通过修复已知漏洞、定位系统以及记录系统活动等方法, 有助于强化工业PC。图片来源:Maverick Technologies
由于对工业过程的网络安全攻击越来越普遍,越来越多的公司开始采取积极措施, 来保护其关键控制系统。内部和外部顾问通常会向关键人员提供需求和建议清单,以提高整体安全性。在这些列表中,总会包含一个“强化” 工业计算机的建议。
强化是使计算机更能抵抗来自恶意攻击和意外感染的网络入侵的过程。强化通过修复已知漏洞、定位系统来拒绝某些类型的攻击以及记录系统活动来进行。
工业计算机永远不会完全不受入侵的影响,但强化过程为工业系统提供了额外的网络安全保护层。以下6 个不同领域的强化方法值得探索。
1 对工业PC 进行更新和打补丁
保护系统免受网络攻击的每一次尝试都是不完美的。硬件和软件的每个元素都可能包含漏洞。生产制造商发布更新和补丁,以修复潜在和已知的漏洞。及时应用这些补丁和更新CONTROL ENGINEERING China版权所有,是保持计算机抵御攻击的最佳方法之一。如果现有漏洞没有被修复,那么距离漏洞发现的时间越久,机器受到攻击的可能性越大。
在工业领域,要想每周都停止生产来为系统打补丁,通常是不切实际的,但建议制定补丁计划CONTROL ENGINEERING China版权所有,可能是每季度一次。同样重要的是要认识到,并非每个补丁都应该立即应用。当涉及到原始设备制造商(O EM)的控制软件时,未经测试的补丁可能会导致工业软件出现故障。大多数OEM 都有自己的测试程序,可以利用自己的设备验证操作系统补丁,有时操作系统补丁会驱动OEM 系统的相应更新。
2 防止工业PC 安装文件系统
与任何计算机一样,如果在工业P C 中插入个人设备,也容易受到包含受感染数据的攻击。即使没有恶意,想向同事展示孩子照片的运行人员也可能插入U 盘。需要转移数据文件的工程师也可能使用便携式硬盘, 而不是遵循适当的安全文件传输方法。评估文件是否存在危险的系统经常会过时,因此完全阻止访问新文件系统更为简单。如果操作系统拒绝识别文件,那么设备是否被感染并不重要。
3 防止工业PC 出现新的网络连接
将工业P C 连接到不可信的网络上,这种案例并不罕见。无论是将Wi - F i 连接到热点观看网络视频,还是将i P h o n e 插入以对其充电,除授权工业控制网络外的任何网络连接都是高风险的。一旦建立了预先设计的网络连接,应避免所有其它的网络连接。
“所有值得关注的系统活动www.cechina.cn, 都应记录到本地计算机以外的位置。”
4 通过应用和文件控制防止不受信任的使用
计算机操作应基于其上运行的程序。只允许运行为正常应用规划的程序。授权用户应该是唯一被允许执行所需程序的用户。必须防止未经授权的用户,执行不受信任甚至受信任的程序。修改磁盘上的文件,也应限于授权进程和用户。
5 通过主机防火墙防止不受信任的网络通信
主机防火墙是在本地计算机上运行的程序,用于防止未经授权的网络通信。它们可以限制允许交换的数据类型、用于交换的协议以及会话的终端。网络防火墙应防止在物理安装防火墙的区域出现不必要的流量,但在每台计算机附近安装防火墙通常是不可行的。每台计算机上安装的防火墙,可以避免同一物理网络区域的计算机之间出现不必要的通信。
6 活动日志记录用于实时检测和事后审核
系统活动日志记录本身CONTROL ENGINEERING China版权所有,不一定会强化计算机www.cechina.cn,但它可以帮助全面强化其所在的系统。所有值得关注的活动,如网络事件、用户身份验证的失败和成功、文件系统更新和许多其它活动,都应记录到本地计算机以外的位置。集中式事件管理系统可以在记录事件发生时对其进行评估,以检测潜在的负面活动并及时采取保护措施。事件的历史记录有助于在事后评估攻击,以便识别和修复特定的漏洞。
大多数操作系统内置的工具和功能,在一定程度上都可以实现上述6 个领域的强化。这项任务需要具有操作系统、安全要求以及两者如何与每台机器上运行的工业软件交互的专业知识。
可以购买或授权安全软件,以更方便用户的方式执行任务。有些工业设施拥有具备实施和维护资产强化计划所需技能的工程人员,但很多工厂没有这方面的人才。在资源有限的情况下,第三方合作伙伴可以提供帮助,完成将系统强化到所需状态所需的前期工作和长期维护工作。
在请第三方合作伙伴实施和维护时,以及在使用商业安全软件时,应认识到本地工程人员仍需参与系统的操作和监控。强化工业计算机不是一次性的活动;而是一个持续不断的过程,需要经常进行审查和更新。(作者 | Robert Henderson, Maverick Technologies )
关键概念:
■ 强化是使计算机可以更好的抵抗恶意攻击和意外感染的网络入侵的过程。
■ 记录活动、主机防火墙和防止不可信的应用,也是强化工业计算机的关键步骤。
思考一下:
在工业PC 强化方面, 贵公司采取了哪些措施?