关于工业控制系统保护的常用方法
扫描二维码
随时随地手机看文章
关键基础设备系统网络攻击干扰事件越来越频繁,对于许多工业控制系统来说,网络入侵不是是否会发生的问题,而是什么时候会发生。国外的乌克兰停电事故,最近的委内瑞拉停电事故都带来了严重的社会影响。这些事件证明了攻击者的能力,网络安全事件的频率和复杂性正在持续增加。传统的工业控制系统保护认识,比如绝对的隔离带来绝对的安全,没有人会攻击工业控制系统等,这些认知显然是错误的,也是不合时宜的,针对工业控制系统的保护,常见的有几种策略,则可以对付常见的可利用的弱点。
1. 使用应用程序白名单策略
应用白名单可以有效检测和阻止由攻击者上传的恶意软件的执行。工业控制系统的生产环境的主机操作相对比较固定,而且主机操作系统老旧,和外网隔离,部署需要经常升级的耗费资源多的杀毒软件不现实,这些现实情况使得运行应用白名单成为可能。部署应用白名单时,需要和供应商合作,建立基线进行。
2. 安全配置,及时更新补丁
系统入侵者往往发动攻击时经常利用未打补丁的系统。比如臭名昭著的勒索病毒和挖矿病毒,都利用445端口。如果在病毒爆发时,就封闭445端口,则可避免很多不必要的损失。优先处理工程师站,操作员站,数据库服务器的补丁和配置,可以有效增加攻击者的攻击难度。在现实情况中,对于更新和配置,需要在测试机上进行,测试合格后,在部署到实际运行的操作系统上。
3. 缩小攻击面
将工业控制系统与其它不可信的网络隔离,尤其是互联网。关闭不使用的端口和服务。如果需要单向通信,则可部署单向网闸。如果必须使用双向通信,则在受限的网络路径上开发单个端口。
4. 构建防御环境
将网络划分为逻辑分区,并限制主机间的通信路径,可阻止攻击者扩大攻击访问范围,同时允许正常的系统通信继续运行。这样,即使一个区域被攻击,其余区域也不受影响,降低损失。
5. 身份鉴别管理
攻击者在攻击时,需要获得合法的用户凭证,伪装成合法的用户对工业控制系统进行攻击,可提高操作的权限,也可留下较少的记录和证据。
采用多因素认证,实现特权用户权限最小化。用户口令要设置安全策略,长度,复杂度要求,并且口令强制更改日期,尽可能的强化管理。
6. 安全的远程访问
建议采用VPN的方式进行远程访问,尤其是第三方接入工业控制系统网络中时。使用堡垒机,可以有效监控接入的各类操作和时间,实现有效的监管和追踪。
7. 监控与应急响应
对于现代威胁要积极监控,今早发现黑客攻击渗透,并迅速执行应急响应,切断攻击链,保护工业控制系统。
没有100%的网络安全,但是采用有效的策略可以提升攻击难度,提升系统的保护状态。