ICS安全趋势

自2010年Stuxnet病毒被发现以来，网络安全在工业设施中的重要性越来越高。最近，工业物联网(IIoT)随着连接设备数量的增加以及与互联网和业务系统的连接而兴起。

更多与工业物联网相关的工业通信基础设施入口点意味着更多的网络风险，不仅来自故意攻击，还来自设备故障、操作员错误和恶意软件等无意来源。在制造和过程控制环境中，这意味着物理设备和过程面临更高的风险，以及物理(而不仅仅是数字)损坏的可能性。

这对工业控制系统(ICS)的安全性意味着什么?有三个趋势需要考虑:以安全为重点的先进产品;安全性是所有以太网设备的属性;以及进一步采用纵深防御。

先进的工业安全产品

一个趋势是网络安全风险的增加，这促使供应商开发先进的技术来应对控制系统安全的特殊挑战。这些挑战的一个方面是，ICS通信协议的广泛使用没有考虑到安全性。在不影响其控制功能的情况下保护它们需要先进的技术。

例如DPI (deep packet inspection)功能。一方面，入侵检测系统(IDS)只监视广泛的基本攻击类别。另一方面，大多数防火墙使用访问控制列表或有状态防火墙来允许或阻止工业协议(如Modbus TCP)的所有消息。

然而，DPI更深入地了解协议的用途，并提供保护，而不仅仅是检测。DPI是这样做的，例如，通过确定Modbus消息是读还是写，并删除所有写消息，或者只允许写特定寄存器。这使得保护可以精确地针对应用程序进行定制，允许必要的控制消息根据需要进行通信，同时阻止潜在的危险或不适当的消息。

以太网网络设备内置的安全性

工业路由器、交换机和防火墙等以太网网络设备位于ICS网络的每个连接点。这使他们成为理想的安全哨兵，以识别和控制进入和离开通信基础设施的所有点的流量。然而，研究表明，大多数工业网络事件都是无意的。这些事件的发生是由于人为错误，软件或设备缺陷，或无意中引入恶意软件感染。这意味着ICS的安全性需要保护免受“朋友和邻居”以及“敌人”的伤害。集中精力发展所有以太网设备，使其在自身安全方面发挥积极作用，可以帮助减轻其中一些风险。

进一步采用深入防御的最佳实践

根据ISA IEC 62443(原ISA 99)，纵深防御的原则已经被很好地理解，并被许多被认为是“高风险”的应用所采用。然而，在控制系统的安装基础和新部署中，许多工业网络仍然没有遵循这些原则。

也许这是因为许多工业工程师和运营商认为网络安全只与保护免受黑客故意攻击有关。大多数工业网络事件都是无意的，而且它们并不只针对知名系统。人为错误和设备缺陷可能发生在任何人身上。

纵深防御既关乎安全，也关乎增强系统可靠性和弹性。随着这种认识的传播，采用纵深防御实践将会增加。

良好的网络安全是一个持续的过程。这意味着用户要保持警惕，监视通信系统的异常活动或配置变化，并调查变化和异常情况。从今天开始改善网络安全，并使其成为持续改进的重点领域。

希瑟·麦肯齐在百登公司Tofino Security工作;杰夫·隆德负责百登与工业物联网(IIoT)相关的产品计划。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。