停止工业控制系统网络威胁

对工业控制系统（ICS）网络基础设施的威胁在历史新高，并且复杂程度比以往任何时候都大。由于其老化的基础设施，缺乏安全规划/设计，以及保护ICS资产，使这些攻击的数量和复杂性的增加和复杂性为犯罪者进行了一个简单的目标。

对企业的基础设施和运营方面进行了详细分析，可以对风险水平提供良好的洞察力，以及确定保护关键资产的潜在对策。这种类型的整体方法应采取确保所有方面都被认为充分了解生产系统所带来的实际风险水平。这包括网络和物理安全性，以及系统生命周期的状态。为了帮助识别确切的风险水平，应彻底评估每个元素以了解设计，操作和维护差异以保留生产系统的生计。

IC Evolution.

从历史上看，ICS提供商利用了专有的硬件和/或软件解决方案，它们与外部连接物理隔离。如今，IC利用商业现货（COTS）组件和标准操作系统和公共通信协议。从专有系统到开放技术的移动允许使用第三方硬件和软件组件，这有助于推动ICS的整体生命周期成本。此外，标准公共组件和相关通信协议的适应促进了与信息技术（IT）或业务系统的更容易连接。这种与生产系统的数据分享到业务系统可能会提供有价值的商业洞察，以最少的努力来收集和分析数据。

这些具有改进的生命周期并使连接的相同功能可以暴露ICS应用程序的漏洞，这些应用程序并不专门设计为主要焦点。ICS提供程序通常发布推荐的安全实践，该安全实践定义了特定方法，以允许连接到外部系统，但最终保护ICS网络的责任完全取决于最终用户以部署和维护。确保这些网络以确保生产可用性和保护免受安全问题，应成为管理层的全面的商业目标。

今天部署的许多基础设施不遵循国家标准和技术（NIST）标准指南的工业控制体系安全指南，由国土安全部认可。总统政策指令 - 关键基础设施安全和恢复力（PPD-21），主动坐标，加强，维护对公共安全，繁荣和整体福祉至关重要的关键基础设施。

管理IT和ICS基础架构

IT和ICS基础设施均采用公共网络组件，但在维护，操作和安全管理方面非常不同。IT业务网络和ICS网络的安全目标是完全不同的概念，但它们基于相同的机密性，完整性和可用性原则。

为此，企业主主要关注知识产权披露，保密是最高优先事项。接下来，数据的完整性非常重要，其次是网络可用性。由于生产系统数据的危急性质，ICS网络具有不同的优先级。对人类界面的依赖需要系统的可用性成为工业部门的最高优先级。

由于具有准确信息的重要性，数据的完整性也非常重要。机密性通常不是工业网络的主要问题。这些系统优先级的这些差异使得网络的操作和安全管理方面急剧不同。

虽然两个系统利用基础架构的共同组件，但是IT和ICS网络的操作显着不同。通常，IT网络操作由用户以不规则的方式启动，或根据需要启动。在业务网络上产生的流量可能是零星的和不可预测的。删除或添加诸如服务器，网络设备和计算机等网络组件以支持业务需求。业务系统通信协议围绕这种类型的操作构建，并且由于散发数据，通常不包括任何类型的确定性机制。

另一方面，ICS网络需要非常高的可用性，以支持连续和不间断的生产系统要求。这些系统旨在以确定性速率提供数据，以允许可预测性和可重复性。IC通信协议支持捕获时间关键事件的确定性活动。这些系统旨在允许对时间敏感的关键数据的高可用性。IT网络操作中的对比度和ICS的对比度也非常不同的安全方法。

标准它“修复”可能会损害IC

它通常部署广泛的安全对策，以帮助防止网络攻击。然而，由于它们需要确定性高可用数据的要求，最常见的IT安全方法可能对ICS网络具有不利影响。一些标准IT安全实践的示例包括应用操作系统修补程序，应用程序更新和服务器系统升级。这些被认为是IT世界的常见做法。但是，在ICS网络上，这些操作可能对操作和相关组件具有非常负面影响。

其他常见的IT实践如域变化，病毒扫描仪更新，反恶意软件更新，路由器配置更改，端口阻塞策略等是由于相关软件，系统组件的危急性质，可能对ICS网络有害的操作示例和/或数据传递。必须仔细考虑对ICS网络或相关组件进行任何此类变更的部署，并且应在测试系统上进行暂存，以分析在部署活动生产系统之前进行性能特征。

此外，必须考虑对安全实践的特殊考虑，以确保不会阻碍ICS网络操作。确定正确的方法并应用最具成本效益的风险缓解解决方案对于支持IT和ICS基础设施的业务至关重要。ICS网络要求的可用性使得它们对生产系统内的任何微小变化更敏感。

