工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)面臨的威脅持續(xù)增加，復(fù)雜程度也比以往任何時(shí)候都大。這些攻擊的數(shù)量及復(fù)雜性的增加，使得ICS成為網(wǎng)絡(luò)犯罪者容易得手的目標(biāo)。主要原因就是它的基礎(chǔ)設(shè)施老化，缺乏安全規(guī)劃和設(shè)計(jì)，以及長(zhǎng)期以來對(duì)ICS網(wǎng)絡(luò)的保護(hù)不夠重視。對(duì)企業(yè)的基礎(chǔ)設(shè)施和運(yùn)營(yíng)方面進(jìn)行詳細(xì)分析，可以深入了解風(fēng)險(xiǎn)水平，并找出保護(hù)關(guān)鍵資產(chǎn)的潛在對(duì)策。應(yīng)該采取這種整體方法來確保考慮所有方面，以充分了解對(duì)生產(chǎn)系統(tǒng)造成的實(shí)際風(fēng)險(xiǎn)水平。這包括網(wǎng)絡(luò)和物理安全，以及系統(tǒng)生命周期的狀態(tài)。為了幫助識(shí)別確切的風(fēng)險(xiǎn)水平，應(yīng)對(duì)每個(gè)因素進(jìn)行徹底評(píng)估，以了解設(shè)計(jì)、運(yùn)營(yíng)和維護(hù)差異，并保持生產(chǎn)系統(tǒng)的正常運(yùn)行。

工業(yè)控制系統(tǒng)的演化

過去，工業(yè)控制系統(tǒng)提供商使用與外部連接物理隔離的專有硬件和軟件。而現(xiàn)在，工業(yè)控制系統(tǒng)使用商用現(xiàn)貨（COTS）組件、標(biāo)準(zhǔn)操作系統(tǒng)和通用的通信協(xié)議。從專有系統(tǒng)向開放技術(shù)的轉(zhuǎn)變，允許使用第三方硬件和軟件組件，這有助于推動(dòng)ICS整體生命周期成本的下降。

此外，采用標(biāo)準(zhǔn)的通用組件和通信協(xié)議，有助于和IT或業(yè)務(wù)系統(tǒng)的連接。將生產(chǎn)系統(tǒng)中的數(shù)據(jù)共享到業(yè)務(wù)系統(tǒng)中，只需要極少的努力就可以收集和分析數(shù)據(jù)，從而為企業(yè)帶來寶貴的洞察力。

這些功能提高了生命周期并使連接性更好，但也將ICS應(yīng)用程序的漏洞暴露出來，因?yàn)檫@些程序設(shè)計(jì)的第一要?jiǎng)?wù)并不是安全性。ICS提供商通常會(huì)發(fā)布推薦的安全實(shí)踐，這些實(shí)踐定義了允許連接到外部系統(tǒng)的特定方法，但最終部署和維護(hù)ICS網(wǎng)絡(luò)安全的責(zé)任完全在最終用戶身上。保護(hù)這些網(wǎng)絡(luò)，以確保生產(chǎn)可用性和保護(hù)不受安全方面的困擾，應(yīng)該是管理層制定和支持的綜合業(yè)務(wù)目標(biāo)。

管理IT和ICS基礎(chǔ)架構(gòu)

無論是IT還是ICS基礎(chǔ)設(shè)施，都使用常見的網(wǎng)絡(luò)部件，但在維護(hù)、運(yùn)行和安全管理方面，它們之間非常不同。IT業(yè)務(wù)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)安全目標(biāo)是不同的概念，但它們基于相同的保密性、完整性和可用性原則。

對(duì)IT來講，企業(yè)主要關(guān)注的是知識(shí)產(chǎn)權(quán)的泄露，保密具有最高優(yōu)先級(jí)。接下來，數(shù)據(jù)的完整性非常重要，其次采是網(wǎng)絡(luò)的可用性。

由于生產(chǎn)系統(tǒng)數(shù)據(jù)的關(guān)鍵性，ICS網(wǎng)絡(luò)具有不同的優(yōu)先級(jí)。對(duì)人機(jī)界面的依賴性，使系統(tǒng)可用性要求成為工業(yè)部門的最高優(yōu)先事項(xiàng)。

