本文轉載自微信公眾號「河南等級保護測評」，作者河南等級保護測評。轉載本文請聯系河南等級保護測評公眾號。

介紹

工業控制系統對我們的日常生活至關重要。控制著我們飲用的水、我們依賴的電力以及推動我們所有人的交通工具。了解和適當減輕對工業控制系統的網絡威脅至關重要，以確保繼續為每個人提供基本服務。

為工業控制系統提供網絡安全存在幾個獨特的挑戰，包括：

• 工程協議缺乏安全性
• 升級后需要重新測試工程系統
• 長生命周期(20 至 50 年)
• 在工程環境中添加了許多 IT 協議，例如網絡時間協議和地址解析協議
• 設備可能未設置為接收或響應來自標準 IT 調試和分析工具的消息。

了解威脅環境

在選擇適當的緩解策略之前，必須了解：

• 誰可能針對組織?
• 他們可能針對哪些特定的基礎設施?
• 攻擊對基礎設施的每個部分的影響會有多嚴重?

對您的組織進行威脅建模將有助于回答其中一些問題，以確定哪些系統對于提供基本服務至關重要，并允許適當地設置網絡安全活動的優先級和預算。

基本緩解策略

以下是您可以實施的基本緩解策略，以保護您的工業控制系統免受一系列網絡威脅。根據威脅建模活動的結果在適當的地方使用它們：

• 嚴密控制或阻止對工業控制系統網絡的外部訪問。將其與公司網絡和互聯網等其他網絡隔離。
• 為特權賬戶和來自公司或外部網絡的訪問實施多因素身份驗證。
• 禁用設備上未使用的外部端口。
• 使用獨特的防篡改貼紙在工控系統環境內明顯標記授權設備。
• 定期備份系統配置并保持隔離。定期測試恢復過程并驗證備份完整性。
• 定期檢查防火墻設置是否處于預期狀態。
• 防止工業控制系統網絡內的設備連接到公司網絡或互聯網。
• 在設備上啟用日志記錄并將日志存儲在集中位置。制定定期監控和事件響應實踐，以確保及時發現、調查和管理異常情況。
• 定義將軟件和補丁引入工業控制系統的流程。必要時(例如在非常關鍵的組件上)，審查代碼并只允許批準的二進制文件。
• 使用供應商支持的應用程序和操作系統，并及時修補相關的安全漏洞。