工(gōng)控安全三個基本點

工(gōng)業世界聯網程度的提升有一(yī)個關鍵問題：如果發生(shēng)網絡攻擊且攻擊成功，後果不堪設想，比如，網絡罪犯入侵計算機系統并切斷城市供電(diàn)或供水。而且，不僅網絡犯罪團夥會盯上ICS，民族國家黑客也常将ICS列爲攻擊敵對國關鍵基礎設施的入口點。

 

正如2017年6月NotPetya數據清除惡意軟件爆發所展現的，ICS已經成爲網絡犯罪的主要目标。然而，很多工(gōng)控設備都面臨安全措施老化過時的風險，需要進行替換或升級。如何應對ICS面臨網絡攻擊風險的事實？公共事業機構該從哪裏開(kāi)始防禦這種之前從未考慮過的威脅？

爲确保ICS能抵禦今天的在線安全威脅，公司企業需采取足夠的措施以創建有效工(gōng)業安全項目并合理排定企業風險優先級。這聽(tīng)起來似乎是令人生(shēng)畏的浩大(dà)工(gōng)程，但健壯的多層安全方法可以分(fēn)解爲基本的3步：1) 保護網絡；2) 保護終端；3) 保護控制器。

　　一(yī)、保護網絡

工(gōng)業公司應确保自身網絡設計良好，有着防護周全的邊界。企業應按 ISA IEC 62443 标準劃分(fēn)自身網絡，保護所有無線應用，部署能快速排除故障的安全遠程訪問解決方案。公司網絡，包括其工(gōng)業網絡基礎設施設備，都應列入監視對象範圍。

　　二、保護終端

運營技術(OT)團隊可能會覺得公司的終端受到邊界防火(huǒ)牆、專利安防軟件、專業協議和物(wù)理隔離(lí)的防護，可以抵禦數字攻擊。但事實不是這樣的，雇員(yuán)、承包商(shāng)和供應鏈員(yuán)工(gōng)将他們的筆記本電(diàn)腦或U盤帶入企業網絡時，這些安全防護措施就被繞過了。

必須确保所有終端都是安全的，要防止員(yuán)工(gōng)将自己的設備接入公司網絡。事實上，黑客可以侵入OT環境中(zhōng)基于PC的終端。公司企業還應保護其IT終端不受OT環境中(zhōng)橫向移動的數字攻擊侵襲。

購買資(zī)産發現産品，或者實現網上終端清點過程，是保護終端安全的不錯開(kāi)端。可以定義控制措施和自動化以确保防護到位。然後公司企業必須保證每台終端上的配置是安全的，并監視這些終端以防遭到未授權修改。

總體(tǐ)上，IT和OT環境通用的解決方案是公司企業明智的選擇。應定義一(yī)個足夠靈活的安全平台，既能夠深度覆蓋IT，又(yòu)适用于敏感的OT環境。

　　三、保護控制器

每個工(gōng)業環境都有其物(wù)理系統——緻動器、校準器、閥門、溫度感應器、壓力傳感器一(yī)類機械裝置。這些與現實世界交互的物(wù)理系統被稱爲控制器，也就是橋接物(wù)理系統控制和網絡指令接收行爲的特殊計算機。很多案例中(zhōng)惡意黑客都曾獲取過這些設備的控制權，引發設備故障，造成物(wù)理破壞，或對公司的損害。不過，如果僅僅是能訪問而不能控制，惡意黑客也無法直接造成破壞。

通過加強檢測能力和對ICS修改及威脅的可見性，實現脆弱控制器的安全防護措施，監視可疑訪問及控制修改，以及及時檢測/控制威脅，公司企業可有效防止工(gōng)業控制器遭到數字攻擊。

網絡犯罪已成當今世界發展最快的産業之一(yī)。其範圍涵蓋僅僅出于好玩就發起攻擊的腳本小(xiǎo)子，以及像跨國公司一(yī)樣運營的犯罪組織。随着ICS成爲網絡罪犯的主要目标，公司企業需采取措施做好ICS對數字威脅的防護。而要做好防護，就需要重點放(fàng)在網絡安全、終端安全和工(gōng)業控制器安全的多層安全措施。