你的控制系统网络资产可能没有相应的安全设计,所以你需要自行保护,要经常想一想是否已经彻底安全了。本文列出了现在可以采取的行动。
控制系统属于很有价值的目标,因此容易受到攻击。风险到底是怎样的呢?一项最近由美国CONTROL ENGINEERING 进行的调查显示控制工程网版权所有,大多数受访者都意识到风险问题非常严重。越来越多的跨国机构让风险遍及全球。一份最近的供应商简报指出,工业网络资产和通讯协议确实非常得脆弱。无论是同一家供应商还是不同供应商的产品,都是存在这样的安全隐患。有些领域的情况正在改善, 但是大多数工业控制系统的产品供应商和集成商在其软件开发和系统集成的生命周期中并没有安防的工作, 即便有也是刚刚起步。
那么, 如果你已经知道存在风险,能够做什么呢?你首先必须要了解自己有什么,然后建立壁垒,监控并且对威胁信号做出反应。
我们今天能做的第一步,是建立控制系统资产的清单。这包括所有的人员、技术、控制器硬件、网络硬件、通讯渠道和运行程序。第二步控制工程网版权所有,要仔细了解影响你的网络、物理和运行安全要求的规章制度。如果你还没有相应的规章,那么只能庆幸自己走运了。你可以自己决定是不是投资进行安全管理。然而,如果你是在能源和水行业,已经有多个网络安全控制在影响或者即将开始影响你了。
一旦你完成最初的清单之后控制工程网版权所有,接下来需要做的包括:
1. 明确在整个组织内部以及相关机构中基本的安全需求。这是一个关键元素,因为你的组织很有可能必须要承担新的角色和责任以应对即将到来的威胁。
2. 使用网络资产清单,识别哪些部分需要直接控制功能。明确每一个控制系统网络单元运作都需要哪些通讯渠道、应用和服务。这个过程并不容易,你的控制系统供应商和集成商可能对于你的环境并没有特别的解决方案。
3. 移除所有对正常和紧急运行情况不必要的通讯渠道、应用和服务。
4. 检查剩余通讯渠道、应用和服务的脆弱性。使用防火墙、应用和协议清单,检查它们是否过期或者是存在脆弱的元件。
5. 识别缓解方法,比如网络扰动检测系统,以及使用专用的规则对控制系统协议和通讯渠道进行配置,不使用IT 环境下的通信规则。
6. 列出当前人员维护网络的操作程序以及控制系统通讯渠道清单。检查程序的脆弱性,如果需要的话进行修改。
这还只是开始。尽管有很多久经考验的IT 防护技术,但是通常工业控制系统设备还是很脆弱,因为很多供应商在软件开发的过程中没有安全防护步骤。
因此控制工程网版权所有, 对你自己、资产管理者和操作人员来说控制工程网版权所有,第一件要做的事情就是要了解自己拥有什么、自己需要什么以及如何利用防火墙和限制规则保护自己的网络。你还可以决定是否进行网络、物理元件和运营的脆弱性评估,包括新的设备如何连接到现有的基础架构上面。接下来,要采取必要的措施限制和监控控制环境中的物理、网络和运行活动。举例来说,工作携带的笔记本电脑并没有划为工具,因为如果处理不当就会引发不良的后果。理想的情况是对工业控制系统环境的各个方面都进行改善。改变文化和引入新的责任是必须的工作,但是执行起来并不容易。