數(shù)據(jù)的完整性和信息的準(zhǔn)確性對(duì)工業(yè)系統(tǒng)來說也非常重要。保密通常不是工業(yè)網(wǎng)絡(luò)的主要關(guān)注事項(xiàng)。在系統(tǒng)優(yōu)先級(jí)上的這些差異，使IT與ICS在網(wǎng)絡(luò)運(yùn)行和安全管理方面大相徑庭。

雖然這兩種系統(tǒng)的基礎(chǔ)結(jié)構(gòu)都使用通用部件，但I(xiàn)T和ICS網(wǎng)絡(luò)的運(yùn)營(yíng)差別很大。通常，IT網(wǎng)絡(luò)操作由用戶觸發(fā)，基本是不規(guī)則的，或者是按需啟動(dòng)。業(yè)務(wù)網(wǎng)絡(luò)上生成的通信量可能是零星、不可預(yù)知的。因此需要?jiǎng)h除或添加網(wǎng)絡(luò)組件(如服務(wù)器、網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī))以支持業(yè)務(wù)需求。業(yè)務(wù)系統(tǒng)通信協(xié)議圍繞此類操作構(gòu)建，通常不包括任何類型的確定性機(jī)制，這主要是因?yàn)閿?shù)據(jù)的零散性。

另一方面，ICS網(wǎng)絡(luò)需要非常高的可用性來支持連續(xù)和不間斷的生產(chǎn)系統(tǒng)需求。這些系統(tǒng)設(shè)計(jì)旨在以確定的速率提供數(shù)據(jù)，以實(shí)現(xiàn)可預(yù)測(cè)性和可重復(fù)性。ICS通信協(xié)議支持捕獲時(shí)間臨界事件的確定性活動(dòng)。這些系統(tǒng)旨在提供高可用性和對(duì)時(shí)間敏感的關(guān)鍵數(shù)據(jù)。IT和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)操作之間的差異，導(dǎo)致它們實(shí)現(xiàn)安全的方法也有很大的不同。

標(biāo)準(zhǔn)IT的"修復(fù)"可能會(huì)損害ICS

IT通常會(huì)部署廣泛的安全對(duì)策，以防止網(wǎng)絡(luò)攻擊。然而，由于需要確定的高可用數(shù)據(jù)，大多數(shù)常見的IT安全方法可能會(huì)對(duì)ICS網(wǎng)絡(luò)產(chǎn)生不利影響。標(biāo)準(zhǔn)IT安全實(shí)踐的一個(gè)實(shí)例，包括為操作系統(tǒng)升級(jí)打補(bǔ)丁、應(yīng)用程序升級(jí)和服務(wù)器系統(tǒng)升級(jí)。在IT界，這被認(rèn)為是常見的做法。但是，在ICS網(wǎng)絡(luò)上，這些操作可能會(huì)對(duì)系統(tǒng)和相關(guān)組件產(chǎn)生非常負(fù)面的影響。

由于相關(guān)軟件、系統(tǒng)組件和數(shù)據(jù)交付的關(guān)鍵特性，其它常見的IT實(shí)踐，如域的更改、病毒掃描程序更新、反惡意軟件更新、路由器配置更改和端口阻止策略，可能會(huì)對(duì)ICS網(wǎng)絡(luò)造成不利影響。對(duì)ICS網(wǎng)絡(luò)或相關(guān)組件的任何此類更改的實(shí)施，都必須仔細(xì)考慮，并應(yīng)首先在測(cè)試系統(tǒng)上進(jìn)行，以在真正部署到生產(chǎn)系統(tǒng)上之前對(duì)其性能進(jìn)行分析。

此外，必須特別注意安全，以確保ICS網(wǎng)絡(luò)操作不致受阻。確定正確的方法并應(yīng)用最具成本效益的風(fēng)險(xiǎn)緩解解決方案，對(duì)于支持IT和ICS基礎(chǔ)架構(gòu)的業(yè)務(wù)至關(guān)重要。ICS網(wǎng)絡(luò)的可用性需求，使它們對(duì)生產(chǎn)系統(tǒng)中的任何細(xì)微變化都更加敏感。