确定准确的风险等级

未能同化ICS网络的实际风险水平是对所有潜在漏洞的缺乏意识和理解。就像IT系统一样，使ICS网络的努力必须是管理的全面的努力，以确保生产系统的可用性。只需将防火墙放在ICS和IT网络之间是不够的，无法删除考虑到现代黑客的复杂性的风险。

“风险”被定义为获得或失去价值的潜力。为了充分了解生产系统的实际风险水平，必须评估暴露漏洞的所有方面，例如生产，环境损害，设备损坏和/或人类安全的损失。这可以包括网络，物理和本地接口漏洞，这些漏洞可能从内部，外部，恶意和无意中发生威胁。必须定义ICS生命周期的所有方面，以确保所有潜在的危险都已考虑。

风险可以通过ICS基础设施的多种漏洞引入，例如利用旧版平台，系统架构设计，连接到外部网络，无线接入点和/或远程接口点。通常，IC部署比标准IT系统长得多，这可以有助于成本，生产中断的可用性转向较新的系统，以及缺乏运行遗留系统的相关风险知识。

有助于潜在漏洞的其他因素是未能设计和/或维护安全的ICS网络，这可能是多个工程师在一段时间内负责，没有适当的安全计划和程序。或者，它也可能是快速部署多个项目，升级或具有受损安全性的添加的结果。

为了成功管理风险，公司必须完全定义到位的内容，了解ICS生命周期所在的位置，并确保将计划维护所有可能的漏洞。这些章程应由管理层授权，以确保生产系统资产的生计在系统的整个生命周期内保持完整。

对IC的独特威胁

对其和ICS基础设施的威胁正在不断发展，并且越来越难以防止，检测和减轻。由于生产要求的危急性质，ICS网络充满挑战。因此，监督ICS基础架构的技术人员和工程师必须具有更严格，计划和纪律的方法来部署安全方法。

完全断开ICT网络从Internet连接仍未删除所有相关风险。如果与互联网连接，外部威胁是显而易见的，但内部威胁具有比外部威胁更有害的潜力。这包括内部恶意和无意的人类错误，可以在ICS网络上造成严重破坏。对生产系统的威胁包括系统持续和不间断地显示准确的运行时间数据的任何和所有方面。

这包括运算符访问桌面函数，本地登录权限和访问系统端口和/或接口的能力。物理和程序性地保护自动化系统的努力可能非常广泛且耗时。但是，防止共同系统故障的唯一方法是删除公共用户访问这些系统的能力，其中包括软件，硬件和物理访问。

缺乏规划和/或程序来完全管理ICS的安全性和生命周期代表了美国中，可以通过数字网络或物理方面损害了美国的最大威胁ICS关键基础架构。然而，在遗留平台上运营可能对生产系统的寿命有害。传统硬件，软件和对系统的支持可以既稀疏和昂贵，如果它们完全可用。

通常，IT系统在3到5年的循环上升级，而生产系统可能保持更长时间。由于生产系统的高可用性要求，转换到新系统也可能是风险的。新系统可能需要重新编程和逻辑被解密和/或编译为新语言。这介绍了人为错误的可能性，并且可能对生产系统产生不利影响。

操作员界面可能会与现有的遗留系统不同。从传统到较新系统迁移可能涉及细节逻辑规范的许多方面，以定义安全操作，广泛的测试和操作员培训，以完全符合生产系统。全尺寸更换可能需要一段时间，包括多个复杂阶段，以最大限度地减少生产中断。ICS生命周期的管理应包括全面的路线图，计划所有切割细节，以最大限度地降低生产系统的风险。

减轻风险和保护资产

减轻风险和确定保护业务资产的全面计划需要全面的评估，包括对生产系统的风险的所有方面。保护资产应包括安全层，不应依靠单一软件或硬件来最大限度地减少风险。受损IC的后果可能导致生产，环境危害/释放，损坏处理设备损失，损害人身安全。这些后果对管理和保护我们业务的生计来说是非​​常重要的，是至关重要的。

资产保护从上层管理方向开始，以确定主动倡议，以确保IC的准备就是处理不断发展的威胁。整体计划包括记录的安全任务和程序，概述了保护，缓解程序和迁移计划的层，以涵盖IC的生命周期。对事件的反应，妥协生产系统应该是所有人员清楚地理解的计划事件，以尽量减少影响。

迁移计划应包括系统路线图，以最大限度地减少生产中断，并确保在变更期间安全可靠的系统。由于威胁继续变得更加复杂，强烈建议每年对保护层进行审计，以确保它们不会受到损害。风险因素永远不会被删除，资产所有者负责通过尽可能多的风险来确保生产系统的准备。

罗比人民是交叉公司集成系统组的集成经理。本文最初出现在交叉公司的创新控制博客。由Chris Vavra编辑，生产编辑，控制工程，CFE媒体，cvavra@cfemedia.com.。

跨公司是截至2017/14/14/14/14的CSIA成员。