工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)面臨的威脅持續(xù)增加，復(fù)雜程度也比以往任何時候都大。這些攻擊的數(shù)量及復(fù)雜性的增加，使得ICS成為網(wǎng)絡(luò)犯罪者容易得手的目標(biāo)。主要原因就是它的基礎(chǔ)設(shè)施老化，缺乏安全規(guī)劃和設(shè)計，以及長期以來對ICS網(wǎng)絡(luò)的保護(hù)不夠重視。對企業(yè)的基礎(chǔ)設(shè)施和運營方面進(jìn)行詳細(xì)分析，可以深入了解風(fēng)險水平，并找出保護(hù)關(guān)鍵資產(chǎn)的潛在對策。應(yīng)該采取這種整體方法來確?？紤]所有方面，以充分了解對生產(chǎn)系統(tǒng)造成的實際風(fēng)險水平。這包括網(wǎng)絡(luò)和物理安全，以及系統(tǒng)生命周期的狀態(tài)。為了幫助識別確切的風(fēng)險水平，應(yīng)對每個因素進(jìn)行徹底評估，以了解設(shè)計、運營和維護(hù)差異，并保持生產(chǎn)系統(tǒng)的正常運行。

工業(yè)控制系統(tǒng)的演化

過去，工業(yè)控制系統(tǒng)提供商使用與外部連接物理隔離的專有硬件和軟件。而現(xiàn)在，工業(yè)控制系統(tǒng)使用商用現(xiàn)貨（COTS）組件、標(biāo)準(zhǔn)操作系統(tǒng)和通用的通信協(xié)議。從專有系統(tǒng)向開放技術(shù)的轉(zhuǎn)變，允許使用第三方硬件和軟件組件，這有助于推動ICS整體生命周期成本的下降。

此外，采用標(biāo)準(zhǔn)的通用組件和通信協(xié)議，有助于和IT或業(yè)務(wù)系統(tǒng)的連接。將生產(chǎn)系統(tǒng)中的數(shù)據(jù)共享到業(yè)務(wù)系統(tǒng)中，只需要極少的努力就可以收集和分析數(shù)據(jù)，從而為企業(yè)帶來寶貴的洞察力。

這些功能提高了生命周期并使連接性更好，但也將ICS應(yīng)用程序的漏洞暴露出來，因為這些程序設(shè)計的第一要務(wù)并不是安全性。ICS提供商通常會發(fā)布推薦的安全實踐，這些實踐定義了允許連接到外部系統(tǒng)的特定方法，但最終部署和維護(hù)ICS網(wǎng)絡(luò)安全的責(zé)任完全在最終用戶身上。保護(hù)這些網(wǎng)絡(luò)，以確保生產(chǎn)可用性和保護(hù)不受安全方面的困擾，應(yīng)該是管理層制定和支持的綜合業(yè)務(wù)目標(biāo)。

管理IT和ICS基礎(chǔ)架構(gòu)

無論是IT還是ICS基礎(chǔ)設(shè)施，都使用常見的網(wǎng)絡(luò)部件，但在維護(hù)、運行和安全管理方面，它們之間非常不同。IT業(yè)務(wù)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)安全目標(biāo)是不同的概念，但它們基于相同的保密性、完整性和可用性原則。

對IT來講，企業(yè)主要關(guān)注的是知識產(chǎn)權(quán)的泄露，保密具有最高優(yōu)先級。接下來，數(shù)據(jù)的完整性非常重要，其次采是網(wǎng)絡(luò)的可用性。

由于生產(chǎn)系統(tǒng)數(shù)據(jù)的關(guān)鍵性，ICS網(wǎng)絡(luò)具有不同的優(yōu)先級。對人機界面的依賴性，使系統(tǒng)可用性要求成為工業(yè)部門的最高優(yōu)先事項。

數(shù)據(jù)的完整性和信息的準(zhǔn)確性對工業(yè)系統(tǒng)來說也非常重要。保密通常不是工業(yè)網(wǎng)絡(luò)的主要關(guān)注事項。在系統(tǒng)優(yōu)先級上的這些差異，使IT與ICS在網(wǎng)絡(luò)運行和安全管理方面大相徑庭。

雖然這兩種系統(tǒng)的基礎(chǔ)結(jié)構(gòu)都使用通用部件，但I(xiàn)T和ICS網(wǎng)絡(luò)的運營差別很大。通常，IT網(wǎng)絡(luò)操作由用戶觸發(fā)，基本是不規(guī)則的，或者是按需啟動。業(yè)務(wù)網(wǎng)絡(luò)上生成的通信量可能是零星、不可預(yù)知的。因此需要刪除或添加網(wǎng)絡(luò)組件(如服務(wù)器、網(wǎng)絡(luò)設(shè)備和計算機)以支持業(yè)務(wù)需求。業(yè)務(wù)系統(tǒng)通信協(xié)議圍繞此類操作構(gòu)建，通常不包括任何類型的確定性機制，這主要是因為數(shù)據(jù)的零散性。

