技术频道

七步提高ICS和SCADA安全

    网络安全在过去的两年时间为工业自动化行业真正敲响了警钟。有史以来工业自动化行业首次成为Stuxnet,Nignt Dragon和Dugu等复杂网络攻击的目标。

    另外,工业控制产品也出现了前所未有的大规模的安全漏洞。对制造业和关键基础设施行业的专业人员来说,网络安全很快就成为了一个最严重的棘手问题。

    如果你是一名过程控制工程师,或者公司自动化部门的IT专业人员,或是负责安全保障的业务经理,你可能很想知道你的企业如何才能实施更稳健的网络安全措施。

    为了提供一些这方面的指导,John和我从多个工业标准和最佳措施文档中收集总结了一些资料,同时结合我们在评估多个工业控制系统后得到的经验,给出了以下7个易于遵循的步骤。

第一步—评估现有系统

    你需要做的第一步是进行风险评估,量化并评定对你的业务有威胁的风险等级。这一点很重要,这样的话你就能知道如何重点合理地安排你的安全资金和工作方向。我们经常看到一些跳过风险评估这一步的做法,结果导致公司将钱投入到解决次要风险的方案中,一些更严重的主要风险却未被解决。

    风险评估似乎是一项令人头疼的工作,然而如果你采取一个简单的、轻量级方法,风险评估其实是很容易进行的。我们的白皮书提供了一个范例,以及如何进行评估的一些技巧。

第二步—制定政策和规程

    我们强烈建议组织机构制定针对ICS的文档,描述和控制系统安全相关的公司政策,标准和规程。根据我们的经验,分开的ICS安全文档对那些负责ICS安全的人员很有用,能够帮助他们清楚的理解他们的期望值和责任。

    同样,你也应该熟悉一些行业相关的安全规程和标准。

第三步—对员工和承包商进行培训

    制定策略和规程后,需要确保员工能熟悉并遵守这些规程。在高层管理人员的支持下,对所有合适的员工制定一个培训计划。接下来就是实施培训。我们强烈建议对控制系统安全进行基于角色的培训,同样,在白皮书中我们也提供了一个范例。

第四步—对控制系统网络进行分区

    网络分区是提高工业自动化系统安全的最重要的具有策略性的一步。在 “No More Flat Networks Please”一文中,我已谈论过这点。白皮书结合一个高级的网络结构图,对“区域”和“通道”的概念进行了解释。

第五步—控制对系统的访问

    将系统划分成不同的安全区域后,下一步就是要控制对这些分区中的设备的访问。同时提供物理上和逻辑上的访问控制是很重要的。

    典型的物理访问控制包括栅栏、上锁的门和上锁的机柜。这样做的目的就是限制只有出于工作需要的人才能访问关键的ICS设备。

    同样的概念也适用于逻辑访问控制,包括多级控制和身份验证的理念。一旦验证通过,就授权用户执行特定的功能。

第六步—增强组件

    增强系统组件的意思包括锁定系统中各组件的功能,防止未经授权的访问或更改,移除不必要的功能特性,修补任何已知漏洞。

    在广泛使用现成的商业化技术的现代控制系统中,这点尤为重要。在这类系统中,禁用未使用的功能,确保将配置选项设定为最安全的设置是很重要的。

第七步—监控并维护系统安全

    作为一名工业控制系统的所有者或操作者,在监控并维护系统整个生命周期的安全时必须时刻保持警惕。不仅需要更新杀毒软件以及在Windows服务器上安装安全补丁,同时还需要监控系统的可疑活动。

    最后,定期检测并评估系统也很重要。评估系统包括定期审计系统配置是否仍然安全,也包括依据最新的标准和最佳实践更新安全措施。

并非一次性工程

    现在的问题是有效的ICS和SCADA安全并不是一次性工程,而是一个持续的、反复的过程。当系统、人员、商业目标或系统威胁发生改变时,你需要重复这七个步骤,更新相应的材料和措施。

    你的努力工作将会使你的企业运营得到最大的保护,从而预防各种破坏、安全事件和最新网络安全威胁给企业造成损失。

文章版权归西部工控xbgk所有,未经许可不得转载。