工業(yè)世界聯(lián)網(wǎng)程度的提升有一個(gè)關(guān)鍵問(wèn)題：如果發(fā)生網(wǎng)絡(luò )攻擊且攻擊成功，后果不堪設想，比如，網(wǎng)絡(luò )罪犯入侵計算機系統并切斷城市供電或供水。而且，不僅網(wǎng)絡(luò )犯罪團伙會(huì )盯上ICS，民族國家黑客也常將ICS列為攻擊敵對國關(guān)鍵基礎設施的入口點(diǎn)。

正如2017年6月NotPetya數據清除惡意軟件爆發(fā)所展現的，ICS已經(jīng)成為網(wǎng)絡(luò )犯罪的主要目標。然而，很多工控設備都面臨安全措施老化過(guò)時(shí)的風(fēng)險，需要進(jìn)行替換或升級。如何應對ICS面臨網(wǎng)絡(luò )攻擊風(fēng)險的事實(shí)?公共事業(yè)機構該從哪里開(kāi)始防御這種之前從未考慮過(guò)的威脅?

為確保ICS能抵御今天的在線(xiàn)安全威脅，公司企業(yè)需采取足夠的措施以創(chuàng )建有效工業(yè)安全項目并合理排定企業(yè)風(fēng)險優(yōu)先級。這聽(tīng)起來(lái)似乎是令人生畏的浩大工程，但健壯的多層安全方法可以分解為基本的3步：1) 保護網(wǎng)絡(luò );2) 保護終端;3) 保護控制器。

一、保護網(wǎng)絡(luò )

工業(yè)公司應確保自身網(wǎng)絡(luò )設計良好，有著(zhù)防護周全的邊界。企業(yè)應按 ISA IEC 62443 標準劃分自身網(wǎng)絡(luò )，保護所有無(wú)線(xiàn)應用，部署能快速排除故障的安全遠程訪(fǎng)問(wèn)解決方案。公司網(wǎng)絡(luò )，包括其工業(yè)網(wǎng)絡(luò )基礎設施設備，都應列入監視對象范圍。

二、保護終端

運營(yíng)技術(shù)(OT)團隊可能會(huì )覺(jué)得公司的終端受到邊界防火墻、專(zhuān)利安防軟件、專(zhuān)業(yè)協(xié)議和物理隔離的防護，可以抵御數字攻擊。但事實(shí)不是這樣的，雇員、承包商和供應鏈員工將他們的筆記本電腦或U盤(pán)帶入企業(yè)網(wǎng)絡(luò )時(shí)，這些安全防護措施就被繞過(guò)了。

必須確保所有終端都是安全的，要防止員工將自己的設備接入公司網(wǎng)絡(luò )。事實(shí)上，黑客可以侵入OT環(huán)境中基于PC的終端。公司企業(yè)還應保護其IT終端不受OT環(huán)境中橫向移動(dòng)的數字攻擊侵襲。

購買(mǎi)資產(chǎn)發(fā)現產(chǎn)品，或者實(shí)現網(wǎng)上終端清點(diǎn)過(guò)程，是保護終端安全的不錯開(kāi)端�？梢远�義控制措施和自動(dòng)化以確保防護到位。然后公司企業(yè)必須保證每臺終端上的配置是安全的，并監視這些終端以防遭到未授權修改。

總體上，IT和OT環(huán)境通用的解決方案是公司企業(yè)明智的選擇。應定義一個(gè)足夠靈活的安全平臺，既能夠深度覆蓋IT，又適用于敏感的OT環(huán)境。

三、保護控制器

每個(gè)工業(yè)環(huán)境都有其物理系統——致動(dòng)器、校準器、閥門(mén)、溫度感應器、壓力傳感器一類(lèi)機械裝置。這些與現實(shí)世界交互的物理系統被稱(chēng)為控制器，也就是橋接物理系統控制和網(wǎng)絡(luò )指令接收行為的特殊計算機。很多案例中惡意黑客都曾獲取過(guò)這些設備的控制權，引發(fā)設備故障，造成物理破壞，或對公司的損害。不過(guò)，如果僅僅是能訪(fǎng)問(wèn)而不能控制，惡意黑客也無(wú)法直接造成破壞。

通過(guò)加強檢測能力和對ICS修改及威脅的可見(jiàn)性，實(shí)現脆弱控制器的安全防護措施，監視可疑訪(fǎng)問(wèn)及控制修改，以及及時(shí)檢測/控制威脅，公司企業(yè)可有效防止工業(yè)控制器遭到數字攻擊。

網(wǎng)絡(luò )犯罪已成當今世界發(fā)展最快的產(chǎn)業(yè)之一。其范圍涵蓋僅僅出于好玩就發(fā)起攻擊的腳本小子，以及像跨國公司一樣運營(yíng)的犯罪組織。隨著(zhù)ICS成為網(wǎng)絡(luò )罪犯的主要目標，公司企業(yè)需采取措施做好ICS對數字威脅的防護。而要做好防護，就需要重點(diǎn)放在網(wǎng)絡(luò )安全、終端安全和工業(yè)控制器安全的多層安全措施。