原创保护好工业网络，这七点很重要

 2016-1-29 11:17  925 13 13 分类: 机器人/ AI

重工业正逐渐成为网络攻击的目标。金融机构或许也承受着种种压力，但无论是以次数或类型来看，工业网络遭受到更严重的攻击。目前看来，这些攻击唯一的目的似乎都在探测弱点，但却足以危害到整个工业网络。为了保护工业控制网络免于遭受网络攻击，美国国土安全部(DHS)建议采取七项保护措施。

DHS 所属的工业控制系统紧急应变小组(ICS-CERT)在日前发布了有效防御工业控制系统的7个步骤。ICS-CERT首先指出根据其研究，在2015年至少发生295起与工业网络有关的入侵事件，此外还有更多可能是未发布或未侦测到入侵事件。再者，这些事件还有愈演愈烈的趋势。

ICS-CERT强调，简单地增强外围防护(如防火墙)的网络已经不再适用了。

为了协助减轻遭受网络攻击的可能性，ICS-CERT建议必须为工业网络建置7项重要策略，以提高其防护能力。该机构宣称，这7大步骤可让FY2015年所举报的攻击中，有98%的事件都能幸免。

这七大关键策略是：

● 建立应用程序白名单：只允许预先经认可的应用程序来执行，让网络能侦测并防止恶意软件。SCADA系统、人机接口(HMI)计算机与数据库系统特别适用这一策略。

● 确保正确配置与管理增补程序：随着对手不断提高其能力，安全的实际作法也逐渐过时。其结果是，未经增补的软件越来越容易成为目标。关键是必须落实安全输入程序以及更新可信任的软件增补程序。

● 降低易受攻击的表面范围：关闭未使用的埠以及未用的服务。只有在绝对必要时才允许实时的外部连接。隔绝你的工业网络与不受信赖的外部网络。还有一个有用的技巧是，如果只需要单向通讯(如报告数据)，尽量使用光学隔离方案(数据二极管)，以预防回程讯号进入。

● 建立可防御的环境：正确的架构有助于限制从外围入侵的潜在损害。就像城堡拥有外墙和内部防御工事一样，将网络设计成一个可限制主机对主机通讯的系统集合，可避免因其中一个系统受损而影响其余系统。

● 认证管理：使用窃取而来的凭证可能让攻击者几乎无法被系统侦测到。因此，透过双重因素认证、限制用户权力的存取、为企业与控制网络存取提供不同的认证，以及各种保护机制，都有助于强化认证。

● 安全的远程访问：如果有必要使用远程访问，更要采取保护措施，如使用硬件(而非软件)数据二极管进行只读存取、限时远程访问、要求操作员透过远程访问请求进行控制，以及避免为供应商与员工采用不同存取路径的“双重标准”。同时，关闭任何可疑的存取对象、隐藏的后门等等。特别是防护调制解调器基本上并不安全。

● 监测与因应计划：网络攻击正不断地成熟壮大，所以目前看来足以因应的措施可能成为明日的破绽。持续地监测网络以避免可能的入侵迹象或其他攻击，并且预先拟定侦测到攻击时的因应计划。迅速采取行动可限制受损害的程度，而且也有利于尽快恢复。