另一方面，ICS網(wǎng)絡(luò)需要非常高的可用性來支持連續(xù)和不間斷的生產(chǎn)系統(tǒng)需求。這些系統(tǒng)設(shè)計旨在以確定的速率提供數(shù)據(jù)，以實現(xiàn)可預(yù)測性和可重復(fù)性。ICS通信協(xié)議支持捕獲時間臨界事件的確定性活動。這些系統(tǒng)旨在提供高可用性和對時間敏感的關(guān)鍵數(shù)據(jù)。IT和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)操作之間的差異，導(dǎo)致它們實現(xiàn)安全的方法也有很大的不同。

標(biāo)準(zhǔn)IT的"修復(fù)"可能會損害ICS

IT通常會部署廣泛的安全對策，以防止網(wǎng)絡(luò)攻擊。然而，由于需要確定的高可用數(shù)據(jù)，大多數(shù)常見的IT安全方法可能會對ICS網(wǎng)絡(luò)產(chǎn)生不利影響。標(biāo)準(zhǔn)IT安全實踐的一個實例，包括為操作系統(tǒng)升級打補丁、應(yīng)用程序升級和服務(wù)器系統(tǒng)升級。在IT界，這被認(rèn)為是常見的做法。但是，在ICS網(wǎng)絡(luò)上，這些操作可能會對系統(tǒng)和相關(guān)組件產(chǎn)生非常負(fù)面的影響。

由于相關(guān)軟件、系統(tǒng)組件和數(shù)據(jù)交付的關(guān)鍵特性，其它常見的IT實踐，如域的更改、病毒掃描程序更新、反惡意軟件更新、路由器配置更改和端口阻止策略，可能會對ICS網(wǎng)絡(luò)造成不利影響。對ICS網(wǎng)絡(luò)或相關(guān)組件的任何此類更改的實施，都必須仔細(xì)考慮，并應(yīng)首先在測試系統(tǒng)上進(jìn)行，以在真正部署到生產(chǎn)系統(tǒng)上之前對其性能進(jìn)行分析。

此外，必須特別注意安全，以確保ICS網(wǎng)絡(luò)操作不致受阻。確定正確的方法并應(yīng)用最具成本效益的風(fēng)險緩解解決方案，對于支持IT和ICS基礎(chǔ)架構(gòu)的業(yè)務(wù)至關(guān)重要。ICS網(wǎng)絡(luò)的可用性需求，使它們對生產(chǎn)系統(tǒng)中的任何細(xì)微變化都更加敏感。

準(zhǔn)確評估風(fēng)險級別

由于缺乏對所有潛在漏洞的認(rèn)知和理解，往往無法確定ICS網(wǎng)絡(luò)的實際風(fēng)險水平。就像IT系統(tǒng)一樣，使ICS網(wǎng)絡(luò)就緒所需的努力必須是管理層認(rèn)可的全面努力，以確保生產(chǎn)系統(tǒng)的可用性。考慮到現(xiàn)代黑客的復(fù)雜性，如果僅僅在ICS系統(tǒng)和IT網(wǎng)絡(luò)之間放置防火墻，并不能提供足夠的保護(hù)來消除風(fēng)險。

"風(fēng)險"被定義為獲得或失去某種價值的潛力。要充分了解生產(chǎn)系統(tǒng)的實際風(fēng)險水平，必須評估暴露漏洞的所有方面，比如生產(chǎn)損失、環(huán)境損害、設(shè)備損壞和人身安全。這可能包括來自內(nèi)部、外部、惡意和無意事件所導(dǎo)致的網(wǎng)絡(luò)、物理和本地接口漏洞造成的所有威脅。必須定義工業(yè)控制系統(tǒng)生命周期的所有方面，以確?？紤]到所有潛在的風(fēng)險。

ICS基礎(chǔ)結(jié)構(gòu)中的很多漏洞都可能引入風(fēng)險，如使用舊式平臺、系統(tǒng)體系結(jié)構(gòu)設(shè)計、與外部網(wǎng)絡(luò)的連接、無線訪問點和遠(yuǎn)程接口點。通常，工業(yè)控制系統(tǒng)部署所需的時間，比標(biāo)準(zhǔn)IT系統(tǒng)所需的時間要長得多，這可以歸因于成本，為避免生產(chǎn)中斷而遷移到較新系統(tǒng)的愿望，以及在運行老舊系統(tǒng)時缺乏相關(guān)的風(fēng)險知識。

導(dǎo)致潛在漏洞的另一個因素是未能設(shè)計和維護(hù)安全的ICS網(wǎng)絡(luò)，這可能是由于多名工程師多年來沒有適當(dāng)?shù)陌踩媱澔虺绦蚨鴮W(wǎng)絡(luò)負(fù)責(zé)或者，也可能是快速部署多個項目，急于升級或已經(jīng)危及到安全性的添加的結(jié)果。

為了成功地管理風(fēng)險，企業(yè)必須完全定義哪些內(nèi)容需要就位，了解ICS系統(tǒng)生命周期的不同階段，并確保他們有一個計劃來維護(hù)生產(chǎn)系統(tǒng)免受所有可能的漏洞的攻擊。這些章程應(yīng)由管理層授權(quán)，以確保生產(chǎn)系統(tǒng)資產(chǎn)在整個系統(tǒng)生命周期中保持不變。

