工业控制系统(ICS)网络安全建议，最佳实践

虽然网络安全一直是任何行业关注的主要问题，但人们普遍认为，网络安全威胁与丢失专有数据、成为间谍活动的受害者以及面临关闭有关。然而,海卫一(也被称为Trisis或HatMan) 2018年的袭击显示了这种非常严重威胁的另一面:潜在的灾难性灾难。了解常见的攻击入口点、预防措施以及如何改进。

传统上，工业控制系统(ics)被设计为在自己的控制网络上孤立运行，很少有人能够预见到来自网络安全的威胁。然而，随着围绕工业设施的其他技术的发展——包括智能传感器、无线网关、远程管理系统、虚拟化、云计算、智能手机和各种商业智能需求——这些工业系统不受外部干扰的机会越来越小。

国际集成系统被外部操纵的第一个例子是2010年的Stuxnet，这是一个故意设计的脚本，用于破坏运行离心机的工业控制器。随后是2013年针对电网和电力公司的Havex攻击;通过它收集了大量用于间谍活动和破坏活动的数据。

2015年出现了两种威胁:BlackEnergy破坏了工作站的数据和文件，导致乌克兰严重停电;IronGate在公共资源中被发现，其功能与Stuxnet相同。2016年，该公司还在乌克兰造成了严重破坏，恶意软件擦除了数据，并对网络进行了分布式拒绝服务(DDoS)攻击，导致乌克兰电网关闭。

Triton的攻击是在2017年发现的。它的发现阻止了一场严重灾难的发生。这个恶意软件可以感染Triconex安全控制器，让黑客可以改变安全参数。恶意攻击可能会使工业设备的安全设定值失效，可能导致与2019年3月发生在中国的江苏天家一化工厂爆炸同等严重的事件。

了解攻击源

应对这种网络安全威胁的第一步是了解攻击可能来自哪里，因为攻击者在一段时间内使用侦察作为衡量和了解目标弱点的第一步。从长远来看，组织可能会使用威胁向量分析来识别攻击者可能使用的不同方法，或者系统可能倾向于使用的方法。所有这些都需要基于对公司资产进行业务影响分析所产生的风险。用户可能想要使用一些现成的评估工具，并使用它们从非关键资产中分离和合理化关键资产，并开始对它们执行差距评估。

攻击者的六个常见入口点是:

1. 来自外部网络、internet和通过企业资源规划(ERP)软件、网关、数据和文档存储库以及在线历史记录的远程连接的入站攻击
2. 防火墙和网关配置不正确
3. 用户通过窃取或钓鱼凭证进入业务工作站和控制计算机
4. 针对生产系统的物理攻击，在大多数情况下，这些攻击是人机界面(hmi)、工程师和操作员工作站以及实际的过程安全控制器
5. 横向网络攻击以控制网络为目标，利用工业通信协议发现网络中的其他设备并传播恶意代码
6. 社会工程攻击，其重点是使用个人身份信息欺骗内部人员无意中授予访问权限、打开网关和运行脚本。

八项网络安全注意事项

每种类型的攻击都有自己的一套预防措施。这些都是:

1.隔离和分割:

虽然这听起来很明显，但通过工具和合格人员对控制网络进行彻底的差距评估通常会发现，在遵循保护控制网络的标准做法时，许多未受监控的接入点被忽略了。这些威胁可能源于:

• 不受限制地访问工程/操作员工作站
• 过时的恶意软件检测
• 未被保护或审计的第三方应用程序和连接器
• 从控制网络导出数据时缺少非军事区(DMZs)或数据二极管
• 在公共域中连接的关键资产。

2.管理用户访问控制:

此任务包括采取措施限制未经授权的访问，以及跟踪和停止与未经授权的访问相关的任何活动。这包括:

• 加强对未经授权人员的访问
• 管理策略并按照严格的时间表进行更新
• 在整个组织中启用多因素身份验证
• 白名单，增加预先批准的地址，位置和基于端口的警报，以识别人员访问系统
• 修改所有密码和密码的默认设置，并定期更新用户密码。

3.补丁经常:

为所有控制和安全设备安装最新固件版本需要定期进行。虽然对所有关键控制器都应该进行常规的非侵入式补丁，但至少应该在每个年度维护周期中进行补丁。

4.运行验证检查:

