工业控制系统(ICS)网络最近得到了很多关注,但它并不都是好的。几年前,我们讨论了基于以太网(TCP/IP)的通信的优点。现在,它已被所有主要的自动化控制制造商和系统提供商接受为普遍做法,并作为标准平台采用。
智能制造、工业4.0、工业物联网(IIoT)和其他举措都是建立在制造业中使用的各种技术的成熟基础上的。互联网和/或与互联网有关的技术的可用性、能力和可靠性正在支持这些技术的融合。这些解决方案的骨干是ICS网络:所有的解决方案都促进了数据收集和实时分析,并承诺通过更深入地了解更集成的工厂层来增加利润。
这些都逃不过那些想要破坏你们生产运作的人的注意——无论是有针对性的还是机会主义的攻击。出于善意的员工的无心行为也会带来相当大的风险。
当保护一个工业网络时,重要的是要注意,单一的安全技术、设备、方法或程序不足以提供足够的保护。重要的是,您的网络体系结构要实现深入防御技术。使用各种技术和方法的多个安全层将使安全措施失败时的影响最小化。
主配线架(mdf)、中间配线架(idf)和专用机房对于适当分散和限制对关键网络组件的物理访问至关重要。这些带有服务器、防火墙、交换机和其他设备的区域应该仅限于必要的人员—防止未经授权的设备访问、配置更改、向网络添加未经授权的设备以及对网络的其他更改。安全措施可以像锁和钥匙一样简单,也可以包括生物识别扫描仪和其他针对更敏感区域的措施。
网络分割将有助于提高性能,并防止与未经授权的设备之间的通信。虚拟局域网(vlan)将把网络分成几个部分,并保留广播。通过在网段之间设置防火墙,可以控制哪些设备可以跨网段通信,以及哪些数据可以通过。在您的制造网络和企业网络之间创建一个非军事区(DMZ)将允许用户访问他们需要的数据,而不影响任何一个网络的安全性或性能。
在典型的企业网络中,安全措施也在设备级到位。通常的做法是在计算机和服务器上安装杀毒软件,并定期更新安全补丁。在实现这些通用实践之前,需要仔细考虑ICS网络,因为许多ICS组件(特别是遗留组件)可能不兼容。在ICS网络上实施设备级安全措施可能会降低或完全阻碍网络的性能,对生产过程产生相同或类似的影响。
“如果不能解决数据保护中人为因素的问题,许多新一代的深度防御技术就会被否定,而各组织正在大力投资这些技术。”威尔·r·多尔蒂指出他是BakerHostetler隐私和数据保护团队的顾问。
报告表明最大的威胁来自组织内部,可能来自恶意用户、疏忽或事故。你最好的潜在防御和最大的风险可能是你的用户。创建安全策略并向用户介绍这些策略。一个善意的用户可能会连接未经授权的网络设备,而没有意识到他们已经创建的漏洞。USB设备是最可疑的,也是传播恶意软件的主要方法。如果不需要这些端口,最好禁用它们。USB端口被手机、存储设备和无数其他设备使用,因此是恶意软件传播的常见途径。这就是为什么震网蠕虫能够在2007年至2010年期间扰乱伊朗的核项目。教育用户将帮助他们认识到,把任何USB闪存驱动器插入他们的电脑是一个坏主意。受过良好教育的用户还可以提醒您网络问题,以便采取更积极的措施,可能会防止停机情况的发生。
本文概述了ICS安全要点,旨在鼓励您更仔细地研究ICS网络,并考虑您的安全需求。有一些很好的资源可以帮助你;我们喜欢的工业控制系统(ICS)安全指南.
未来,我们希望贴出关于信息安全、网络安全和网络安全的讨论。同时,我们鼓励您考虑这些安全方面及其在ICS网络中的作用。
Larry Asher是运营总监,Nick Strahm是系统管理员和运营技术专家本科控制公司。的认证会员控制系统集成商协会(相)。有关Bachelor Controls的更多信息,请访问其简介工业自动化交换.