通過構建縱深防御網絡安全計劃、實施本文所提出的8點建議，將助于降低工業控制系統 (ICS) 網絡安全的風險。

　　在智能制造時代，物聯網(IoT)和工業4.0提供的重要競爭優勢——互聯性，將是未來成功的必由之路。在接受網絡安全方面，有些公司處于領先優勢，而另外一些企業，則只在受到威脅或泄露之后，才會認真對待網絡安全問題。建立強大的網絡安全戰略以防止網絡攻擊，需要采用整體和分層的方法。下述的重要建議將幫助企業制定有效的工業控制系統網絡安全計劃。

　　圖片所示是一臺網絡交換機。工業控制系統技術固然重要，但它只是縱深防御網絡安全體系結構的一個方面。圖片來源: Huffman Engineering

　　縱深防御網絡安全計劃

　　“縱深防御”是用于描述工業控制系統網絡安全規劃戰略的術語，指的是具有多層安全保護系統和訪問控制的理想狀態。首先需要確定控制系統的內部、外部、物理和虛擬威脅。評估每個威脅造成的風險有多大，該評估應成為如何更好的為網絡安全計劃分配預算的指南。

　　制定一個全面計劃，將風險降低到一個 “可接受的”水平 (對每個企業來講，可接受的水平都是不同的)。如果發生攻擊或者泄露，應有相應的流程跟進。通過系統監控和報警，及時通知用戶違規行為正在發生或已經發生。

　　1. 分區

　　分區是一種縱深防御策略，它使用網絡分區原則，來限制發生泄露時所造成的損失。分區是在較大的網絡中創建獨立的、自支持的網絡 (區)，以防止對系統進行不必要的訪問，以及限制系統可能發生的漏洞?？梢酝ㄟ^使用其它硬件 (如電纜和交換機)，實現物理上的分區，相對于虛擬分區來講，物理分區是一個耗時且成本更高的方法。

　　在較大的系統中，通過使用虛擬局域網 (VLAN)，可以創建彼此隔離的網絡。分區可以是最基本的分區，例如將制造網絡與業務網絡分離;也可以是更復雜的分區，如為每個制造單元創建不同的分區。例如，在制藥工業中，每個制造單元或包裝生產線均可以單獨分區。如果網絡分區需要通信，防火墻可以提供額外的保護。防火墻是一個單獨的設備，它決定是否允許或阻止網絡通信通過。

　　如果工廠是區域性的，將其作為一個分區來處理，可以保護整個系統免受潛在災難性的破壞。如果需要進一步分區，則可以在每個工廠中為儀表、控制和可視化網絡等系統創建分區。

　　2. 非軍事區

　　一種特殊的分區情況，是在公司的工業和制造系統、業務和 IT 網絡或互聯網之間設置非軍事區 (DMZ)。盡管在工業控制系統中并沒有普遍實施，但非軍事區對于某些特定情況來說仍然很重要。正確設置的非軍事區，將不允許通信從業務網絡或互聯網直接跨過非軍事區傳輸到工業控制系統網絡。在進行跨非軍事化區通信時，內部的服務器或設備需要充當傳輸中介。

　　3.定期備份和更新

　　確保系統定期備份。在存儲設備(如網絡附加存儲設備)上，為所有硬盤驅動器、備份虛擬機以及存儲配置和程序創建映像。 應將備份復制到另一個場外設備以獲得額外保護。 不管防護措施看起來有多么安全，但它永遠不會是100%的安全。備份是快速、輕松恢復的關鍵。

　　使用最新補丁程序更新系統，并升級任何運行沒有技術支持的操作系統的計算機。針對這些過時的平臺，即使制造商不再提供補丁程序，如果發現漏洞，也會被公布。

　　與自動化設備制造商聯系，獲得有關安全公告的電子郵件分發列表。此外，建議政府或者相關組織機構第一時間獲取工業互聯網安全應急響應(ICS-CERT)的相關信息。

　　4. 專用安全裝置

　　少數制造商專門為工業控制系統提供網絡安全產品。防火墻安全工具有專門為工業控制系統量身定做的硬件和軟件。這些工具允許定義規則，管理與系統進行通信的設備，及其可以使用的端口和協議。防火墻會鎖定與現有設備的通信，以確保正確的通信流。防火墻可以識別出通信不能正常工作，并且導致通訊阻塞的情況。除了通信塊之外，還可以設置通知或警報。

　　5. 建立強大的網絡安全文化

　　網絡安全需要結合常識和教育。許多威脅和攻擊起源于內部和意外事件，這更表明需要全員參與，并保持警惕。制定持續的教育計劃，并為未來的員工提供培訓，為員工提供常見的社會工程學策略培訓。告訴他們哪些是機密信息，哪些行為容易帶來安全隱患，例如點開看似合法來源的網絡釣魚電子郵件，或者接到試圖誘導人們泄露信息的電話。要詳細告知和培訓員工，需要注意什么，不要點擊什么，以及如何避免其它常見的陷阱。

　　6.使用有限訪問和唯一密碼

　　采用“最低權限”策略，僅讓員工訪問工作需要的內容，不能訪問其它無關內容。強制用戶設置唯一的密碼，并且不能設置為系統默認密碼。此外，用戶不應在公共視線范圍內、設備附近或其它地方設置密碼。使用諸如滾動代碼、生物特征識別等技術，盡可能增加雙因素身份驗證。對于提供遠程訪問內部系統的所有設備，均應強制進行雙因素身份驗證。

　　7. 物理訪問防御

　　適當的物理安全措施經常被忽視。對于物理訪問防御，首先要確保設備入口的安全?？紤]使用安全衛士、訪問控制系統、電子圍欄以及將服務器和監控和數據采集 (SCADA) 控制室等關鍵基礎設施上鎖等措施。刪除可編程邏輯控制器 (PLC) 上的密鑰，以防止篡改程序，鎖定控制文件柜以防止未經授權的人員訪問它們。

　　還可以禁用或鎖定控制系統的USB端口。通過這些USB端口，可以傳播病毒，也可以竊取數據;而且員工也可能通過手機充電，在無意中危及安全性。

　　8. 與專業的工控安全廠商保持良好的關系

　　如果有其他專家，能夠了解公司內部和外部的自動化系統，那么無疑將是一項寶貴的資產。例如去年發生的，一系列針對全球公司的勒索攻擊。如果專業的工控安全廠商對客戶的工業控制系統應用程序、流程以及包括最近備份在內的軟件程序的詳細文檔有深入的了解，則受信任的工控安全廠商就可以提供幫助客戶在網絡攻擊中或之后提供支持和快速恢復。

　　實施縱深防御的網絡安全策略，并不一定是代價高昂且耗時的任務。采用有效的防御措施，將大大提高工業控制系統的安全級別。工控安全廠商可以直接與客戶的IT部門合作，設計和安裝制造商所需的網絡安全技術并提供培訓。工控安全廠商與客戶攜手合作，可在需要時提供快速的支持和咨詢服務，幫助客戶減輕網絡安全風險。