準(zhǔn)確評(píng)估風(fēng)險(xiǎn)級(jí)別

由于缺乏對(duì)所有潛在漏洞的認(rèn)知和理解，往往無法確定ICS網(wǎng)絡(luò)的實(shí)際風(fēng)險(xiǎn)水平。就像IT系統(tǒng)一樣，使ICS網(wǎng)絡(luò)就緒所需的努力必須是管理層認(rèn)可的全面努力，以確保生產(chǎn)系統(tǒng)的可用性?？紤]到現(xiàn)代黑客的復(fù)雜性，如果僅僅在ICS系統(tǒng)和IT網(wǎng)絡(luò)之間放置防火墻，并不能提供足夠的保護(hù)來消除風(fēng)險(xiǎn)。

"風(fēng)險(xiǎn)"被定義為獲得或失去某種價(jià)值的潛力。要充分了解生產(chǎn)系統(tǒng)的實(shí)際風(fēng)險(xiǎn)水平，必須評(píng)估暴露漏洞的所有方面，比如生產(chǎn)損失、環(huán)境損害、設(shè)備損壞和人身安全。這可能包括來自內(nèi)部、外部、惡意和無意事件所導(dǎo)致的網(wǎng)絡(luò)、物理和本地接口漏洞造成的所有威脅。必須定義工業(yè)控制系統(tǒng)生命周期的所有方面，以確?？紤]到所有潛在的風(fēng)險(xiǎn)。

ICS基礎(chǔ)結(jié)構(gòu)中的很多漏洞都可能引入風(fēng)險(xiǎn)，如使用舊式平臺(tái)、系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)、與外部網(wǎng)絡(luò)的連接、無線訪問點(diǎn)和遠(yuǎn)程接口點(diǎn)。通常，工業(yè)控制系統(tǒng)部署所需的時(shí)間，比標(biāo)準(zhǔn)IT系統(tǒng)所需的時(shí)間要長(zhǎng)得多，這可以歸因于成本，為避免生產(chǎn)中斷而遷移到較新系統(tǒng)的愿望，以及在運(yùn)行老舊系統(tǒng)時(shí)缺乏相關(guān)的風(fēng)險(xiǎn)知識(shí)。

導(dǎo)致潛在漏洞的另一個(gè)因素是未能設(shè)計(jì)和維護(hù)安全的ICS網(wǎng)絡(luò)，這可能是由于多名工程師多年來沒有適當(dāng)?shù)陌踩?jì)劃或程序而對(duì)網(wǎng)絡(luò)負(fù)責(zé)或者，也可能是快速部署多個(gè)項(xiàng)目，急于升級(jí)或已經(jīng)危及到安全性的添加的結(jié)果。

為了成功地管理風(fēng)險(xiǎn)，企業(yè)必須完全定義哪些內(nèi)容需要就位，了解ICS系統(tǒng)生命周期的不同階段，并確保他們有一個(gè)計(jì)劃來維護(hù)生產(chǎn)系統(tǒng)免受所有可能的漏洞的攻擊。這些章程應(yīng)由管理層授權(quán)，以確保生產(chǎn)系統(tǒng)資產(chǎn)在整個(gè)系統(tǒng)生命周期中保持不變。

對(duì)ICS系統(tǒng)的威脅

對(duì)IT和ICS基礎(chǔ)結(jié)構(gòu)的威脅正在不斷演變，并且越來越難以防止、監(jiān)測(cè)和緩解。由于生產(chǎn)要求的關(guān)鍵性，ICS網(wǎng)絡(luò)在安全方面受到的挑戰(zhàn)日益增加。因此，負(fù)責(zé)監(jiān)控ICS網(wǎng)絡(luò)的技術(shù)人員和工程師必須具有更嚴(yán)格、更有計(jì)劃和更有紀(jì)律的方法來部署安全措施。

即使將ICS網(wǎng)絡(luò)與因特網(wǎng)連接完全斷開，也不會(huì)消除所有相關(guān)的風(fēng)險(xiǎn)。如果連接到互聯(lián)網(wǎng)，外部威脅似乎更是顯而易見的，但有時(shí)候內(nèi)部威脅比外部威脅更具潛在的危害。這些內(nèi)容包括內(nèi)部惡意操作和可能會(huì)對(duì)ICS網(wǎng)絡(luò)造成破壞的、無意識(shí)的人為錯(cuò)誤。

