物联网，这些资产越来越容易受到IT部门几十年来一直在应对的相同威胁和利用。不幸的是，今天大多数工业资产在设计时都没有考虑到网络安全。

网络安全方面的考虑

由于IT部门长期以来一直在处理网络安全问题，因此制造商必须从中学习，并将信息安全技术和方法应用于工业资产，作为其开发周期的一部分。考虑到工业资产的预期生命周期很长(某些情况下为20或30年)，从一开始就将网络安全设计到工业资产中，以保护其免受当前和未来的任何威胁，这一点至关重要。

当获得新的自动化和过程控制技术时，无论是硬件还是软件，通过将风险评估和网络安全作为高度优先事项来降低风险至关重要。如果在供应商评估和鉴定期间没有评估工业资产的保障措施和对策，则将在资产的整个生命周期内以解决潜在威胁和利用的形式产生后果。

确保工业资产数据安全

在互联网的早期，通过Web发送的通信通常以人类可读的纯文本传输。这使得恶意黑客很容易拦截网络流量并提取敏感信息，如银行账号、密码等。最终，IT部门的系统开发人员和运营商过渡到使用密码学进行数据传输。

术语“密码学”和“加密”经常互换使用，但它们是不同的。密码学是秘密通信或数据传输的科学。加密是这门科学的一个组成部分。为了在工业资产之间安全地传输数据，必须使用难以破解的密码进行加密传输。

加密使用一种过程或算法(密码)使信息隐藏或保密。为了使这一过程有用，需要一个代码或密钥来解密信息并使其易于访问。从本质上讲，加密密码将人类可读的数据转换为只能使用正确的密钥或代码才能转换回来的错误数据。

当今信息技术领域最流行的加密形式是安全套接字层(SSL)和传输层安全(TLS)。TLS本质上是SSL的新版本。TLS用于对HTTP (hypertext transfer protocol)和SMTP (simple mail transfer protocol)的流量进行封装，这两种协议分别用于Web浏览和发送电子邮件。

当您考虑收购工业资产时，请确保已考虑到数据安全性，并且资产支持最新形式的SSL或TLS加密用于数据传输和通信。

用于工业资产的端口和服务配置功能

随着Internet通信功能被添加到工业资产中，将Internet通信服务限制为应用程序所需的服务非常重要。例如，如果工业资产启用了简单网络管理协议(SNMP)，但操作员不需要该协议，则禁用它并关闭协议使用的TCP或用户数据报协议(UDP)端口。

您可以通过禁用Internet控制消息协议(ICMP)等协议来进一步提高安全性，ICMP是用于ping或识别网络上的节点的协议。如果攻击者无法ping通一个系统来发现它，攻击速度就会减慢，漏洞被利用的可能性就会降低。对于在工业资产上运行的服务也是如此。如果应用程序不需要该协议或服务，请通过禁用不必要的网络服务来锁定工业资产。在供应商评估和确认期间，确保所有可用的端口、服务和协议都可以根据应用程序的需求启用或禁用。

控制网络接入

当在网络上通信时，现代信息技术系统可以配置为只允许来自特定IP地址或IP地址范围的访问。有些系统更进一步，只允许特定端口上的特定IP地址或使用特定协议进行连接。

在评估新的工业资产时，验证系统是否有某种基于源IP地址和/或TCP或UDP端口号锁定连接的方法。

在网络安全方面，需要在安全性和可用性之间谨慎地保持平衡。采用网络安全实践的目标不是使信息完全不可访问，而是降低风险，减少威胁，并减少攻击者对工业资产执行攻击的机会。另外两种可用于降低风险的方法是身份验证和保存访问资产的用户日志。

工业资产必须包括某种形式的用户和访问身份验证。不仅要提示试图访问资产的用户输入由工业资产本身进行身份验证的密码或密码短语，而且还应该针对中央身份验证服务器运行该身份验证。目前最常见的两个身份验证服务器是Microsoft的Active Directory，它使用一种轻量级目录访问协议(LDAP)，通常用于Unix环境，以及SecurID/Radius服务器。

三因子认证

在需要非常高级别的用户身份验证的情况下，用户名和密码是不够的。相反，应该实现一个三因素身份验证机制。三因素认证基于:

1. 用户拥有的东西，如自动生成访问代码进行身份验证的SecurID令牌;例如Radius服务器
2. 用户知道的东西，如密码或密码短语
3. 用户是什么，如指纹或视网膜扫描。

除了身份验证之外，用户活动日志也很有价值。日志记录降低了风险，因为用户知道他们的操作被跟踪，并且如果确实发生安全漏洞，它有助于确定损害的程度。如果发生入侵，取证信息安全专业人员将使用日志数据来帮助确定暴露级别以及资产或组织因入侵而面临的风险。在供应商评估和确认期间，确保正在评估的工业资产具有内建的身份验证，最好带有某种类型的用户日志记录。

除了产品设计中包含的更多功能之外，还有许多其他安全使用工业资产的最佳实践，但重要的是要有一个坚实的基础来确定供应商与网络安全相关的尽职调查水平。这也是为未来工业资产投资开发评估矩阵的一个很好的起点。

马特·牛顿他是Opto 22的技术营销总监。由内容副经理艾米丽·冈瑟编辑，控制工程， CFE传媒，eguenther@cfemedia.com．

更多的建议

关键概念

• 如何降低风险
• 如何安全的工业资产
• 确定网络威胁的风险。

考虑一下这个

什么是保护工业资产免受网络威胁的最有效方法是什么?

在线额外

请参阅下面的相关网络安全报道。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。