對ICS系統(tǒng)的威脅

對IT和ICS基礎(chǔ)結(jié)構(gòu)的威脅正在不斷演變，并且越來越難以防止、監(jiān)測和緩解。由于生產(chǎn)要求的關(guān)鍵性，ICS網(wǎng)絡(luò)在安全方面受到的挑戰(zhàn)日益增加。因此，負(fù)責(zé)監(jiān)控ICS網(wǎng)絡(luò)的技術(shù)人員和工程師必須具有更嚴(yán)格、更有計劃和更有紀(jì)律的方法來部署安全措施。

即使將ICS網(wǎng)絡(luò)與因特網(wǎng)連接完全斷開，也不會消除所有相關(guān)的風(fēng)險。如果連接到互聯(lián)網(wǎng)，外部威脅似乎更是顯而易見的，但有時候內(nèi)部威脅比外部威脅更具潛在的危害。這些內(nèi)容包括內(nèi)部惡意操作和可能會對ICS網(wǎng)絡(luò)造成破壞的、無意識的人為錯誤。

對生產(chǎn)系統(tǒng)的威脅，包括對系統(tǒng)能夠連續(xù)、準(zhǔn)確地顯示運行數(shù)據(jù)等功能的任何方面的損害。還包括操作員訪問桌面功能、本地登錄權(quán)限以及系統(tǒng)端口或接口功能。在物理和程序上保護(hù)自動化系統(tǒng)的努力，可能是非常廣泛和耗時的。但是，防止常見系統(tǒng)故障的唯一方法是，刪除普通用戶訪問這些系統(tǒng)的能力，包括軟件、硬件和物理訪問。

缺乏充分管理ICS安全和生命周期的規(guī)劃和程序，是對ICS關(guān)鍵基礎(chǔ)設(shè)施的最大威脅。通過數(shù)字網(wǎng)絡(luò)或物理方面都可以對安全性造成危害。在老舊平臺上的操作還可能會損害生產(chǎn)系統(tǒng)的壽命。老舊的硬件、軟件和對系統(tǒng)的支持力度較小，并且比較昂貴（如果還有支持的話）。

通常情況下，IT系統(tǒng)的升級周期為3到5年，而生產(chǎn)系統(tǒng)可能會保持更長的時間。由于生產(chǎn)系統(tǒng)的高可用性要求，對新系統(tǒng)的更改也會有風(fēng)險。新系統(tǒng)很可能需要重新編程，邏輯將需要被破譯或編譯為一種新語言。這就有可能引入人為錯誤，并可能對生產(chǎn)系統(tǒng)產(chǎn)生不利影響。

新的操作界面可能會與現(xiàn)有老舊系統(tǒng)的外觀和操作不同。從老舊到新系統(tǒng)的遷移，可能涉及到詳細(xì)邏輯規(guī)范的許多方面，以定義安全操作、廣泛的測試和操作員培訓(xùn)，從而充分評估生產(chǎn)系統(tǒng)。完全更換可能需要一段時間，包括多個復(fù)雜階段，以最大限度地減少生產(chǎn)中斷。ICS生命周期的管理，應(yīng)該包括一個全面的路線圖，規(guī)劃好所有的更換細(xì)節(jié)，以盡量減少為生產(chǎn)系統(tǒng)帶來的風(fēng)險。

減輕風(fēng)險和保護(hù)資產(chǎn)

減輕風(fēng)險和確定一個整體計劃來保護(hù)企業(yè)資產(chǎn)，需要對所有生產(chǎn)系統(tǒng)風(fēng)險進(jìn)行全面評估。資產(chǎn)保護(hù)應(yīng)包括安全層，不應(yīng)依賴單個軟件或硬件，以便使風(fēng)險最小化。工業(yè)控制系統(tǒng)受損的后果，可能會造成生產(chǎn)損失、環(huán)境損害、加工設(shè)備損壞，甚至可能危及人身安全。

資產(chǎn)保護(hù)從上層管理的指示開始，以識別主動行動，并確保ICS系統(tǒng)已經(jīng)做好準(zhǔn)備，能夠處理不斷變化的威脅。整體計劃記錄安全任務(wù)和過程，并概述保護(hù)、緩解過程和遷移計劃的層次，以涵蓋ICS系統(tǒng)的生命周期。對危及生產(chǎn)系統(tǒng)事件的反應(yīng)應(yīng)該是所有人員都清楚理解的計劃，從而將其影響降至最低。

遷移計劃應(yīng)包括一個系統(tǒng)路線圖，以最大限度地減少生產(chǎn)中斷，并確保在變更期內(nèi)系統(tǒng)的安全可靠。從本質(zhì)上講，威脅持續(xù)變得更加復(fù)雜，因此強烈建議每年對保護(hù)層進(jìn)行一次審計，以確保它們不會受到損害。風(fēng)險因素永遠(yuǎn)不會被完全消除，但是資產(chǎn)所有者可以通過盡可能減少風(fēng)險來保護(hù)生產(chǎn)系統(tǒng)的正常運營。