對(duì)生產(chǎn)系統(tǒng)的威脅，包括對(duì)系統(tǒng)能夠連續(xù)、準(zhǔn)確地顯示運(yùn)行數(shù)據(jù)等功能的任何方面的損害。還包括操作員訪問桌面功能、本地登錄權(quán)限以及系統(tǒng)端口或接口功能。在物理和程序上保護(hù)自動(dòng)化系統(tǒng)的努力，可能是非常廣泛和耗時(shí)的。但是，防止常見系統(tǒng)故障的唯一方法是，刪除普通用戶訪問這些系統(tǒng)的能力，包括軟件、硬件和物理訪問。

缺乏充分管理ICS安全和生命周期的規(guī)劃和程序，是對(duì)ICS關(guān)鍵基礎(chǔ)設(shè)施的最大威脅。通過數(shù)字網(wǎng)絡(luò)或物理方面都可以對(duì)安全性造成危害。在老舊平臺(tái)上的操作還可能會(huì)損害生產(chǎn)系統(tǒng)的壽命。老舊的硬件、軟件和對(duì)系統(tǒng)的支持力度較小，并且比較昂貴（如果還有支持的話）。

通常情況下，IT系統(tǒng)的升級(jí)周期為3到5年，而生產(chǎn)系統(tǒng)可能會(huì)保持更長(zhǎng)的時(shí)間。由于生產(chǎn)系統(tǒng)的高可用性要求，對(duì)新系統(tǒng)的更改也會(huì)有風(fēng)險(xiǎn)。新系統(tǒng)很可能需要重新編程，邏輯將需要被破譯或編譯為一種新語言。這就有可能引入人為錯(cuò)誤，并可能對(duì)生產(chǎn)系統(tǒng)產(chǎn)生不利影響。

新的操作界面可能會(huì)與現(xiàn)有老舊系統(tǒng)的外觀和操作不同。從老舊到新系統(tǒng)的遷移，可能涉及到詳細(xì)邏輯規(guī)范的許多方面，以定義安全操作、廣泛的測(cè)試和操作員培訓(xùn)，從而充分評(píng)估生產(chǎn)系統(tǒng)。完全更換可能需要一段時(shí)間，包括多個(gè)復(fù)雜階段，以最大限度地減少生產(chǎn)中斷。ICS生命周期的管理，應(yīng)該包括一個(gè)全面的路線圖，規(guī)劃好所有的更換細(xì)節(jié)，以盡量減少為生產(chǎn)系統(tǒng)帶來的風(fēng)險(xiǎn)。

減輕風(fēng)險(xiǎn)和保護(hù)資產(chǎn)

減輕風(fēng)險(xiǎn)和確定一個(gè)整體計(jì)劃來保護(hù)企業(yè)資產(chǎn)，需要對(duì)所有生產(chǎn)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行全面評(píng)估。資產(chǎn)保護(hù)應(yīng)包括安全層，不應(yīng)依賴單個(gè)軟件或硬件，以便使風(fēng)險(xiǎn)最小化。工業(yè)控制系統(tǒng)受損的后果，可能會(huì)造成生產(chǎn)損失、環(huán)境損害、加工設(shè)備損壞，甚至可能危及人身安全。

資產(chǎn)保護(hù)從上層管理的指示開始，以識(shí)別主動(dòng)行動(dòng)，并確保ICS系統(tǒng)已經(jīng)做好準(zhǔn)備，能夠處理不斷變化的威脅。整體計(jì)劃記錄安全任務(wù)和過程，并概述保護(hù)、緩解過程和遷移計(jì)劃的層次，以涵蓋ICS系統(tǒng)的生命周期。對(duì)危及生產(chǎn)系統(tǒng)事件的反應(yīng)應(yīng)該是所有人員都清楚理解的計(jì)劃，從而將其影響降至最低。

遷移計(jì)劃應(yīng)包括一個(gè)系統(tǒng)路線圖，以最大限度地減少生產(chǎn)中斷，并確保在變更期內(nèi)系統(tǒng)的安全可靠。從本質(zhì)上講，威脅持續(xù)變得更加復(fù)雜，因此強(qiáng)烈建議每年對(duì)保護(hù)層進(jìn)行一次審計(jì)，以確保它們不會(huì)受到損害。風(fēng)險(xiǎn)因素永遠(yuǎn)不會(huì)被完全消除，但是資產(chǎn)所有者可以通過盡可能減少風(fēng)險(xiǎn)來保護(hù)生產(chǎn)系統(tǒng)的正常運(yùn)營(yíng)。