程序、逻辑和可执行验证检查确保对逻辑、代码和脚本的更改是由授权人员有意进行的更改。仿真验证环境有助于监控任何不必要的逻辑和参数变化，此外还有助于操作员在设备上进行培训，而不会危及实际的物理系统。可以使用工具自动检测逻辑级别的任何更改，并且在受控环境中执行任何此类更改，并维护备份副本，以便在控制器或系统受到损害时进行恢复。

5.增加物理安全:

考虑到最近的网络安全威胁，一些控制系统供应商现在在他们的控制器上包括物理锁，防止任何额外的代码在没有首先通过物理安全层的情况下在控制器上执行。

6.网络安全培训:

网络安全威胁的一个关键部分来自于攻击者依赖于工厂人员所犯的错误。如果所有利益相关者都不参与并意识到自己的责任，任何网络安全措施都不可能得到充分实施。这包括培训人员如何识别攻击，如何保护他们的个人身份信息，以及如何保护自己免受攻击。应向各级管理人员、行政人员、操作技术系统管理员和用户提供这种培训。

7.创建事件响应计划:

万一一个奇怪的错误或疏忽给潜在的攻击者留下了机会，网络安全实施工作需要包括一个可操作的计划，以便人员在安全被破坏或发现威胁时遵循。这些计划一旦制定，就需要通过定期讲习班进行实践，并提供给所有负责人员，以确保在安全遭到破坏时迅速采取行动。

8.保持更新的资产登记簿;

为了降低风险，维护所有列出的OT资产清单的最新记录，包括交换机、路由器、防火墙、各种web服务、监控和数据采集(SCADA)软件、历史服务器、控制器或任何互联网协议(IP)可寻址设备，所有这些都可能为攻击者利用非管理系统留下漏洞。可以通过网络监控资产的最新版本更新，同时可以通过各种工具监控补丁和任何漏洞。

网络安全计划分为四个阶段

启动工业系统的网络安全计划并不是一项艰巨的任务，也不是一项巨大的投资。为了防止可能造成的损害，企业必须权衡利弊，因此不考虑投资网络安全是荒谬的。

就像任何成功的全公司范围内的计划一样，网络安全也需要内部的拥护者来支持它的事业，并帮助公司采取必要的政策和程序。在大多数情况下，最好的方法是为企业网络安全定义所有者并控制网络安全。

工业网络安全需要成为工厂范围内的一项倡议，涉及设计和框架、差距评估、实施和审计方面的合作。礼貌:控制工程信息来自Intech Process Automation

网络安全需要成为整个工厂的倡议。它的实施分为四个阶段(见图):

阶段1:设计和框架

网络安全管理系统的设计是最全面的阶段，需要投入最多的时间和精力。许多网络安全咨询公司专注于帮助企业设计网络安全基础设施、政策和程序。该任务包括识别与网络安全相关的所有系统和人员，定义他们的角色，定义他们的访问和控制权限，并围绕这些参数建立策略以确保安全操作。网络安全设计阶段需要重要的内部推动和利益相关者的支持，以确保其成功完成。

阶段2:差距评估

评估阶段主要包括审查网络安全设计，并根据业务影响识别潜在的漏洞和风险。确定的差距在设计中得到解决和更新。可以使用经验丰富的人员和各种工具来执行评估，这些工具可以嗅探网络级数据包，并识别系统加固中的异常行为和漏洞。

阶段3:实现

这部分是网络安全政策、程序和实践的实际实施。通常在这个阶段的外部帮助可以帮助加快实现过程，并确保所有检查表都被标记。实现的关键方法是系统加固。

第4阶段:审核

审计网络安全涵盖了像全面渗透测试这样的任务，以确保网络安全实现达到预期的结果。专业审计公司通常负责这项工作，并帮助确保稳固的网络安全。这部分需要最大量的外部专家来制定新的实施计划。然而，如果内部网络安全审计团队在所有阶段都接受了培训，该团队可以利用其学习和专业知识来审计公司内的其他工厂和设施。

奥斯曼艾哈迈德是业务发展的先导;Asad拉赫曼是设计和应用工程师;和艾哈迈德·哈比卜是市场经理，Intech过程自动化他是一家系统集成商和CFE Media内容合作伙伴。编辑:Mark T. Hoske，内容经理，控制工程、《媒体，mhoske@cfemedia.com。

关键词:工业网络安全，网络安全提示

工业网络安全需要理解攻击媒介。

八项网络安全注意事项帮助理解。

推进网络安全通过以下四个步骤。

考虑一下这个

你带了吗?提升工业网络安全的四个步骤?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。