如何保护plc和pac免受网络安全威胁

网络攻击不断发展，检测和应对变得越来越复杂。出于这个原因，使这些威胁的处理方式现代化的必要性应成为首要优先事项。采用基于风险的网络安全方法有助于识别潜在漏洞，并根据每个漏洞的可能性和影响做出战略决策。在应对风险和试图领先于新出现的威胁时，需要问一些重要的问题。

监控网络活动越容易，一旦检测到攻击，设施的响应速度就越快，这将减少攻击的影响。因此，最重要的保护步骤之一可编程逻辑控制器而且可编程自动化控制器安全威胁应该在检测到攻击之前就开始了。

使用网络通信端口监视可以更容易地检查意外的网络协议、连接或通信类型。虽然网络上的意外活动可能不会最终成为威胁，但它应该引起危险信号，并且总是值得调查。

大多数企业都意识到他们应该在HMI和SCADA服务器上实施反恶意软件，但在连接到这些控制系统的每台设备上设置反恶意软件同样至关重要——包括笔记本电脑、平板电脑、智能手机或任何其他可能与控制系统共享网络的设备，因为受损的辅助设备可能会为黑客提供获取系统数据的完美网关。

当在整个设施中实施时，集中式反恶意软件可以防止、检测和删除恶意软件，使监控过程更加有效和高效。

限制对plc和pac的系统损坏

无论一家公司准备得多么充分，安全攻击和破坏仍然可能发生。因此，重要的是，不仅要设法防止它们发生，而且要确保如果它们发生，损害尽可能小。

限制网络损害的一种方法是有多个安全控制;实现一个健壮的、分层的方法，在许多独立的级别上进行安全控制，攻击者必须违反这些控制才能真正破坏整个系统。拥有正确的网络安全防御深度战略有助于避免安全问题和工厂关闭。

将网络划分为逻辑区域有助于挫败内部威胁，这种威胁虽然不太常见，但往往会导致最大的破坏。与传统的网络分割相比，拥有单独的区域(通常被称为“增强型网络分割”)在实施和维护方面更具挑战性;然而，它被认为是保护控制资产的最佳方法之一。

至少，设施应该确保安全部署，使用防火墙和分段来阻止未经请求的传入流量，并隔离网络以限制数据传输到预定位置。使用高级或应用层防火墙是提高此功能的好方法。

限制漏洞影响的另一种方法是利用冗余或在系统中包含备份组件，以便在组件故障或安全漏洞的情况下itm可以继续运行。

最后，限制安全漏洞影响的最重要方法之一是建立有效和健全的业务连续性或恢复流程和策略，以便在漏洞的影响有机会传播和减轻未来威胁之前处理漏洞。

锁定所有未使用的通信端口和关闭所有未使用的服务是应该采取的其他简单步骤，以减少可能受到攻击的表面积。

设施应与拥有plc和PAC系统认证的供应商合作，这些认证涵盖了控制系统的设计和工程技术安全要求。认证使控制系统供应商能够正式说明其控制系统是否符合网络安全要求。

监控设施内的机器对机器通信是努力确保不发生攻击的另一个关键步骤。所有通信都应通过OPC UA等工业自动化协议安全地进行，该协议提供了强大的安全性，包括身份验证和授权、加密和数据完整性。通过监控网络通信，新开放的端口或正在使用的协议会提醒用户注意潜在的威胁。

管理PLC用户认证

无意的行为可能是对组织最重要的威胁之一。为了引领变革，重要的是采取最佳的班级行为，并帮助教育员工如何降低风险。例如，对安全性最大的威胁之一是密码选择。在这个世界上，一些最常见的密码是“password”或“123456”，指导用户选择强密码并提供如何这样做的指导方针是多么重要。

在客户机应用程序和服务器之间要求用户身份验证，以确保只有授权用户访问服务器。如果系统能够支持这种级别的安全，那么多因素身份验证和基于角色的访问控制是最好的选择。

PLC网络隔离

远程网络访问带来的最大风险是，黑客有可能从外部深入访问组织，一旦他们这样做了，防止计划外关机、失控、数据丢失等就变得非常具有挑战性。企业也应该审计他们的PLC网络定位黑客可能使用的任何模糊的访问向量，并定期监控访问点。公司可以实现多因素身份验证，这要求用户成功地向身份验证机制提交两个或多个证据或因素，以便被授予对设备、应用程序或信息的访问权。

双因素身份验证是多因素身份验证的一个常用子集。这种方法通过结合以下两个不同因素来确认用户声称的身份:他们知道的东西，比如密码;他们拥有的东西，比如钥匙卡或软件令牌;或者别的什么，比如出示指纹或面部识别。

本文最初发表于欧洲控制工程的网站。由副主编克里斯·瓦夫拉编辑，控制工程， CFE媒体与技术，cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。