病毒、黑客和蠕虫……天哪!

计算机病毒和蠕虫是IT界的大话题。最近的蠕虫和病毒已经感染了公司的局域网(局域网)，甚至关闭了业务。虽然这些关注点在IT环境中已经很重要了，但是它们在控制系统环境中还没有那么重要。随着控制系统中越来越多地使用标准以太网和微软操作系统，现在必须在控制系统设计和支持中考虑感染问题。为了证明这一点，由于最近的攻击以及为应对攻击而采取的行动，一些公司不得不停止生产。

现代控制系统工程师的部分技能必须包括如何保护网络控制系统的知识。ISA TR99.01关于制造和控制系统安全技术的技术报告是阅读您需要应用的技术的好地方。

IT系统的防护一般遵循三个原则:边缘防御、内部检测、各系统防护。边缘防御意味着阻止病毒和蠕虫进入本地网络。这包括建立防火墙、安装电子邮件扫描器、关闭未使用的端口，以及要求对通过防火墙的任何通信进行安全访问控制。在内部检测是扫描网络流量的可疑和非正常活动。检测还包括扫描服务器系统，以确保已批准的应用程序正在运行，并且只有已批准的应用程序在运行。保护每个系统使用防病毒软件和人员防火墙或每个系统。这些相同的规则可以应用于网络控制系统，但有一个重要的例外。例外情况是“保护每个系统”。病毒防护软件需要不断更新病毒和蠕虫的电子签名。这通常需要下载识别文件，并且通常需要安装软件更新。 Unfortunately, it is unacceptable to make these changes without extensive testing and revalidation on validated or critical control systems. Updates can occur several times per week, but testing and validation can take weeks, so it is nearly impossible to have current up-to-date virus protection software on validated or critical control systems.

由于在许多网络控制系统中不能遵循第三条规则，因此应加强前两条规则以承担负载。我们可以通过在控制系统网络和其他公司网络之间添加防火墙来加强第一条规则。无保护的控制系统是感染的主要目标，它们需要多层保护。直接连接到其他业务系统网络的控制系统网络面临病毒和蠕虫的威胁，并使其他公司系统处于危险之中。端口有限的防火墙提供一级保护。防火墙应该是双向的——除了保护控制系统不受公司系统的感染外，它们还必须保护公司系统不受控制系统的感染。还可以添加访问控制路由器来增强防火墙保护。访问控制路由器只允许一端的指定系统访问另一端的系统。控制系统网络也可以设计成使用智能交换机的虚拟局域网(VLAN)。VLAN将VLAN上的流量与其他lan隔离开来，为防止广播风暴和其他拒绝服务(DOS)攻击提供了额外的保护措施。

控制系统网络内的检测也应应用。这包括在VLAN上使用入侵检测系统。

在控制系统中增加感染保护的成本很小，而且可以通过现成的软件获得。控制系统专业人员需要了解感染防护技术，并且必须与IT部门合作实现控制网络和企业网络之间的安全接口。

作者信息

Dennis Brandl是BR&L咨询公司的总裁，这是一家专注于制造业IT解决方案的咨询公司，总部位于北卡罗来纳州卡里dbrandl@brlconsulting.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。