【请牢记】纵深防御——确保工业控制系统网络安全的8个建议
摘要:实施针对内部和外部威胁的纵深网络安全战略,是确保工业控制系统 (ICS)安全的有效措施。
通过构建纵深防御网络安全计划、实施本文所提出的8 点建议,将助于降低工业控制系统 (ICS) 网络安全的风险。
在智能制造时代,物联网(IoT) 和工业4.0提供的重要竞争优势——互联性,将是未来成功的必由之路。在接受网络安全方面,有些公司处于领先优势,而另外一些企业,则只在受到威胁或泄露之后,才会认真对待网络安全问题。建立强大的网络安全战略以防止网络攻击,需要采用整体和分层的方法。下述的重要建议将帮助企业制定有效的工业控制系统网络安全计划。
纵深防御网络安全计划
“纵深防御”是用于描述工业控制系统网络安全规划战略的术语,指的是具有多层安全保护系统和访问控制的理想状态。首先需要确定控制系统的内部、外部、物理和虚拟威胁。评估每个威胁造成的风险有多大,该评估应成为如何更好的为网络安全计划分配预算的指南。
制定一个全面计划,将风险降低到一个 “可接受的”水平 ( 对每个企业来讲,可接受的水平都是不同的)。如果发生攻击或者泄露,应有相应的流程跟进。通过系统监控和报警,及时通知用户违规行为正在发生或已经发生。
01
分区
分区是一种纵深防御策略,它使用网络分区原则,来限制发生泄露时所造成的损失。分区是在较大的网络中创建独立的、自支持的网络 ( 区),以防止对系统进行不必要的访问,以及限制系统可能发生的漏洞。可以通过使用其它硬件 ( 如电缆和交换机),实现物理上的分区,相对于虚拟分区来讲,物理分区是一个耗时且成本更高的方法。
在较大的系统中,通过使用虚拟局域网 (VLAN),可以创建彼此隔离的网络。分区可以是最基本的分区,例如将制造网络与业务网络分离;也可以是更复杂的分区,如为每个制造单元创建不同的分区。例如,在制药工业中,每个制造单元或包装生产线均可以单独分区。如果网络分区需要通信,防火墙可以提供额外的保护。防火墙是一个单独的设备,它决定是否允许或阻止网络通信通过。
如果工厂是区域性的,将其作为一个分区来处理,可以保护整个系统免受潜在灾难性的破坏。如果需要进一步分区,则可以在每个工厂中为仪表、控制和可视化网络等系统创建分区。
02
非军事区
一种特殊的分区情况,是在公司的工业和制造系统、业务和 IT 网络或互联网之间设置非军事区 (DMZ)。尽管在工业控制系统中并没有普遍实施,但非军事区对于某些特定情况来说仍然很重要。正确设置的非军事区,将不允许通信从业务网络或互联网直接跨过非军事区传输到工业控制系统网络。在进行跨非军事化区通信时,内部的服务器或设备需要充当传输中介。
03
定期备份和更新
确保系统定期备份。在存储设备(如网络附加存储设备)上,为所有硬盘驱动器、备份虚拟机以及存储配置和程序创建映像。 应将备份复制到另一个场外设备以获得额外保护。不管防护措施看起来有多么安全,但它永远不会是100% 的安全。备份是快速、轻松恢复的关键。
使用最新补丁程序更新系统,并升级任何运行没有技术支持的操作系统的计算机。针对这些过时的平台,即使制造商不再提供补丁程序,如果发现漏洞,也会被公布。
与自动化设备制造商联系,获得有关安全公告的电子邮件分发列表。此外,建议政府或者相关组织机构第一时间获取工业互联网安全应急响应(ICS-CERT)的相关信息。
04
专用安全装置
少数制造商专门为工业控制系统提供网络安全产品。防火墙安全工具有专门为工业控制系统量身定做的硬件和软件。这些工具允许定义规则, 管理与系统进行通信的设备,及其可以使用的端口和协议。防火墙会锁定与现有设备的通信, 以确保正确的通信流。防火墙可以识别出通信不能正常工作, 并且导致通讯阻塞的情况。除了通信块之外,还可以设置通知或警报。
05
建立强大的网络安全文化
网络安全需要结合常识和教育。许多威胁和攻击起源于内部和意外事件,这更表明需要全员参与,并保持警惕。制定持续的教育计划,并为未来的员工提供培训,为员工提供常见的社会工程学策略培训。告诉他们哪些是机密信息,哪些行为容易带来安全隐患,例如点开看似合法来源的网络钓鱼电子邮件,或者接到试图诱导人们泄露信息的电话。要详细告知和培训员工,需要注意什么,不要点击什么,以及如何避免其它常见的陷阱。
06
使用有限访问和唯一密码
采用“最低权限”策略,仅让员工访问工作需要的内容,不能访问其它无关内容。强制用户设置唯一的密码,并且不能设置为系统默认密码。此外,用户不应在公共视线范围内、设备附近或其它地方设置密码。使用诸如滚动代码、生物特征识别等技术,尽可能增加双因素身份验证。对于提供远程访问内部系统的所有设备,均应强制进行双因素身份验证。
07
物理访问防御
适当的物理安全措施经常被忽视。对于物理访问防御,首先要确保设备入口的安全。考虑使用安全卫士、访问控制系统、电子围栏以及将服务器和监控和数据采集 (SCADA)控制室等关键基础设施上锁等措施。删除可编程逻辑控制器 (PLC) 上的密钥,以防止篡改程序,锁定控制文件柜以防止未经授权的人员访问它们。
还可以禁用或锁定控制系统的USB 端口。通过这些USB 端口,可以传播病毒,也可以窃取数据;而且员工也可能通过手机充电,在无意中危及安全性。
08
与系统集成商保持良好的关系
如果有其他专家,能够了解公司内部和外部的自动化系统,那么无疑将是一项宝贵的资产。例如去年发生的,一系列针对全球公司的勒索攻击。如果系统集成商对客户的工业控制系统应用程序、流程以及包括最近备份在内的软件程序的详细文档有深入的了解,则受信任的系统集成商就可以提供帮助客户在网络攻击中或之后提供支持和快速恢复。
实施纵深防御的网络安全策略,并不一定是代价高昂且耗时的任务。采用有效的防御措施,将大大提高工业控制系统的安全级别。控制系统集成商可以直接与客户的IT 部门合作,设计和安装制造商所需的网络安全技术并提供培训。集成商与客户携手合作,可在需要时提供快速的支持和咨询服务,帮助客户减轻网络安全风险。
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2018年10月刊《封面故事》栏目,原标题为:确保工业控制系统 网络安全的8个建议
本期杂志封面